防火墙通常是有状态的。通常，您希望防火墙阻止除了已建立的通信之外的所有内容，而这对于 ACL 来说很难甚至是不可能的，具体取决于路由器或交换机供应商和软件版本。一些设备（路由器或交换机）支持可以是有状态的自反 ACL，但它们受到更多限制，维护起来成为一个很大的负担。

下一代防火墙还可以超越网络流量查看应用程序数据，以阻止/允许应用程序。

编辑：

如果您设置传统 ACL 来阻止所有传入流量（防火墙默认行为），那么从外部请求数据的主机将永远无法获取数据，因为 ACL 将阻止所有传入流量。

自反 ACL 可以看到出站连接，并且可以将其配置为反射（允许流量返回该连接）。此行为保持连接状态。这基本上就是防火墙的作用。它保持连接的状态，直到不活动的超时时间。当连接关闭时，它将再次阻塞。

下一代防火墙更进一步。它将能够进行深度数据包检查，以确定或启发式地确定正在通过的数据类型或正在通信的应用程序。这增加了以更细粒度的方式阻止或允许的灵活性。例如，防火墙实际上可以检测和阻止数据流中的恶意软件，它可以阻止洪流，或者您可以只允许进出特定主机上的单个应用程序的流量。这种类型的防火墙需要有一个维护合同，允许更新软件以保持最新状态。

防火墙和网关（又名路由器）之间的界限越来越模糊。每个设备都会进步以包含其他功能。然而，从根本上说，路由器的工作是路由数据包，而防火墙的工作是检查和控制通过设备的连接。

防火墙是主要用于部署在外围级别的安全设备，而第 3 层交换机可以部署在核心级别，用于创建 VLAN、SVI、在 VLAN 和其他 LAN 之间路由流量、配置访问列表以限制 VLAN 之间的流量、DHCP 配置。

实现防火墙的最大吞吐量。防火墙必须部署在外围级别，用于源和目标定位，配置入站和出站规则，扫描流量中的病毒、恶意软件，防止威胁参与者。