SOLUZIONI
Offerta di esperienze online di livello superiore
Mitigazione degli attacchi DDoS Blocca l'abuso di bot dannosi Accelerare le applicazioni Internet Assicura la disponibilità delle applicazioni Ottimizzazione dell'esperienza Web Streaming video on demand
Sicurezza delle applicazioni e dei dispositivi dei dipendenti
Sicurezza Zero Trust per le applicazioni Implementa SASE (Secure Access Service Edge) Protezione degli utenti che accedono a Internet Protezione delle reti aziendali Gestione dell'accesso sicuro degli appaltatori Sostituzione delle reti private virtuali (VPN) Proteggi le forze lavoro in remoto Blocco degli attacchi Zero Day con isolamento del browser
 
Protezione e accelerazione delle reti
Mitigazione degli attacchi DDoS L3 Collegamento dell'infrastruttura di rete a Cloudflare Trasforma le reti aziendali
Implementazione codice sul perimetro di rete
Creazione di una applicazione serverless Implementazione di un sito statico Configurazione di una CDN Definizione instradamento condizionale delle richieste
Gestisci un cloud sicuro
Accesso sicuro a piattaforme ibride, cloud e SaaS Abilitazione SSL per applicazioni SaaS Riduzione dei costi di trasferimento dati nel cloud
Registrazione di un sito web
Registrazione o trasferimento di un sito web
SETTORI
eCommerce Gaming Media e intrattenimento Settore pubblico SaaS
INTERESSE PUBBLICO
Campagne elettorali Progetto Athenian Progetto Galileo Project Fair Shot
PER L'INFRASTRUTTURA
Sicurezza delle applicazioni e di rete
Protezione dagli attacchi DDoS WAF Gestione dei bot Transizione magica Rate Limiting SSL/TLS Cloudflare Spectrum Interconnessione di rete
Prestazioni e affidabilità
CDN DNS Argo Smart Routing Bilanciamento del carico Diffusione di contenuti in streaming China Network Waiting Room
PER I TEAM
Cloudflare per Teams Access Gateway Isolamento del browser
PER SVILUPPATORI
Applicazioni serverless
Cloudflare Workers Cloudflare Workers KV
Registrazione dominio
Cloudflare Registrar
Sviluppo di siti web
Pagine Cloudflare Cloudflare Stream
PER TUTTI
1.1.1.1 1.1.1.1 con WARP (App) 1.1.1.1 per le famiglie
APPROFONDIMENTI
Analytics Log di Cloudflare Web analytics Cloudflare Radar
PRIVACY
Localizzazione dei dati Conformità
PER L'INFRASTRUTTURA
Sicurezza avanzata
Gestione dei bot Regole del firewall Transizione magica Spectrum (TCP/UDP) SSL WAF
Prestazioni e affidabilità
CDN DNS Ridimensionamento delle immagini Bilanciamento del carico Stream (video) Argo Tunnel
 
Approfondimenti
Analytics
Registrazione dominio
Registrar
PER APPLICAZIONI SERVERLESS
Avvio rapido di Workers Pagine Cloudflare Progetti campione Workers Tutorial per Workers Riga di comando (Wrangler) Runtime
PER I TEAM
Access Accesso ai log di controllo Gateway Registri attività di Gateway
ESPLORA L'API DI CLOUDFLARE
API Cloudflare Autenticazione API
HUB DOCUMENTAZIONE
Hub documentazione per sviluppatori
RISORSE
Hub risorse White paper Webinar Guide ai prodotti e soluzioni Case study Analisti
ESPLORA
Qual’è la novità? Mappa di rete Cloudflare in Cina GDPR
INIZIA
Registra il tuo sito web Welcome center Ottieni assistenza
IMPARA
Centro di apprendimento Sicurezza DDoS Gestione dei bot SSL Gestione identità e accesso Prestazioni CDN DNS Cloud Serverless Livello di rete
CONNETTITI
Blog Community
CONFORMITÀ
GDPR Rapporto sulla trasparenza Conformità
CONTATTA
+1 650 319 8930
PARTNER CHANNEL E ALLIANCE
Partner network Portale Partner
PARTNER TECHNOLOGY
Panoramica Partner di analytics Bandwidth Alliance Partnership di interconnessione Portale di peering
TARIFFE DEI PIANI
Pro Business Enterprise
CONFRONTA ED ESPLORA
Hai bisogno di aiuto per scegliere il piano? Componenti aggiuntivi Confronta tutti i piani

Che cos'è un firewall di nuova generazione (NGFW)? | Differenze tra NGFW e FWaaS

Un firewall di nuova generazione (NGFW) è un firewall con potenti funzionalità moderne. I firewall di nuova generazione possono essere ospitati nel cloud, anche se non tutti lo sono.

