下一代防火牆 (NGFW) 與防火牆即服務 (FWaaS)

下一代防火牆 (NGFW) 是具有進階功能的防火牆,而防火牆即服務 (FWaaS) 是用於保護網路和雲端基礎結構的雲端交付防火牆。

學習目標

閱讀本文後,您將能夠:

  • 定義下一代防火牆 (NGFW) 和防火牆即服務 (FWaaS)
  • 對比 NGFW 與 FWaaS
  • 瞭解雲端防火牆與下一代防火牆的共同點

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

下一代防火牆 (NGFW) 與防火牆即服務 (FWaaS)

這些詞彙描述了防火牆的兩個不同方面——它可以做什麼 (NGFW) 與部署的位置和方式 (FWaaS)。下一代防火牆 (NGFW) 具有一組特定的安全功能。防火牆即服務 (FWaaS) 是指託管在雲端並作為服務提供的防火牆(此類防火牆也可以稱為「雲端防火牆」)。

FWaaS 可以具有下一代功能,NGFW 也可以託管在雲端。

NGFW 與 FWaaS 文氏圖表

組織所需的防火牆類型取決於其基礎結構。如果他們的所有網路基礎結構和應用程式都是內部部署的,那麼基於硬體的 NGFW 可能就足夠了。但大多數現代組織在雲端執行一些工作負載,這使得 FWaaS 成為必需品(理想情況下,最好是具有下一代功能的 FWaaS 解決方案)。

防火牆的作用是什麼?

防火牆是一種安全性產品,可以根據一組安全性規則監視並控制網路流量。防火牆可以是安裝在伺服器或電腦上的軟體應用程式,也可以是連線到內部網路的物理硬體設備。防火牆通常位於受信任網路與不受信任網路之間;受信任網路往往是企業內部網路,而不受信任網路往往是網際網路。

防火牆的標準功能包括:

  • 封包篩選:分析單個資料封包並在必要時封鎖它們
  • 具狀態檢查:在作用中網路連線的環境中評估封包
  • 虛擬私人網路 (VPN) 感知:識別加密的 VPN 流量並允許其通過

什麼是下一代防火牆 (NGFW)?

NGFW 在具備傳統防火牆功能的同時,還擁有許多附加功能,可以滿足更廣大組織的需求,並封鎖更多潛在威脅。它們被冠之以「下一代」,正是為了區別於缺乏這些功能的舊防火牆。

NGFW 技術包括:

  • 入侵預防系統 (IPS):掃描網路流量、識別惡意軟體並封鎖它
  • 深度封包檢查 (DPI):透過分析每個封包的內文以及標頭來改進封包篩選
  • 應用程式感知和控制:根據流量將流向哪些應用程式來識別和封鎖流量
  • 威脅情報摘要:合併更新的威脅情報流以識別最新威脅

什麼是防火牆即服務 (FWaaS)?

FWaaS 是由第三方代管在雲端的防火牆。雲端防火牆是此類服務的另一種說法。

FWaaS 既不是實體設備,也並非代管在組織內部。和其他類別的「即服務」(如基礎結構即服務 (IaaS) 軟體即服務 (SaaS))一樣,FWaaS 在雲端執行,並可以透過網際網路存取。

在雲端運算出現之前,防火牆位於受信任網路和不受信任網路之間,並且在受信任和不受信任的網路之間有明確的邊界(稱為「網路周邊」)。但在雲端運算中,此邊界並不存在,因為受信任的雲端資產是透過不受信任的網路(網際網路)存取的。即使沒有網路周邊,雲端託管的防火牆也可以保護這些資產。此外,雲端託管的防火牆由防火牆廠商(而不是客戶)設定、維護和更新。

什麼是 Cloudflare Magic Firewall?

Cloudflare Magic Firewall 是託管在全球 Cloudflare 網路上的具有下一代功能的雲端防火牆。它可以保護資料中心、遠端使用者、分支機構和雲端基礎結構,並與 Cloudflare One 平台緊密整合。瞭解有關 Magic Firewall 的更多資訊