這些術(shù)語(yǔ)描述了防火墻的兩個(gè)不同方面——它可以做什么 (NGFW) 與它的部署位置和方式 (FWaaS)。下一代防火墻 (NGFW)具有一組特定的安全功能。防火墻即服務(wù) (FWaaS)描述了托管在云中并作為服務(wù)提供的防火墻（這種防火墻也可以稱為“云防火墻”）。FWaaS 可以具有下一代功能，NGFW 可以托管在云中。

組織需要的防火墻類型取決于他們的基礎(chǔ)設(shè)施。如果他們所有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用程序都在本地，那么基于硬件的 NGFW 可能就足夠了。但是大多數(shù)現(xiàn)代組織在云中運(yùn)行一些工作負(fù)載，使得 FWaaS 成為必需品（理想情況下，具有下一代功能的 FWaaS 解決方案）。

防火墻有什么作用？

防火墻是一種基于一組安全規(guī)則監(jiān)視和控制網(wǎng)絡(luò)流量的安全產(chǎn)品。防火墻可以是安裝在服務(wù)器或計(jì)算機(jī)上的軟件應(yīng)用程序，也可以是連接到內(nèi)部網(wǎng)絡(luò)的物理硬件設(shè)備。防火墻通常位于受信任的網(wǎng)絡(luò)和不受信任的網(wǎng)絡(luò)之間；通?？尚啪W(wǎng)絡(luò)是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不可信網(wǎng)絡(luò)是互聯(lián)網(wǎng)。

防火墻的標(biāo)準(zhǔn)功能包括：

包過(guò)濾：分析單個(gè)數(shù)據(jù)包并在必要時(shí)阻止它們

狀態(tài)檢查：在活動(dòng)網(wǎng)絡(luò)連接的上下文中評(píng)估數(shù)據(jù)包

虛擬專用網(wǎng)絡(luò)感知：識(shí)別加密的虛擬專用網(wǎng)絡(luò)流量并允許其通過(guò)

什么是下一代防火墻 (NGFW)？

NGFW 具有傳統(tǒng)防火墻的功能，但它們還增加了一些功能，以解決更多種類的組織需求并阻止更多潛在威脅。它們被稱為“下一代”，以區(qū)別于不具備這些功能的舊防火墻。

NGFW技術(shù)包括：

• 入侵防御系統(tǒng) (IPS)：掃描網(wǎng)絡(luò)流量、識(shí)別惡意軟件并阻止它
• 深度數(shù)據(jù)包檢測(cè) (DPI)：通過(guò)分析每個(gè)數(shù)據(jù)包的正文和包頭來(lái)改進(jìn)數(shù)據(jù)包過(guò)濾
• 應(yīng)用感知和控制：根據(jù)流量流向的應(yīng)用識(shí)別和阻止流量
• 威脅情報(bào)源：整合更新的威脅情報(bào)流以識(shí)別最新威脅

什么是防火墻即服務(wù) (FWaaS)？

FWaaS 是由第三方供應(yīng)商托管在云中的防火墻?！霸品阑饓Α笔谴祟惙?wù)的另一種說(shuō)法。FWaaS 不是物理設(shè)備，也不是托管在組織的場(chǎng)所。與其他“即服務(wù)”類別（例如基礎(chǔ)架構(gòu)即服務(wù) (IaaS)或軟件即服務(wù) (SaaS)）一樣，F(xiàn)WaaS 在云中運(yùn)行并通過(guò) Internet 訪問(wèn)。

在云計(jì)算出現(xiàn)之前，防火墻位于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間，可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間存在明確的邊界（稱為“網(wǎng)絡(luò)邊界”）。但在云計(jì)算中，這個(gè)邊界不存在，因?yàn)槭苄湃蔚脑瀑Y產(chǎn)是通過(guò)不受信任的網(wǎng)絡(luò)（互聯(lián)網(wǎng)）訪問(wèn)的。盡管缺乏網(wǎng)絡(luò)邊界，但云托管的防火墻可以保護(hù)這些資產(chǎn)。此外，云托管防火墻由防火墻供應(yīng)商而非客戶進(jìn)行配置、維護(hù)和更新。