Share facebook icon linkedin icon twitter icon email icon
Cos'è il cloud?
Cos'è il multi-cloud?
Cos'è il cloud ibrido?
Cos'è un firewall cloud?
Glossario

Firewall di nuova generazione

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definizione di un "firewall di nuova generazione"
  • Firewall classici a contrasto con firewall di nuova generazione
  • Scopri come i firewall cloud si sovrappongono a quelli di nuova generazione

Argomenti correlati

Cos'è un firewall cloud?

Che cosa è una migrazione al cloud?

Cos'è il cloud?

Cos'è il cloud ibrido?

Cos'è un cloud pubblico?

Che cos'è un firewall di nuova generazione (NGFW)?

Un firewall di nuova generazione (Next Generation Firewall, NGFW) è più potente di un firewall tradizionale. Gli NGFW possiedono le funzionalità dei firewall tradizionali, ma anche una serie di caratteristiche aggiuntive per rispondere a una maggiore varietà di esigenze organizzative e bloccare un maggior numero di potenziali minacce. Sono chiamati "di nuova generazione" per distinguerli dai precedenti firewall che non dispongono di queste funzionalità.

La differenza tra un firewall di nuova generazione e quelli più vecchi è in qualche modo simile a quella tra uno smartphone e un vecchio cellulare. Entrambi hanno alcune caratteristiche in comune: messaggi di testo, chiamate vocali, un elenco di contatti, ecc. Uno smartphone, però, dispone anche di tante funzionalità avanzate che di fatto lo rendono un prodotto diverso, per cui c'è un altro termine che lo designa.

Qual è la funzione di un firewall?

Un firewall è un prodotto di sicurezza che monitora e controlla il traffico di rete in base a una serie di regole di sicurezza. I firewall possono essere applicazioni software installate su un server o computer, oppure possono essere dispositivi hardware che si collegano a una rete interna. I firewall di solito si trovano tra una rete attendibile e una rete non attendibile; spesso quella attendibile è la rete interna di un'azienda, mentre quella non attendibile è Internet.

Le funzionalità tipiche di un firewall tradizionale includono il filtraggio dei pacchetti, l'ispezione di stato, il proxy, il blocco IP, il blocco del nome di dominio e il blocco delle porte.

  • Il filtraggio dei pacchetti indica la capacità di filtrare il traffico di rete potenzialmente pericoloso. Tutti i dati che viaggiano su una rete (come Internet) vengono suddivisi in blocchi più piccoli chiamati "pacchetti". Un firewall può esaminare ogni singolo pacchetto e, se corrisponde a certe regole predeterminate, può bloccarne l'ingresso o l'uscita da una rete interna.
  • L'ispezione di stato porta il filtro dei pacchetti a un livello superiore. Con essa, i firewall possono esaminare i pacchetti di dati nel contesto di altri pacchetti che sono passati attraverso il firewall. Un pacchetto di dati può sembrare innocuo se preso singolarmente, ma se si sta dirigendo verso una destinazione insolita all'interno della rete, potrebbe rivelarsi dannoso. (Ad esempio, una query SQL non è di per sé dannosa, ma se viene inviata tramite un modulo Web, potrebbe essere parte di un attacco di SQL injection.)
  • Per proxy, in rete, si riferisce a una macchina che invia o riceve traffico di rete per conto di un'altra macchina. Un firewall può fungere da proxy inviando richieste e ricevendo risposte di rete per conto dei dispositivi dell'utente all'interno della propria rete interna, filtrando i dati dannosi prima che abbiano la possibilità di raggiungere tali dispositivi.
  • Il blocco IP e del nome di dominio fanno in modo che il firewall possa impedire completamente l'accesso agli utenti a determinati siti web o applicazioni.
  • Il blocco delle porte consente ai firewall di filtrare determinati tipi di traffico di rete. Nella rete, una porta è il luogo in cui termina una connessione tra una macchina e l'altra. Le porte sono virtuali o basate su software: non corrispondono a componenti materiali della macchina. Alcune porte sono riservate a determinati tipi di connessioni di rete: le connessioni HTTPS, ad esempio, avvengono sulla porta 443.

Quali caratteristiche differenziano un firewall di nuova generazione da un firewall tradizionale?

Gli NGFW hanno tutte le caratteristiche sopra elencate, ma includono in più tecnologie non disponibili nei precedenti prodotti firewall:

Sistema di prevenzione delle intrusioni (IPS): un sistema di prevenzione delle intrusioni rileva e blocca attivamente gli attacchi informatici. È come avere una guardia giurata che pattuglia attivamente un edificio, invece di sedersi semplicemente vicino all'ingresso principale.

