What is a next-generation firewall (NGFW)? | NGFW vs. FWaaS

Che cos'è un firewall di nuova generazione (NGFW)?

Un firewall di nuova generazione (Next Generation Firewall, NGFW) è più potente di un firewall tradizionale. Gli NGFW possiedono le funzionalità dei firewall tradizionali, ma anche una serie di caratteristiche aggiuntive per rispondere a una maggiore varietà di esigenze organizzative e bloccare un maggior numero di potenziali minacce. Sono chiamati "di nuova generazione" per distinguerli dai precedenti firewall che non dispongono di queste funzionalità.

La differenza tra un firewall di nuova generazione e quelli più vecchi è in qualche modo simile a quella tra uno smartphone e un vecchio cellulare. Entrambi hanno alcune caratteristiche in comune: messaggi di testo, chiamate vocali, un elenco di contatti, ecc. Uno smartphone, però, dispone anche di tante funzionalità avanzate che di fatto lo rendono un prodotto diverso, per cui c'è un altro termine che lo designa.

Qual è la funzione di un firewall?

Un firewall è un prodotto di sicurezza che monitora e controlla il traffico di rete in base a una serie di regole di sicurezza. I firewall possono essere applicazioni software installate su un server o computer, oppure possono essere dispositivi hardware che si collegano a una rete interna. I firewall di solito si trovano tra una rete attendibile e una rete non attendibile; spesso quella attendibile è la rete interna di un'azienda, mentre quella non attendibile è Internet.

Le funzionalità tipiche di un firewall tradizionale includono il filtraggio dei pacchetti, l'ispezione di stato, il proxy, il blocco IP, il blocco del nome di dominio e il blocco delle porte.

• Il filtraggio dei pacchetti indica la capacità di filtrare il traffico di rete potenzialmente pericoloso. Tutti i dati che viaggiano su una rete (come Internet) vengono suddivisi in blocchi più piccoli chiamati "pacchetti". Un firewall può esaminare ogni singolo pacchetto e, se corrisponde a certe regole predeterminate, può bloccarne l'ingresso o l'uscita da una rete interna.
• L'ispezione di stato porta il filtro dei pacchetti a un livello superiore. Con essa, i firewall possono esaminare i pacchetti di dati nel contesto di altri pacchetti che sono passati attraverso il firewall. Un pacchetto di dati può sembrare innocuo se preso singolarmente, ma se si sta dirigendo verso una destinazione insolita all'interno della rete, potrebbe rivelarsi dannoso. (Ad esempio, una query SQL non è di per sé dannosa, ma se viene inviata tramite un modulo Web, potrebbe essere parte di un attacco di SQL injection.)
• Per proxy, in rete, si riferisce a una macchina che invia o riceve traffico di rete per conto di un'altra macchina. Un firewall può fungere da proxy inviando richieste e ricevendo risposte di rete per conto dei dispositivi dell'utente all'interno della propria rete interna, filtrando i dati dannosi prima che abbiano la possibilità di raggiungere tali dispositivi.
• Il blocco IP e del nome di dominio fanno in modo che il firewall possa impedire completamente l'accesso agli utenti a determinati siti web o applicazioni.
• Il blocco delle porte consente ai firewall di filtrare determinati tipi di traffico di rete. Nella rete, una porta è il luogo in cui termina una connessione tra una macchina e l'altra. Le porte sono virtuali o basate su software: non corrispondono a componenti materiali della macchina. Alcune porte sono riservate a determinati tipi di connessioni di rete: le connessioni HTTPS, ad esempio, avvengono sulla porta 443.

Quali caratteristiche differenziano un firewall di nuova generazione da un firewall tradizionale?

Gli NGFW hanno tutte le caratteristiche sopra elencate, ma includono in più tecnologie non disponibili nei precedenti prodotti firewall:

Sistema di prevenzione delle intrusioni (IPS): un sistema di prevenzione delle intrusioni rileva e blocca attivamente gli attacchi informatici. È come avere una guardia giurata che pattuglia attivamente un edificio, invece di sedersi semplicemente vicino all'ingresso principale.

