什麼是下一代防火牆(NGFW)?| NGFW 與 FWaaS

下一代防火牆(NGFW)是具備強大現代功能的防火牆。下一代防火牆可以在雲端代管——至少大部分如此。

Share facebook icon linkedin icon twitter icon email icon

下一代防火牆

學習目標

閱讀本文後,您將能夠:

  • 定義「下一代防火牆」
  • 將經典防火牆與下一代防火牆進行對比
  • 了解雲端防火牆與下一代防火牆的共同點

什麼是下一代防火牆(NGFW)?

下一代防火牆(NGFW)比傳統防火牆更為強大。NGFW 在具備傳統防火牆功能的同時,還擁有許多附加功能,可以滿足更廣大組織的需求,並封鎖更多潛在威脅。它們被冠之以「下一代」,正是為了區別於缺乏這些功能的舊防火牆。

下一代防火牆與舊防火牆的區別,類似於智慧型手機與老式手機的區別。兩者都有一些相同的功能,例如收發簡訊、語音電話、連絡人清單等,但是智慧型手機增加了許多進階功能,實際上已成為另一種產品,因此叫法也有不同。

防火牆的作用是什麼?

防火牆是一種安全產品,可以根據一組安全規則監視並控制網路流量。防火牆可以是安裝在伺服器或電腦上的軟體應用程式,也可以是連線到內部網路的物理硬體設備。防火牆通常位於受信任網路與不受信任網路之間;受信任網路往往是企業內部網路,而不受信任網路往往是網際網路。

傳統防火牆的一般功能包括封包篩選、具狀態檢查、Proxy 處理、IP 封鎖、域名封鎖及連接埠封鎖。

  • 封包篩選是指篩選出潛在危險網路流量的功能。所有透過網路(例如網際網路)傳輸的資料都被分解為一個個較小的區塊,稱為封包。防火牆可以逐一審視每個封包,如果某個封包符合某些預定規則,則可以加以封鎖,防止其進出內部網路。
  • 具狀態檢查使封包篩選能夠發揮更深入的作用。透過具狀態檢查,防火牆可以結合穿過防火牆的其他封包,對資料封包進行檢查。資料封包本身可能看似無害,但若資料封包正朝著網路中的異常目的地前進,則可能是惡意的。(例如,SQL 查詢本身並不是惡意的,但如果它是透過 Web 表單傳送的,則可能屬於SQL 資料隱碼攻擊。)
  • 網路中的
  • Proxy 處理是指一台電腦代表另一台電腦傳送或接收網路流量。防火牆可以透過以下方式充當 Proxy:代表內部網路中的使用者裝置發出請求並接收網路回應,在惡意資料有機會到達這些裝置之前將其篩選掉。
  • IP 和域名封鎖表示防火牆可以完全封鎖用戶,防止其存取某些網站或應用程式。
  • 連接埠封鎖使防火牆可以篩選掉某些類型的網路流量。在網路中,連接埠是一台電腦與另一台電腦之間連線終止的地方。連接埠是虛擬的,或者說基於軟體的——它們並不對應於電腦的物理元件。某些連接埠專門用於某些類型的網路連線:例如 HTTPS 連線是在連接埠 443 上進行的

哪些功能可以將下一代防火牆與傳統防火牆區分開來?

NGFW 具備上述所有功能,但除此之外,NGFW 還擁有早期防火牆產品所不具備的技術:

入侵預防系統(IPS):入侵預防系統主動偵測並封鎖網路攻擊。這好比保安人員主動巡邏大樓,而不是幹坐在前大門旁邊。

深度封包檢查(DPI):舊防火牆通常只檢查流經的資料封包的標頭*。NGFW 既檢查資料封包標頭,也檢查封包承載,以便更好地偵測惡意程式碼及其他類型的惡意流量。這好比在一個安全檢查站,保安人員親自動手檢查人們行李中的物品,而不僅僅是讓被檢查者告知行李中裝有哪些物品。

*封包標頭含有整個封包的資訊,例如封包的長度和來源。

應用程式控制:除了分析網路流量外,NGFW 還可以識別流量來自哪些應用程式。NGFW 由此能夠控制不同應用程式可存取的資源,或者完全封鎖某些應用程式。

目錄整合:透過使用者目錄,組織的內部團隊可以追蹤每個使用者所擁有的特權與權限。一些 NGFW 可以根據這些內部使用者目錄篩選網路流量或應用程式。如果使用者無權限存取某個應用程式,則即使該應用程式未被標識為惡意程式,防火牆也會為該使用者封鎖該應用程式。

加密流量檢查:事實上,一些 NGFW 可以解密並分析透過 SSL/TLS 加密的流量。防火牆可以透過充當 TLS 程序的 Proxy 來做到這一點。往返於網站的所有流量皆由防火牆解密、分析,並再次加密。從使用者的角度而言,此 Proxy 處理幾乎是無縫的,並且能夠以正常方式與安全 HTTPS 網站進行互動。

NGFW 部署在雲端還是本地?

NGFW 可以在雲端或本地執行。判斷是舊防火牆還是下一代防火牆,唯一的標準是它是否具有如上所述的下一代功能。

什麼是防火牆即服務(FWaaS)?

防火牆即服務(FWaaS)是由協力廠商代管在雲端的防火牆。雲端防火牆是此類服務的另一種說法。

FWaaS 既不是物理設備,也並非代管在組織內部。和其他類別的「即服務」,如軟件即服務平台即服務 一樣,FWaaS 在雲端執行,並可以透過網際網路存取。

在雲端計算出現之前,信任網路與不受信任網路之間就有防火牆,並且兩者之間存在明確的邊界。但在雲端計算中,此邊界(稱為「網路週邊」)未必一定存在,因為受信任的雲端資產是透過不受信任的網路(網際網路)存取的。不過,儘管缺乏網路週邊,雲端代管的防火牆仍可保障這些資產的安全。

FWaaS(雲端防火牆)與 NGFW 之間有哪些差異?

Next-Generation Firewall vs Cloud Firewall

大多數現代防火牆,包括 FWaaS/雲端防火牆,都屬於下一代防火牆。但是「FWaaS」和「下一代」卻描述了防火牆的兩種不同特性。FWaaS 描述的是防火牆的位置,「下一代」則說明了防火牆的作用。

任何具備下一代功能的防火牆,無論代管於何處,都屬於 NGFW。雲端防火牆或 FWaaS 代管在雲端——無論是否具備下一代功能。此外,雲端代管的防火牆由廠商進行設定、維護和更新,使之更易於客戶維護,並且往往更新、更安全。

Cloudflare 提供哪種防火牆?

Cloudflare WAF(網頁應用程式防火牆)是基於雲端的防火牆,用於保護雲端資產及 Web 應用程式。Cloudflare WAF 的獨特之處在於,它可以透過分析來自整個全球 Cloudflare 網路的流量資料,持續識別並封鎖新的潛在威脅。