什么是下一代防火墙 (NGFW)?| NGFW 与FWaaS

下一代防火墙 (NGFW) 是具有强大现代化功能的防火墙。下一代防火墙可以托管在云中,尽管并非所有下一代防火墙都是如此。

Share facebook icon linkedin icon twitter icon email icon

下一代防火墙

学习目标

阅读本文后,您将能够:

  • 定义“下一代防火墙”
  • 对比经典防火墙与下一代防火墙
  • 了解云防火墙与下一代防火墙有哪些重叠

什么是下一代防火墙 (NGFW)?

下一代防火墙 (NGFW) 比传统的防火墙更强大。NGFW 具有传统防火墙的功能,但它们还具有许多附加功能,可以满足更多样化的企业需求并阻止更多潜在威胁。将它们称为“下一代”,是为了将它们与没有这些功能的旧防火墙区分开来。

下一代防火墙与旧防火墙的区别有点像智能手机与老式手机的区别。两者都有一些共同功能,比如发短信、语音通话、联系人列表等。但是智能手机增加了许多高级功能,使它实际上成为一种不同类型的产品,因此,就有了不同的专用术语。

防火墙有什么作用?

防火墙是一种安全产品,根据一组安全规则监视和控制网络流量。防火墙可以是安装在服务器或计算机上的软件应用程序,也可以是连接到内部网络的物理硬件设备。防火墙通常位于受信任的网络和不受信任的网络之间;一般来说,受信任的网络是企业的内部网络,而不受信任的网络是 Internet。

传统防火墙的典型功能包括数据包过滤、状态检测、代理、IP 阻止、域名阻止和端口阻止。

  • 数据包过滤指的是过滤出潜在危险网络流量的能力。通过网络(例如 Internet)传输的所有数据都被分解为我们称之为数据包的较小区块。防火墙可以查看每个单独的数据包,如果数据包符合某些预先确定的规则,则阻止数据包进入或退出内部网络。
  • 状态检测使数据包过滤更深一级。通过状态检测,防火墙可以在通过防火墙的其他数据包的上下文中检查数据包。数据包本身看起来可能是无害的,但是,如果数据包流向网络中的异常目的地,则有可能是恶意的。(例如,SQL 查询本身并不是恶意的,但是如果通过 Web 窗体发送,则它就有可能是 SQL 注入攻击的一部分。)
  • 代理指的是,在网络连接过程中,一台机器代表另一台机器发送或接收网络流量的过程。防火墙可以充当代理,代表内部网络中的用户设备发出请求和接收网络响应,在恶意数据有机会到达这些设备之前过滤掉恶意数据。
  • IP 和域名阻止意味着防火墙可以完全阻止用户访问某些网站或应用程序。
  • 端口阻止可让防火墙过滤掉某些类型的网络流量。在网络连接过程中,端口是一台机器与另一台机器之间的连接终止的地方。端口是虚拟的或基于软件的,它们并不对应于计算机的物理组件。某些端口适用于特定类型的网络连接:例如,HTTPS 连接发生在端口 443。

哪些功能将下一代防火墙与传统防火墙区分开来?

NGFW 具有所有上述功能。但除此之外,它们还包括早期防火墙产品所不具备的技术:

入侵防护系统 (IPS): 入侵防护系统可以主动检测并阻止网络攻击。这就好比让一名安全保卫人员主动对建筑物进行巡逻,而不是只坐在前门入口旁。

深度包检测 (DPI): 版本较旧的防火墙通常仅检测通过的数据包的标头*。而 NGFW 会同时检测数据包标头和数据包有效负载,以便更好地检测恶意软件和其他类型的恶意流量。这有点像安全检查站,安全检查员在实际检查一个人行李中的物品,而不仅仅是让那个人告诉他们的行李中有什么物品。

*数据包标头包含有关整个数据包的信息,例如数据包的长度和来源。

应用程序控制: 除了分析网络流量外,NGFW 还可以识别流量来自哪些应用程序。基于此,NGFW 可以控制不同应用程序可以访问哪些资源,或完全阻止某些应用程序。

目录集成: 通过用户目录,企业的内部团队可以跟踪每个用户所拥有的特权和权限。一些 NGFW 可以根据这些内部用户目录过滤网络流量或应用程序。如果用户无权访问某个应用程序,则即使该应用程序未被标识为恶意软件,防火墙也会阻止该用户访问该应用程序。

加密流量检查: 某些 NGFW 可以实际解密和分析使用 SSL/TLS 加密的流量。防火墙可以通过充当 TLS 进程的代理来做到这一点。往返于网站的所有流量均由防火墙解密、分析并再次加密。从用户的角度来看,这种代理几乎是无缝衔接的,它们可以正常地与安全的 HTTPS 网站进行交互。

NGFW 部署发生在云中还是本地?

NGFW 可以在中运行,也可以在本地端运行。版本较旧的防火墙与下一代防火墙的唯一区别在于,它是否具有上述的下一代功能。

什么是防火墙即服务 (FWaaS)?

防火墙即服务 (FWaaS) 是由第三方供应商托管在云中的防火墙。“云防火墙”是此类服务的另一个术语。

FWaaS 不是物理设备,也不托管在企业的场所中。就像软件即服务平台即服务之类的其他“即服务”类别一样,FWaaS 在云中运行并可通过 Internet 进行访问。

在云计算出现之前,防火墙位于受信任的网络和不受信任的网络之间,且受信任的网络和不受信任的网络之间存在明确的界限。但在云计算中,这个边界(称为“网络外围”)不一定存在,因为也有可能发生通过不受信任的网络 (Internet) 访问受信任的云资产的情况。尽管缺乏网络外围,但云托管的防火墙仍可确保这些资产的安全。

FWaaS(云防火墙)与 NGFW 有什么区别?

Next-Generation Firewall vs Cloud Firewall

大多数现代防火墙,包括 FWaaS /云防火墙,都是下一代防火墙。但是,“FWaaS”和“下一代”描述的是防火墙的两个不同特征。FWaaS 描述了防火墙的位置。“下一代”描述了防火墙可以做什么。

任何具有下一代功能的防火墙都是 NGFW,无论其托管在何处。云防火墙或 FWaaS 托管在云中,不管它是否具有下一代功能。此外,云托管防火墙是由供应商进行配置、维护和更新,使客户更易于维护,并且通常也更新、更安全。

Cloudflare 提供哪种防火墙?

Cloudflare WAF (Web Application Firewall) 是基于云的防火墙,可保护云资产和 Web 应用程序。Cloudflare WAF 的独特之处在于,它可以持续识别并阻止新的潜在威胁。它通过分析来自整个全球 Cloudflare 网络的流量数据来做到这一点。