沙盒

這個是被卷入 NGFW 中的一個較新的特性，它指防火墻接收某些未知的流量或者代碼，并在一個測試環境運行，以確定它是否存在問題的能力。

防火墻硬件

防火墻硬件通常是一個簡單的服務器，它可以充當路由器來過濾流量和運行防火墻軟件。這些設備放置在企業網絡的邊緣，位于路由器和 Internet 服務提供商（ISP）的連接點之間。通常企業可能在整個數據中心部署十幾個物理防火墻。 用戶需要根據用戶基數的大小和 Internet 連接的速率來確定防火墻需要支持的吞吐量容量。

這些防火墻位于特定應用的前面，而不是在更廣闊的網絡的入口或者出口上。基于代理的防火墻通常被認為是保護終端客戶的，而 WAF 則被認為是保護應用服務器的。

SSL 檢測

安全套接字層（SSL）檢測是一個檢測加密流量來測試威脅的方法。隨著越來越多的流量進行加密，SSL 檢測成為 NGFW 正在實施的 DPI 技術的一個重要組成部分。SSL 檢測作為一個緩沖區，它在送到最終目的地之前解碼流量以檢測它。

有狀態的檢測

阻止已知不需要的流量，這是基本的防火墻功能。

什么是防火墻？

防火墻作為一個邊界防御工具，其監控流量——要么允許它、要么屏蔽它。 多年來，防火墻的功能不斷增強，現在大多數防火墻不僅可以阻止已知的一些威脅、執行高級訪問控制列表策略，還可以深入檢查流量中的每個數據包，并測試包以確定它們是否安全。大多數防火墻都部署為用于處理流量的網絡硬件，和允許終端用戶配置和管理系統的軟件。越來越多的軟件版防火墻部署到高度虛擬化的環境中，以在被隔離的網絡或 IaaS 公有云中執行策略。

基于代理的防火墻

這些防火墻充當請求數據的最終用戶和數據源之間的網關。在傳遞給最終用戶之前，所有的流量都通過這個代理過濾。這通過掩飾信息的原始請求者的身份來保護客戶端不受威脅。

基于網絡的防火墻已經在美國企業無處不在，美國服務器租用，因為它們證實了抵御日益增長的威脅的防御能力。

通過網絡測試公司 NSS 實驗室最近的一項研究發現，高達 80% 的美國大型企業運行著下一代防火墻。研究公司 IDC 評估防火墻和相關的統一威脅管理市場的營業額在 2015 是 76 億美元，預計到 2020 年底將達到 127 億美元。

在網絡流量中搜索已知病毒和漏洞，這個功能有助于防火墻接收最新威脅的更新，并不斷更新以保護它們。

反病毒

隨著防火墻技術的進步，在過去十年中創造了新的防火墻部署選擇，所以現在對于部署防火墻的最終用戶來說，有了更多選擇。這些選擇包括：

防火墻軟件

通常，終端用戶部署多個防火墻硬件端和一個中央防火墻軟件系統來管理該部署。 這個中心系統是配置策略和特性的地方，在那里可以進行分析，并可以對威脅作出響應。

流行的防火墻是多數組織主要的邊界防御。

入侵防御系統（IPS）

這類安全產品可以部署為一個獨立的產品，但 IPS 功能正逐步融入 NGFW。 雖然基本的防火墻技術可以識別和阻止某些類型的網絡流量，但 IPS 使用更細粒度的安全措施，如簽名跟蹤和異常檢測，以防止不必要的威脅進入公司網絡。 這一技術的以前版本是入侵檢測系統（IDS），云主機，其重點是識別威脅而不是遏制它們，已經被 IPS 系統取代了。

有狀態的防火墻

當防火墻首次創造出來時，它們是無狀態的，這意味著流量所通過的硬件當單獨地檢查被監視的每個網絡流量包時，屏蔽或允許是隔離的。從 1990 年代中后期開始，防火墻的第一個主要進展是引入了狀態。有狀態防火墻在更全面的上下文中檢查流量，同時考慮到網絡連接的工作狀態和特性，以提供更全面的防火墻。例如，維持這個狀態的防火墻可以允許某些流量訪問某些用戶，同時對其他用戶阻塞同一流量。

Web 應用防火墻（WAF）

下一代防火墻（NGFW）

多年來，防火墻增加了多種新的特性，包括深度包檢查、入侵檢測和防御以及對加密流量的檢查。下一代防火墻（NGFW）是指集成了許多先進的功能的防火墻。

深度包檢測（DPI）

DPI 可作為 IPS 的一部分或與其結合使用，但其仍然成為一個 NGFW 的重要特征，因為它提供細粒度分析流量的能力，可以具體到流量包頭和流量數據。DPI 還可以用來監測出站流量，以確保敏感信息不會離開公司網絡，這種技術稱為數據丟失防御（DLP）。