什么是下一代防火墙(NGFW)?

下一代防火墙 (NGFW) 具有传统防火墙所没有的额外功能,以此将二者区分开来。NGFW 通常更善于识别最新威胁。

学习目标

阅读本文后,您将能够:

  • 定义下一代防火墙 (NGFW)
  • 描述 NGFW 的功能
  • 区分数据包过滤和深度包检测 (DPI)

复制文章链接

什么是下一代防火墙(NGFW)?

下一代防火墙 (NGFW) 是一种安全设备,用于处理网络流量并应用规则以阻止潜在的危险流量。NGFW 在传统防火墙的基础上演变和扩展而来。它们能做防火墙所做的一切,但功能更强大,且具有更多的功能。

假设有两个机场安全机构。一个进行检查以确保没有任何禁飞名单上的乘客,他们的身份与机票上的信息相符,且他们要去往机场实际服务的目的地。第二个机构,除了检查禁飞名单等之外,还检查乘客携带的物品,确保他们没有危险或不允许携带的物品。第一个机构可以保持机场安全,防止明显的威胁;但第二个机构还能够发现可能不太明显的威胁。

普通防火墙就像第一个安全机构:它根据数据(乘客)的去向、是否属于合法网络连接以及它的来源来阻止或允许数据。NGFW 则更像第二个安全机构:它在更深的层次上检查数据,以识别和阻止可能隐藏在看似正常的流量中的威胁。

NGFW 有哪些功能?

NGFW 可以做普通防火墙能做的一切,包括:

  • 数据包过滤:检查每个单独的数据,并阻止危险或意外的数据包。数据包过滤将在后文中进行详细说明。
  • 有状态检查:在上下文中查看数据包,确保它们是合法网络连接的一部分。
  • VPN 意识:防火墙能够识别加密的 VPN 流量并允许其通过。

NGFW 还增加了一些旧版防火墙所不具备的功能。除了包过滤外,NGFW 还使用深度包检测 (DPI) 技术。根据全球研究和咨询公司 Gartner 的说明,NGFW 包括:

  • 应用程序意识和控制
  • 入侵防护
  • 威胁情报
  • 升级的路径,以便增加未来的信息反馈
  • 应对不断变化的安全威胁的技术

下文中将对这些功能进行详细说明。

之所以能够实现这些功能,是因为与普通防火墙不同,NGFW 能够处理 OSI 模型中多个层的流量,而不仅仅是第 3 层(网络层)和第 4 层(传输层)。例如,NGFW 可以查看第 7 层 HTTP 流量,并识别哪些应用程序正在使用中。这是一项重要的功能,因为第 7 层���应用程序层)越来越多地成为攻击的目标,以绕开传统防火墙在第 3 层和第 4 层应用的安全策略。

(要了解有关 OSI 层的更多信息,请参见什么是 OSI 模型?

什么是数据包过滤和深度包检测 (DPI)?

数据包过滤

所有穿越网络或互联网的数据都被分解成更小的片段,称为“数据包”。因为这些数据包包含了进入网络的内容,所以防火墙会检查这些数据包,并阻止或允许它们通过,以防止恶意内容(如恶意软件攻击)。所有防火墙都有这种数据包过滤的功能。

数据包过滤的工作原理是检查与每个数据包相关的源和目的地 IP 地址端口以及协议。换句话说,即每个数据包来自哪里、要去哪里以及如何到达那里。防火墙根据这一评估允许或阻止数据包,过滤掉不允许的数据包。

例如,攻击者有时试图利用与远程桌面协议 (RDP)相关的漏洞,向该协议使用的端口(端口 3389)发送特制的数据包。然而,防火墙可以检查数据包,看它要去往哪个端口,并阻止所有指向该端口的数据包——除非它们来自一个特别允许的 IP 地址。这涉及到在第 3 层(查看源和目的地 IP 地址)和第 4 层(查看端口)检查网络流量。

深度包检测 (DPI)

NGFW 通过执行深度包检测 (DPI) 来改进数据包过滤。与数据包过滤一样,DPI 涉及检查每个单独的数据包,以查看源和目的地 IP 地址、源和目的地端口等。这些信息都包含在数据包的第 3 层和第 4 层标头中。

但 DPI 还会检查每个数据包的主体,而不仅仅是标头。具体来说,DPI 会检查数据包主体是否有恶意软件签名和其他潜在威胁。它将每个数据包的内容与已知恶意攻击的内容进行比较。

什么是应用程序意识和控制?

NGFW 根据数据包的去向,阻止或允许数据包。它们通过分析第 7 层(应用程序层)的流量来做到这一点。传统的防火墙不具备这种能力,因为它们只分析第 3 层和第 4 层的流量。

应用程序意识让管理员能够阻止有潜在风险的应用程序。如果一个应用程序的数据不能通过防火墙,那么它就不能将威胁引入网络。

根据 Gartner 对这些术语的定义,该功能和入侵防护(下文所述)都是 DPI 的要素。

什么是入侵防护?

入侵防护分析传入流量,识别已知威胁和潜在威胁,并阻止这些威胁。这种功能通常被称为入侵防护系统 (IPS)。NGFW 的 DPI 功能中包含 IPS。

IPS 可以使用几种方法来检测威胁,包括:

  • 签名检测:扫描传入数据包内的信息,并将其与已知威胁进行比较
  • 统计异常检测:扫描流量以检测与基线相比异常的行为变化
  • 有状态的协议分析检测:与统计异常检测类似,但着重于使用中的网络协议,将其与典型的协议使用情况进行比较

什么是威胁情报?

威胁情报是关于潜在攻击的信息。由于攻击技术和恶意软件的种类在不断变化,最新的威胁情报对于阻止这些攻击至关重要。NGFW 能够接收来自外部来源的威胁情报源并采取行动。

威胁情报通过提供最新的恶意软件签名,保持 IPS 签名检测的有效性。

威胁情报还可以提供 IP 信誉信息。“IP信誉”标识攻击(尤其是机器人攻击)的常发 IP 地址。IP 信誉威胁情报源提供了最新的已知不良 IP 地址,然后 NGFW 可以阻止这些地址。

下一代防火墙是基于硬件还是基于软件?

一些 NGFW 是硬件设备,旨在保护内部专用网络。NGFW 也可以作为软件部署,但并不是一定要基于软件才能被视为下一代防火墙。

最后,NGFW 可以作为服务来部署,这被称为云防火墙或防火墙即服务 (FWaaS)。FWaaS 是安全访问服务边缘 (SASE) 网络模型的一个重要组成部分。(更深入地比较 NGFW 和 FWaaS。)

什么是 Cloudflare Magic Firewall?

Cloudflare Magic Firewall 是一个通过全球 Cloudflare 网络交付的网络级防火墙。它保护用户、办公网络和云基础设施,旨在用先进、可扩展的保护措施取代基于硬件的防火墙。

Magic Firewall 与 Cloudflare One 紧密集成,后者是一个结合了网络和安全服务的 SASE 平台。