What is a next-generation firewall (NGFW)? | NGFW vs. FWaaS

什麼是下一代防火牆 (NGFW)？

下一代防火牆 (NGFW) 比傳統防火牆更為強大。NGFW 在具備傳統防火牆功能的同時，還擁有許多附加功能，可以滿足更廣大組織的需求，並封鎖更多潛在威脅。它們被冠之以「下一代」，正是為了區別於缺乏這些功能的舊防火牆。

下一代防火牆與舊防火牆的區別，類似於智慧型手機與老式手機的區別。兩者都有一些相同的功能，例如收發簡訊、語音電話、連絡人清單等，但是智慧型手機增加了許多進階功能，實際上已成為另一種產品，因此叫法也有不同。

防火牆的作用是什麼？

防火牆是一種安全性產品，可以根據一組安全性規則監視並控制網路流量。防火牆可以是安裝在伺服器或電腦上的軟體應用程式，也可以是連線到內部網路的物理硬體設備。防火牆通常位於受信任網路與不受信任網路之間；受信任網路往往是企業內部網路，而不受信任網路往往是網際網路。

傳統防火牆的一般功能包括封包篩選、具狀態檢查、Proxy 處理、IP 封鎖、網域名稱封鎖及連接埠封鎖。

• 封包篩選是指篩選出潛在危險網路流量的功能。所有透過網路 (例如網際網路) 傳輸的資料都被分解為一個個較小的區塊，稱為封包。防火牆可以逐一審視每個封包，如果某個封包符合某些預定規則，則可以加以封鎖，防止其進出內部網路。
• 具狀態檢查使封包篩選能夠發揮更深入的作用。透過具狀態檢查，防火牆可以結合穿過防火牆的其他封包，對資料封包進行檢查。資料封包本身可能看似無害，但若資料封包正朝著網路中的異常目的地前進，則可能是惡意的。(例如，SQL 查詢本身並不是惡意的，但如果它是透過 Web 表單傳送的，則可能屬於 SQL 資料隱碼攻擊。)
• 網路中的 Proxy 處理是指一台電腦代表另一台電腦傳送或接收網路流量。防火牆可以透過以下方式充當 Proxy：代表內部網路中的使用者裝置發出請求並接收網路回應，在惡意資料有機會到達這些裝置之前將其篩選掉。
• IP 和網域名稱封鎖表示防火牆可以完全封鎖使用者，防止其存取某些網站或應用程式。
• 連接埠封鎖使防火牆可以篩選掉某些類型的網路流量。在網路中，連接埠是一台電腦與另一台電腦之間連線終止的地方。連接埠是虛擬的，或者說基於軟體的——它們並不對應於電腦的物理元件。某些連接埠專門用於某些類型的網路連線：例如 HTTPS 連線是在連接埠 443 上進行的。

哪些功能可以將下一代防火牆與傳統防火牆區分開來？

NGFW 具備上述所有功能，但除此之外，NGFW 還擁有早期防火牆產品所不具備的技術：

入侵預防系統 (IPS)：入侵預防系統主動偵測並封鎖網路攻擊。這好比保全人員主動巡邏大樓，而不是乾坐在前大門旁邊。

深度封包檢查 (DPI)：舊防火牆通常只檢查流經的資料封包的標頭*。NGFW 既檢查資料封包標頭，也檢查封包承載，以便更好地偵測惡意程式碼及其他類型的惡意流量。這好比在一個安全檢查站，保全人員親自動手檢查人們行李中的物品，而不僅僅是讓被檢查者告知行李中裝有哪些物品。

*封包標頭含有整個封包的資訊，例如封包的長度和來源。

應用程式控制：除了分析網路流量外，NGFW 還可以識別流量來自哪些應用程式。NGFW 由此能夠控制不同應用程式可存取的資源，或者完全封鎖某些應用程式。

目錄整合：透過使用者目錄，組織的內部團隊可以追蹤每個使用者所擁有的特權與權限。一些 NGFW 可以根據這些內部使用者目錄篩選網路流量或應用程式。如果使用者無權限存取某個應用程式，則即使該應用程式未被標識為惡意程式，防火牆也會為該使用者封鎖該應用程式。

加密流量檢查：事實上，一些 NGFW 可以解密並分析透過 SSL/TLS 加密的流量。防火牆可以透過充當 TLS 程序的 Proxy 來做到這一點。往返於網站的所有流量皆由防火牆解密、分析，並再次加密。從使用者的角度而言，此 Proxy 處理幾乎是無縫的，並且能夠以正常方式與安全 HTTPS 網站進行互動。

NGFW 部署在雲端還是內部部署？

NGFW 可以在雲端或以內部部署方式執行。判斷是舊防火牆還是下一代防火牆，唯一的標準是它是否具有如上所述的下一代功能。

什麼是防火牆即服務 (FWaaS)？

防火牆即服務 (FWaaS) 是由協力廠商代管在雲端的防火牆。雲端防火牆是此類服務的另一種說法。

FWaaS 既不是物理設備，也並非代管在組織內部。和其他類別的「即服務」，如軟體即服務或平台即服務一樣，FWaaS 在雲端執行，並可以透過網際網路存取。

在雲端計算出現之前，信任網路與不受信任網路之間就有防火牆，並且兩者之間存在明確的邊界。但在雲端運算中，此邊界 (稱為「網路週邊」) 未必一定存在，因為受信任的雲端資產是透過不受信任的網路 (網際網路) 存取。不過，儘管缺乏網路週邊，雲端代管的防火牆仍可保障這些資產的安全。

FWaaS (雲端防火牆) 與 NGFW 之間有哪些差異？

大多數現代防火牆，包括 FWaaS/雲端防火牆，都屬於下一代防火牆。但是「FWaaS」和「下一代」卻描述了防火牆的兩種不同特性。FWaaS 描述的是防火牆的位置，「下一代」則說明了防火牆的作用。

任何具備下一代功能的防火牆，無論代管於何處，都屬於 NGFW。雲端防火牆或 FWaaS 代管在雲端——無論是否具備下一代功能。此外，雲端代管的防火牆由廠商進行設定、維護和更新，使之更易於客戶維護，並且往往更新、更安全。

Cloudflare 提供哪種防火牆？

Cloudflare WAF (Web application firewall, 網頁應用程式防火牆) 是基於雲端的防火牆，用於保護雲端資產及 Web 應用程式。Cloudflare WAF 的獨特之處在於會持續識別並封鎖新的潛在威脅。其方式是分析來自整個全球 Cloudflare 網路的流量資料。