這些術(shù)語描述了防火墻的兩個不同方面——它可以做什么 (NGFW) 與它的部署位置和方式 (FWaaS)。下一代防火墻 (NGFW)具有一組特定的安全功能。防火墻即服務(wù) (FWaaS)描述了托管在云中并作為服務(wù)提供的防火墻（這種防火墻也可以稱為“云防火墻”）。FWaaS 可以具有下一代功能，NGFW 可以托管在云中。

組織需要的防火墻類型取決于他們的基礎(chǔ)設(shè)施。如果他們所有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用程序都在本地，那么基于硬件的 NGFW 可能就足夠了。但是大多數(shù)現(xiàn)代組織在云中運行一些工作負載，使得 FWaaS 成為必需品（理想情況下，具有下一代功能的 FWaaS 解決方案）。

防火墻有什么作用？

防火墻是一種基于一組安全規(guī)則監(jiān)視和控制網(wǎng)絡(luò)流量的安全產(chǎn)品。防火墻可以是安裝在服務(wù)器或計算機上的軟件應(yīng)用程序，也可以是連接到內(nèi)部網(wǎng)絡(luò)的物理硬件設(shè)備。防火墻通常位于受信任的網(wǎng)絡(luò)和不受信任的網(wǎng)絡(luò)之間；通?？尚啪W(wǎng)絡(luò)是企業(yè)的內(nèi)部網(wǎng)絡(luò)，不可信網(wǎng)絡(luò)是互聯(lián)網(wǎng)。

防火墻的標(biāo)準(zhǔn)功能包括：

包過濾：分析單個數(shù)據(jù)包并在必要時阻止它們

狀態(tài)檢查：在活動網(wǎng)絡(luò)連接的上下文中評估數(shù)據(jù)包

虛擬專用網(wǎng)絡(luò)感知：識別加密的虛擬專用網(wǎng)絡(luò)流量并允許其通過

什么是下一代防火墻 (NGFW)？

NGFW 具有傳統(tǒng)防火墻的功能，但它們還增加了一些功能，以解決更多種類的組織需求并阻止更多潛在威脅。它們被稱為“下一代”，以區(qū)別于不具備這些功能的舊防火墻。

NGFW技術(shù)包括：

• 入侵防御系統(tǒng) (IPS)：掃描網(wǎng)絡(luò)流量、識別惡意軟件并阻止它
• 深度數(shù)據(jù)包檢測 (DPI)：通過分析每個數(shù)據(jù)包的正文和包頭來改進數(shù)據(jù)包過濾
• 應(yīng)用感知和控制：根據(jù)流量流向的應(yīng)用識別和阻止流量
• 威脅情報源：整合更新的威脅情報流以識別最新威脅

什么是防火墻即服務(wù) (FWaaS)？

FWaaS 是由第三方供應(yīng)商托管在云中的防火墻?！霸品阑饓Α笔谴祟惙?wù)的另一種說法。FWaaS 不是物理設(shè)備，也不是托管在組織的場所。與其他“即服務(wù)”類別（例如基礎(chǔ)架構(gòu)即服務(wù) (IaaS)或軟件即服務(wù) (SaaS)）一樣，F(xiàn)WaaS 在云中運行并通過 Internet 訪問。

在云計算出現(xiàn)之前，防火墻位于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間，可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間存在明確的邊界（稱為“網(wǎng)絡(luò)邊界”）。但在云計算中，這個邊界不存在，因為受信任的云資產(chǎn)是通過不受信任的網(wǎng)絡(luò)（互聯(lián)網(wǎng)）訪問的。盡管缺乏網(wǎng)絡(luò)邊界，但云托管的防火墻可以保護這些資產(chǎn)。此外，云托管防火墻由防火墻供應(yīng)商而非客戶進行配置、維護和更新。