為了保護某一區域，人們往往在區域的四周建起圍墻，以阻隔危險的靠近，現實世界如此，虛擬的網絡世界也不例外，無論是以公司為單位的企業用戶還是個人用戶，作為互聯網上的一分子，都有可能受到來自外部的安全威脅，于是，防火墻產品便應運而生了。

有了它，就相當于在計算機與網絡之間建起了一道屏障，它對流經它的網絡通信數據進行掃描，從而過濾掉一些攻擊。當然，與現實世界的實體墻易攻難守相比，網絡世界里的防火墻功能更加多樣而豐富，除了網羅不安全因素之外，它還能夠做到關閉不使用的端口，以及禁止特定端口的流出通信，封鎖特洛伊木馬。而且通過禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

傳統防火墻已經無法滿足新的安全需求

道高一尺，魔高一丈

但是隨著安全形勢的變化，傳統的安全防護正在失效，如今最流行的安全產品是狀態檢測防火墻、入侵檢測系統和基于主機的防病毒軟件。但是它們面對新一代安全威脅的作用越來越小。狀態檢測防火墻是通過跟蹤會話的發起和狀態來工作的。狀態檢測防火墻通過檢查數據包頭，分析和監視網絡層(L3)和協議層(L4)，基于一套用戶自定義的防火墻策略來允許、拒絕或轉發網絡流量。傳統防火墻的問題在于黑客已經研究出大量的方法來繞過防火墻策略。

網絡防火墻在安全防護中起到重要作用，但是也應該看到它的不足之處。如今，知識淵博的黑客，均能利用網絡防火墻開放的端口，巧妙躲過網絡防火墻的監測，直接針對目標應用程序。他們想出復雜的攻擊方法，能夠繞過傳統網絡防火墻。傳統的網絡防火墻，存在著以下不足之處：1、無法檢測加密的Web流量;2、普通應用程序加密后，也能輕易躲過防火墻的檢測;3、對于Web應用程序，防范能力不足;4、應用防護特性，只適用于簡單情況;5、無法擴展帶深度檢測功能。

應用層受到攻擊的概率越來越大，而傳統網絡防火墻在這方面有存在著不足之處。對此，少數防火墻供應商也開始意識到應用層的威脅，在防火墻產品上增加了一些彈性概念的特征，試圖防范這些威脅。傳統的網絡防火墻對于應用安全的防范上效果不佳。

邪不壓正

黑客很囂張，但安全專家也不是用來做擺設的，面對網絡的高速發展、應用的不斷增多，防火墻的概念也被重新演義，下一代防火墻(Next-Generation Firewall，以下簡稱NGFW)應運而生。如同這個速食社會任何新出現的名詞一樣，雖然NGFW的概念已經熱火朝天，但卻很難確定一個統一的標準，而業內普遍認同的關于NGFW的定義，則來自Gartner于2009年發布的一份名為《Defining the Next-Generation Firewall》的文檔。

在文中，Gartner將網絡防火墻定義為在不同信任級別的網絡之間實時執行網絡安全政策的聯機控制。Gartner使用“下一代防火墻”這個術語來說明防火墻在應對業務流程使用IT的方式和威脅試圖入侵業務系統的方式發生變化時應采取的必要的演進。

那么，如何界定是否屬于下一代防火墻呢?它應該具備下列最低屬性：支持在線BITW(線纜中的塊)配置，同時不會干擾網絡運行;可作為網絡流量檢測與網絡安全策略執行的平臺，并具有下列最低特性：

1)標準的第一代防火墻功能;

2)集成式而非托管式網絡入侵防御;

3)業務識別與全棧可視性;

4)超級智能的防火墻。

隨著帶寬需求的增加以及成功的攻擊使企業有了更新防火墻的需求，下一代防火墻的概念也從虛無飄渺落到了具體產品上面，雖然在剛開始的時候，存在著概念先行，產品滯后的問題，但經過一段時間的發展，現在已經有眾多廠商涉足這一領域，像SonicWALL、Check Point、Palo Alto、梭子魚與深信服科技等廠商都先后發布了各自的NGFW產品，據估計，到2014年底下一個防火墻更新周期，60%新購買的防火墻將是NGFW。