什么是下一代防火墙(NGFW)?|对比NGFW与FWaaS

下一代防火墙 (NGFW) 是具有强大现代化功能的防火墙。 下一代防火墙可以托管在云中,尽管并非所有下一代防火墙都是如此。

Share facebook icon linkedin icon twitter icon email icon

下一代防火墙

学习目标

阅读本文后,您将能够:

  • 定义“下一代防火墙”
  • 对比经典防火墙与下一代防火墙
  • 了解云防火墙与下一代防火墙有哪些重叠

什么是下一代防火墙(NGFW)?

下一代防火墙(NGFW)比传统的防火墙更强大。NGFW 具有传统防火墙的功能,但它们还具有许多附加功能,可以满足更多样化的企业需求并阻止更多潜在威胁。将它们称为“下一代”,是为了将它们与没有这些功能的旧防火墙区分开来。

下一代防火墙与旧防火墙之间的区别有点像智能手机与翻盖手机之间的区别。两者都有一些共同的功能,比如发短信、语音通话和联系人列表等。但是智能手机增加了许多高级功能,实际上它是另一种产品,因此有不同的术语。

防火墙用来做什么?

防火墙是一种安全产品,可以根据一组安全规则监视和控制网络流量。防火墙可以是安装在服务器或计算机上的软件应用程序,也可以是连接到内部网络的物理硬件设备。防火墙通常位于受信任的网络和不受信任的网络之间;通常,受信任的网络是企业的内部网络,而不受信任的网络是互联网。

传统防火墙的典型功能包括数据包筛选、状态检查、代理、IP 阻止、域名阻止和端口阻止。

  • 数据包过滤是指过滤出潜在危险网络流量的能力。通过网络(例如 Internet)传输的所有数据都被分解为我们称之为数据包的较小区块。防火墙可以查看每个单独的数据包,如果数据包符合某些预先确定的规则,则阻止数据包进入或退出内部网络。
  • 状态检查使数据包的过滤更深一层。通过状态检测,防火墙可以在通过防火墙的其他数据包的上下文中检查数据包。数据包本身看起来可能是无害的,但是,如果数据包流向网络中的异常目的地,则有可能是恶意的。(例如,SQL查询本身并不是恶意的,但是如果通过网页表单发送,则可能是 SQL 注入攻击的一部分。)
  • 代理在网络中是指一台机器代表另一台机器发送或接收网络流量。防火墙可以充当代理,代表内部网络中的用户设备发出请求和接收网络响应,在恶意数据有机会到达这些设备之前过滤掉恶意数据。
  • IP和域名阻止表示防火墙可以完全阻止用户访问某些网站或应用程序。
  • 端口阻止允许防火墙过滤掉某些类型的网络流量。在网络连接过程中,端口是一台机器与另一台机器之间的连接终止的地方。端口是虚拟的或基于软件的,它们并不对应于计算机的物理组件。某些端口是专属于某些类型的网络连接:比如 HTTPS 连接运行在 443 端口。

哪些功能将下一代防火墙与传统防火墙区分开?

NGFW具有上述所有功能。但除此之外,它们还包括早期防火墙产品中不具备的技术:

入侵防护系统(IPS):入侵防护系统主动检测并阻止网络攻击。这就好比让一名安全保卫人员主动对建筑物进行巡逻,而不是只坐在前门入口旁。

深度包数据检查(DPI):较旧的防火墙通常仅检查通过的数据包的标头*。而 NGFW 会同时检测数据包标头和数据包有效负载,以便更好地检测恶意软件和其他类型的恶意流量。这有点像安全检查站,安全检查员在实际检查一个人行李中的物品,而不仅仅是让那个人告诉他们的行李中有什么物品。

* 数据包的标头包含有关整个数据包的信息,例如数据包的长度和来源。

应用程序控制: 除了分析网络流量之外,NGFW还可以识别流量来自哪些应用程序。基于此,NGFW 可以控制不同应用程序可以访问哪些资源,或完全阻止某些应用程序。

目录集成:用户目录允许组织的内部团队监控每个用户所拥有的特权和权限。一些 NGFW 可以根据这些内部用户目录过滤网络流量或应用程序。如果用户无权访问某个应用程序,则即使该应用程序未被标识为恶意软件,防火墙也会阻止该用户访问该应用程序。

加密流量检查:有些 NGFW 实际上可以解密和分析被加密的流量,即便是由 SSL/TLS 加密。防火墙可以通过充当 TLS 进程的代理来做到这一点。往返于网站的所有流量均由防火墙解密、分析并再次加密。从用户的角度来看,这种代理实际上是无缝隙的,并且它们可以像正常一样与安全的 HTTPS 网站进行交互。

NGFW是部署在云还是本地环境?

NGFW 既可以在也可以在本地环境运行。版本较旧的防火墙与下一代防火墙的唯一区别在于,它是否具有上述的下一代功能。

什么是防火墙即服务(FWaaS)?

防火墙即服务(FWaaS)是由第三方供应商托管在云中的防火墙。"云防火墙"是此类服务的另一个术语。

FWaaS不是物理设备,也不是托管在组织的本地环境。类似其他"即服务"类别,比如软件即服务平台即服务,FWaaS也是在云环境中运行并可以通过互联网进行访问。

在云计算出现之前,可信任的网络与不可信网络之间就存在防火墙,并且可信任的网络与不可信的网络之间存在明确的界限。但是在云计算中,此边界(称为"网络边界”)不一定存在,因为受信任的云资产是通过不受信任的网络(互联网)来访问的。尽管缺乏网络边界,但云托管的防火墙仍可确保这些资产的安全。

FWaaS(云防火墙)和NGFW之间有什么区别?

下一代防火墙与云防火墙

大多数现代防火墙,包括FWaaS/云防火墙,都属于下一代防火墙。但是,"FWaaS"和"下一代"则表述了防火墙的两个不同特征。 FWaaS描述的是防火墙的位置。 "下一代"描述的是防火墙可以做什么。

任何具有下一代功能的防火墙都是NGFW,无论它位于何处。云防火墙或FWaaS是托管在云环境中,不论它是否具有下一代功能。此外,由供应商配置、维护和更新的云托管防火墙,使它们更易于客户来维护,并且通常更新和更安全。

Cloudflare提供哪种防火墙?

Cloudflare WAF(Web应用程序防火墙)是基于云的防火墙,可保护云资产和Web应用程序。Cloudflare WAF 的独特之处在于,它可以持续识别并阻止新的潜在威胁。它通过分析来自整个全球 Cloudflare 网络的流量数据来做到这一点。