Ispezione approfondita dei pacchetti (Deep Packet Inspection, DPI): i firewall più vecchi in genere controllano solo le intestazioni* dei pacchetti di dati che transitano. Gli NGFW ispezionano sia le intestazioni dei pacchetti di dati sia il loro payload al fine di rilevare meglio malware e altri tipi di traffico dannoso. È un po' come un punto di controllo in cui gli agenti di sicurezza ispezionano realmente il contenuto del bagaglio di una persona, invece di limitarsi a chiedergli di dichiarare gli articoli che ha nel bagaglio.

* L'intestazione del pacchetto contiene informazioni sul pacchetto nel suo insieme, ad esempio quanto è lungo e da dove proviene.

Controllo delle applicazioni: oltre all'analisi del traffico di rete, gli NGFW possono identificare le applicazioni da cui proviene il traffico. Sulla base di ciò, gli NGFW possono controllare a quali risorse possono accedere diverse applicazioni o bloccarne del tutto altre.

Integrazione directory: le directory utente consentono ai team interni di un'organizzazione di tenere traccia dei privilegi e delle autorizzazioni di ciascun utente. Alcuni NGFW possono filtrare il traffico di rete o le applicazioni in base a queste directory utente interne. Se un utente non dispone dell'autorizzazione per accedere a una determinata applicazione, essa gli viene bloccata dal firewall, anche se non è identificata come dannosa.

Ispezione del traffico crittografato: alcuni NGFW possono di fatto decodificare e analizzare il traffico crittografato con SSL/TLS. Un firewall è in grado di farlo agendo come proxy per il processo TLS. Tutto il traffico da e verso il sito Web viene decodificato dal firewall, analizzato e nuovamente crittografato. Dal punto di vista dell'utente, questo processo avviene senza discontinuità, per cui può interagire con siti Web HTTPS protetti come di consueto.

Gli NGFW vengono implementati nel cloud o in locale?

Gli NGFW possono essere eseguiti sia nel cloud che in locale. L'unica cosa che distingue un firewall vecchio da uno di nuova generazione è la possibilità di disporre di funzionalità di nuova generazione come quelle sopra elencate.

Cos'è il Firewall-as-a-Service (FWaaS)?

Il Firewall-as-a-Service (FWaaS) è un firewall ospitato nel cloud da un fornitore di terze parti. "Cloud firewall" è un altro termine che designa questo tipo di servizio.

Il FWaaS non è un dispositivo materiale, né è ospitato nei locali di un'organizzazione. Come nel caso di altre categorie "as-a-Service", ad es. Software-as-a-Service o Platform-as-a-Service, il FWaaS viene eseguito nel cloud e vi si accede da Internet.

Prima dell'avvento del cloud computing, un firewall si trovava tra una rete attendibile e una non attendibile, e il confine tra tali reti era ben delineato. Ma nel cloud computing questo limite, detto "perimetro di rete" non necessariamente esiste, in quanto alle risorse del cloud attendibili si accede tramite una rete non attendibile (Internet). I firewall ospitati su cloud mantengono queste risorse al sicuro nonostante l'assenza di un perimetro di rete.

Qual è la differenza tra FWaaS (firewall su cloud) e NGFW?

Differenze tra firewall di nuova generazione e cloud firewall

I firewall più moderni, inclusi i FWaaS/cloud, sono di nuova generazione. Tuttavia, "FWaaS" e "di nuova generazione" descrivono due diverse caratteristiche di un firewall. FWaaS descrive dove si trova un firewall. "Di nuova generazione" descrive cosa un firewall può fare.

Qualsiasi firewall con funzionalità di nuova generazione è un NGFW, indipendentemente da dove sia ospitato. Un firewall cloud, o FWaaS, è ospitato nel cloud, indipendentemente dal fatto che abbia o meno funzionalità di nuova generazione. Inoltre, i firewall ospitati su cloud sono configurati, gestiti e aggiornati da un fornitore, rendendoli più facili da mantenere per i clienti e, generalmente, più aggiornati e sicuri.

Che tipo di firewall offre Cloudflare?

Cloudflare WAF (Web Application Firewall) è un firewall basato su cloud che protegge le risorse cloud e le applicazioni Web. Cloudflare WAF è unico in quanto identifica e blocca continuamente nuove potenziali minacce. Lo fa analizzando i dati sul traffico dell'intera rete globale di Cloudflare.

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.