Ispezione approfondita dei pacchetti (Deep Packet Inspection, DPI): i firewall più vecchi in genere controllano solo le intestazioni* dei pacchetti di dati che transitano. Gli NGFW ispezionano sia le intestazioni dei pacchetti di dati sia il loro payload al fine di rilevare meglio malware e altri tipi di traffico dannoso. È un po' come un punto di controllo in cui gli agenti di sicurezza ispezionano realmente il contenuto del bagaglio di una persona, invece di limitarsi a chiedergli di dichiarare gli articoli che ha nel bagaglio.

* L'intestazione del pacchetto contiene informazioni sul pacchetto nel suo insieme, ad esempio quanto è lungo e da dove proviene.

Controllo delle applicazioni: oltre all'analisi del traffico di rete, gli NGFW possono identificare le applicazioni da cui proviene il traffico. Sulla base di ciò, gli NGFW possono controllare a quali risorse possono accedere diverse applicazioni o bloccarne del tutto altre.

Integrazione directory: le directory utente consentono ai team interni di un'organizzazione di tenere traccia dei privilegi e delle autorizzazioni di ciascun utente. Alcuni NGFW possono filtrare il traffico di rete o le applicazioni in base a queste directory utente interne. Se un utente non dispone dell'autorizzazione per accedere a una determinata applicazione, essa gli viene bloccata dal firewall, anche se non è identificata come dannosa.

Ispezione del traffico crittografato: alcuni NGFW possono di fatto decodificare e analizzare il traffico crittografato con SSL/TLS. Un firewall è in grado di farlo agendo come proxy per il processo TLS. Tutto il traffico da e verso il sito Web viene decodificato dal firewall, analizzato e nuovamente crittografato. Dal punto di vista dell'utente, questo processo avviene senza discontinuità, per cui può interagire con siti Web HTTPS protetti come di consueto.

Gli NGFW vengono implementati nel cloud o in locale?

Gli NGFW possono essere eseguiti sia nel cloud che in locale. L'unica cosa che distingue un firewall vecchio da uno di nuova generazione è la possibilità di disporre di funzionalità di nuova generazione come quelle sopra elencate.

Cos'è il Firewall-as-a-Service (FWaaS)?

Il Firewall-as-a-Service (FWaaS) è un firewall ospitato nel cloud da un fornitore di terze parti. "Cloud firewall" è un altro termine che designa questo tipo di servizio.

Il FWaaS non è un dispositivo materiale, né è ospitato nei locali di un'organizzazione. Come nel caso di altre categorie "as-a-Service", ad es. Software-as-a-Service o Platform-as-a-Service, il FWaaS viene eseguito nel cloud e vi si accede da Internet.

Prima dell'avvento del cloud computing, un firewall si trovava tra una rete attendibile e una non attendibile, e il confine tra tali reti era ben delineato. Ma nel cloud computing questo limite, detto "perimetro di rete" non necessariamente esiste, in quanto alle risorse del cloud attendibili si accede tramite una rete non attendibile (Internet). I firewall ospitati su cloud mantengono queste risorse al sicuro nonostante l'assenza di un perimetro di rete.

Qual è la differenza tra FWaaS (firewall su cloud) e NGFW?

I firewall più moderni, inclusi i FWaaS/cloud, sono di nuova generazione. Tuttavia, "FWaaS" e "di nuova generazione" descrivono due diverse caratteristiche di un firewall. FWaaS descrive dove si trova un firewall. "Di nuova generazione" descrive cosa un firewall può fare.

Qualsiasi firewall con funzionalità di nuova generazione è un NGFW, indipendentemente da dove sia ospitato. Un firewall cloud, o FWaaS, è ospitato nel cloud, indipendentemente dal fatto che abbia o meno funzionalità di nuova generazione. Inoltre, i firewall ospitati su cloud sono configurati, gestiti e aggiornati da un fornitore, rendendoli più facili da mantenere per i clienti e, generalmente, più aggiornati e sicuri.

Che tipo di firewall offre Cloudflare?

Cloudflare WAF (Web Application Firewall) è un firewall basato su cloud che protegge le risorse cloud e le applicazioni Web. Cloudflare WAF è unico in quanto identifica e blocca continuamente nuove potenziali minacce. Lo fa analizzando i dati sul traffico dell'intera rete globale di Cloudflare.