下一代防火牆(NGFW)是具備強大現代功能的防火牆。下一代防火牆可以在雲端代管——至少大部分如此。
閱讀本文後,您將能夠:
下一代防火牆 (NGFW) 比傳統防火牆更為強大。NGFW 在具備傳統防火牆功能的同時,還擁有許多附加功能,可以滿足更廣大組織的需求,並封鎖更多潛在威脅。它們被冠之以「下一代」,正是為了區別於缺乏這些功能的舊防火牆。
下一代防火牆與舊防火牆的區別,類似於智慧型手機與老式手機的區別。兩者都有一些相同的功能,例如收發簡訊、語音電話、連絡人清單等,但是智慧型手機增加了許多進階功能,實際上已成為另一種產品,因此叫法也有不同。
防火牆是一種安全性產品,可以根據一組安全性規則監視並控制網路流量。防火牆可以是安裝在伺服器或電腦上的軟體應用程式,也可以是連線到內部網路的物理硬體設備。防火牆通常位於受信任網路與不受信任網路之間;受信任網路往往是企業內部網路,而不受信任網路往往是網際網路。
傳統防火牆的一般功能包括封包篩選、具狀態檢查、Proxy 處理、IP 封鎖、網域名稱封鎖及連接埠封鎖。
NGFW 具備上述所有功能,但除此之外,NGFW 還擁有早期防火牆產品所不具備的技術:
入侵預防系統 (IPS):入侵預防系統主動偵測並封鎖網路攻擊。這好比保全人員主動巡邏大樓,而不是乾坐在前大門旁邊。
深度封包檢查 (DPI):舊防火牆通常只檢查流經的資料封包的標頭*。NGFW 既檢查資料封包標頭,也檢查封包承載,以便更好地偵測惡意程式碼及其他類型的惡意流量。這好比在一個安全檢查站,保全人員親自動手檢查人們行李中的物品,而不僅僅是讓被檢查者告知行李中裝有哪些物品。
*封包標頭含有整個封包的資訊,例如封包的長度和來源。
應用程式控制:除了分析網路流量外,NGFW 還可以識別流量來自哪些應用程式。NGFW 由此能夠控制不同應用程式可存取的資源,或者完全封鎖某些應用程式。
目錄整合:透過使用者目錄,組織的內部團隊可以追蹤每個使用者所擁有的特權與權限。一些 NGFW 可以根據這些內部使用者目錄篩選網路流量或應用程式。如果使用者無權限存取某個應用程式,則即使該應用程式未被標識為惡意程式,防火牆也會為該使用者封鎖該應用程式。
加密流量檢查:事實上,一些 NGFW 可以解密並分析透過 SSL/TLS 加密的流量。防火牆可以透過充當 TLS 程序的 Proxy 來做到這一點。往返於網站的所有流量皆由防火牆解密、分析,並再次加密。從使用者的角度而言,此 Proxy 處理幾乎是無縫的,並且能夠以正常方式與安全 HTTPS 網站進行互動。
NGFW 可以在雲端或以內部部署方式執行。判斷是舊防火牆還是下一代防火牆,唯一的標準是它是否具有如上所述的下一代功能。
防火牆即服務 (FWaaS) 是由協力廠商代管在雲端的防火牆。雲端防火牆是此類服務的另一種說法。
FWaaS 既不是物理設備,也並非代管在組織內部。和其他類別的「即服務」,如軟體即服務或平台即服務一樣,FWaaS 在雲端執行,並可以透過網際網路存取。
在雲端計算出現之前,信任網路與不受信任網路之間就有防火牆,並且兩者之間存在明確的邊界。但在雲端運算中,此邊界 (稱為「網路週邊」) 未必一定存在,因為受信任的雲端資產是透過不受信任的網路 (網際網路) 存取。不過,儘管缺乏網路週邊,雲端代管的防火牆仍可保障這些資產的安全。
大多數現代防火牆,包括 FWaaS/雲端防火牆,都屬於下一代防火牆。但是「FWaaS」和「下一代」卻描述了防火牆的兩種不同特性。FWaaS 描述的是防火牆的位置,「下一代」則說明了防火牆的作用。
任何具備下一代功能的防火牆,無論代管於何處,都屬於 NGFW。雲端防火牆或 FWaaS 代管在雲端——無論是否具備下一代功能。此外,雲端代管的防火牆由廠商進行設定、維護和更新,使之更易於客戶維護,並且往往更新、更安全。
Cloudflare WAF (Web application firewall, 網頁應用程式防火牆) 是基於雲端的防火牆,用於保護雲端資產及 Web 應用程式。Cloudflare WAF 的獨特之處在於會持續識別並封鎖新的潛在威脅。其方式是分析來自整個全球 Cloudflare 網路的流量資料。
To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.
