什么是下一代防火墙(NGFW)?|对比NGFW与FWaaS

下一代防火墙 (NGFW) 是具有强大现代化功能的防火墙。 下一代防火墙可以托管在云中,尽管并非所有下一代防火墙都是如此。

Share facebook icon linkedin icon twitter icon email icon

下一代防火墙

学习目标

阅读本文后,您将能够:

  • 定义“下一代防火墙”
  • 对比经典防火墙与下一代防火墙
  • 了解云防火墙与下一代防火墙有哪些重叠

什么是下一代防火墙(NGFW)?

下一代防火墙(NGFW)比传统的防火墙更强大。 NGFW不仅具有传统防火墙的功能,还具有许多附加功能,可满足更多种类的组织需求并阻止更多潜在威胁。它们被称为"下一代"以将它们与不具备这些功能的旧防火墙区分开来。

下一代防火墙与旧防火墙之间的区别有点像智能手机与翻盖手机之间的区别。两者都有一些共同的功能,比如发短信、语音通话和联系人列表等。但是智能手机增加了许多高级功能,实际上它是另一种产品,因此有不同的术语。

防火墙用来做什么?

防火墙是一种安全产品,可以根据一组安全规则监视和控制网络流量。防火墙可以是安装在服务器或计算机上的软件应用程序,也可以是连接到内部网络的物理硬件设备。防火墙通常位于受信任的网络和不受信任的网络之间;通常,受信任的网络是企业的内部网络,而不受信任的网络是互联网。

传统防火墙的典型功能包括数据包筛选、状态检查、代理、I 阻止、域名阻止和端口阻止。

  • 数据包过滤是指过滤出潜在危险网络流量的能力。通过网络(例如互联网)传输的所有数据都被分解为称为数据包的较小块。防火墙可以查看每个单独的数据包,如果它符合某些预定规则,则可以阻止其进入或退出内部网络。
  • 状态检查使数据包的过滤更深一层。通过状态检查,防火墙可以在通过防火墙的其他数据包的前后文本检查数据包。某一个数据包本身看起来可能是无害的,但是,如果数据包正朝着网络中不寻常的目的地发送,则可能是恶意的。 (例如,SQL查询本身并不是恶意的,但是如果通过网页表单发送,则可能是 SQL注入攻击 的一部分。)
  • 代理在网络中是指一台机器代表另一台机器发送或接收网络流量。防火墙可以充当代理,通过代表内部网络中的用户设备发出请求并接收网络响应,从而在恶意数据有机会到达这些设备之前将其过滤掉。
  • IP和域名阻止表示防火墙可以完全阻止用户访问某些网站或应用程序。
  • 端口阻止允许防火墙过滤掉某些类型的网络流量。在网络中,端口是一台机器与另一台机器之间的连接终止的地方。端口可以是虚拟的或是以软件为基础的 – 它们并不对应计算机的物理组件。某些端口是专属于某些类型的网络连接:比如HTTPS连接运行在443端口。

哪些功能将下一代防火墙与传统防火墙区分开?

NGFW具有上述所有功能。但除此之外,它们还包括早期防火墙产品中不具备的技术:

入侵防护系统(IPS):入侵防护系统主动检测并阻止网络攻击。就像一名保安人员主动巡逻一栋建筑物,而不是只坐在前门旁边。

深度包数据检查(DPI):较旧的防火墙通常仅检查通过的数据包的标头*。 NGFW会同时检查数据包头和数据包有效载荷,以便更好地检测恶意软件和其他类型的恶意流量。这有点像一个安检站,保安人员实际上在检查个人行李中的物品,而不仅仅是让那个人告诉他们行李中有什么物品。

* 数据包的标头包含有关整个数据包的信息,例如数据包的长度和来源。

应用程序控制: 除了分析网络流量之外,NGFW还可以识别流量来自哪些应用程序。以此为基础,NGFW可以控制不同应用程序可以访问的资源,或完全阻止某些应用程序。

目录集成:用户目录允许组织的内部团队监控每个用户所拥有的特权和权限。一些NGFW可以基于这些内部用户目录过滤网络流量或应用程序。如果用户无权访问某个应用程序,则即使该应用程序未被标识为恶意程序,该防火墙也会阻止用户访问该应用程序。

加密流量检查:有些NGFWs实际上可以解密和分析被加密的流量,即便是由SSL/TLS加密。防火墙可以通过充当TLS进程的代理来做到这一点。往返于网站的所有流量均由防火墙解密,分析并再次加密。从用户的角度来看,这种代理实际上是无缝隙的,并且它们可以像正常一样与安全的HTTPS网站进行交互。

NGFW是部署在云还是本地环境?

NGFW既可以在也可以在本地环境运行。旧防火墙与下一代防火墙的唯一区别就是它是否具有如上所述的下一代功能。

什么是防火墙即服务(FWaaS)?

防火墙即服务(FWaaS)是由第三方供应商托管在云中的防火墙。 "云防火墙"是此类服务的另一个术语。

FWaaS不是物理设备,也不是托管在组织的本地环境。类似其他"即服务"类别,比如软件即服务平台即服务,FWaaS也是在云环境中运行并可以通过互联网进行访问。

在云计算出现之前,可信任的网络与不可信网络之间就存在防火墙,并且可信任的网络与不可信的网络之间存在明确的界限。但是在云计算中,此边界(称为"网络边界”)不一定存在,因为受信任的云资产是通过不受信任的网络(互联网)来访问的。尽管缺乏网络边界,但云托管的防火墙仍可确保这些资产的安全。

FWaaS(云防火墙)和NGFW之间有什么区别?

Next-Generation Firewall vs Cloud Firewall

大多数现代防火墙,包括FWaaS/云防火墙,都属于下一代防火墙。但是,"FWaaS"和"下一代"则表述了防火墙的两个不同特征。 FWaaS描述的是防火墙的位置。 "下一代"描述的是防火墙可以做什么。

任何具有下一代功能的防火墙都是NGFW,无论它位于何处。云防火墙或FWaaS是托管在云环境中,不论它是否具有下一代功能。此外,由供应商配置、维护和更新的云托管防火墙,使它们更易于客户来维护,并且通常更新和更安全。

Cloudflare提供哪种防火墙?

Cloudflare WAF (Web应用程序防火墙)是基于云的防火墙,可保护云资产和Web应用程序。 Cloudflare WAF的独特之处在于它可以不断识别并阻止新的潜在威胁。它通过分析来自整个全球Cloudflare网络的流量数据来做到这一点。