效能和可靠性
CDN DNS Argo Smart Routing 負載平衡 網頁最佳化 China Network
視訊串流和傳遞
Cloudflare Stream Stream Delivery
進階安全性
DDoS 保護 WAF Bot Management Rate Limiting SSL/TLS DNSSEC Cloudflare Access Cloudflare Spectrum Argo Tunnel
深入解析
Analytics Cloudflare Logs
適合開發人員的 Cloudflare
Cloudflare Workers Cloudflare Workers KV Mobile SDK
網域註冊
Cloudflare Registrar
Cloudflare 市集
Cloudflare App
適合所有人的 Cloudflare
1.1.1.1
效能
加快您的網際網路應用程式速度 加快行動體驗速度 確保應用程式可用性
安全性
緩解 DDoS 攻擊 防止客戶資料外洩
產業
SaaS 出版商 公部門
合作計劃
合作夥伴計劃 代管服務提供者 推薦 經銷商/MSP OEM/技術 Workers 合作夥伴計劃 Peering Portal Bandwidth Alliance
整合方案
IBM Cloud WordPress Google Cloud Magento Acquia Rackspace Microsoft Azure Kubernetes WP 引擎
開發
API 指南 開發人員中心 開發人員基金 文件
探索
案例研究 中國 Cloudflare 網絡地圖 網絡研討會 產品更新 白皮書 GDPR 歐盟個資法
學習
DDoS 學習中心 CDN 學習中心 DNS 學習中心 安全性學習中心 無伺服器學習中心 SSL 學習中心
連線
部落格 連絡銷售團隊 社群 支援
連絡

什麼是下一代防火牆(NGFW)?| NGFW 與 FWaaS

下一代防火牆(NGFW)是具備強大現代功能的防火牆。下一代防火牆可以在雲端代管——至少大部分如此。

Share facebook icon linkedin icon twitter icon email icon
什麼是雲端?
什麼是多重雲端?
什麼是混合雲端?
什麼是雲端防火牆?
字彙

下一代防火牆

學習目標

閱讀本文後,您將能夠:

  • 定義「下一代防火牆」
  • 將經典防火牆與下一代防火牆進行對比
  • 了解雲端防火牆與下一代防火牆的共同點

相關內容

什麼是雲端防火牆?

什麼是雲端遷移?

什麼是雲端?

什麼是混合雲端?

什麼是公用雲端?

什麼是下一代防火牆 (NGFW)?

下一代防火牆 (NGFW) 比傳統防火牆更為強大。NGFW 在具備傳統防火牆功能的同時,還擁有許多附加功能,可以滿足更廣大組織的需求,並封鎖更多潛在威脅。它們被冠之以「下一代」,正是為了區別於缺乏這些功能的舊防火牆。

下一代防火牆與舊防火牆的區別,類似於智慧型手機與老式手機的區別。兩者都有一些相同的功能,例如收發簡訊、語音電話、連絡人清單等,但是智慧型手機增加了許多進階功能,實際上已成為另一種產品,因此叫法也有不同。

防火牆的作用是什麼?

防火牆是一種安全性產品,可以根據一組安全性規則監視並控制網路流量。防火牆可以是安裝在伺服器或電腦上的軟體應用程式,也可以是連線到內部網路的物理硬體設備。防火牆通常位於受信任網路與不受信任網路之間;受信任網路往往是企業內部網路,而不受信任網路往往是網際網路。

傳統防火牆的一般功能包括封包篩選、具狀態檢查、Proxy 處理、IP 封鎖、網域名稱封鎖及連接埠封鎖。

  • 封包篩選是指篩選出潛在危險網路流量的功能。所有透過網路 (例如網際網路) 傳輸的資料都被分解為一個個較小的區塊,稱為封包。防火牆可以逐一審視每個封包,如果某個封包符合某些預定規則,則可以加以封鎖,防止其進出內部網路。
  • 具狀態檢查使封包篩選能夠發揮更深入的作用。透過具狀態檢查,防火牆可以結合穿過防火牆的其他封包,對資料封包進行檢查。資料封包本身可能看似無害,但若資料封包正朝著網路中的異常目的地前進,則可能是惡意的。(例如,SQL 查詢本身並不是惡意的,但如果它是透過 Web 表單傳送的,則可能屬於 SQL 資料隱碼攻擊。)
  • 網路中的 Proxy 處理是指一台電腦代表另一台電腦傳送或接收網路流量。防火牆可以透過以下方式充當 Proxy:代表內部網路中的使用者裝置發出請求並接收網路回應,在惡意資料有機會到達這些裝置之前將其篩選掉。
  • IP 和網域名稱封鎖表示防火牆可以完全封鎖使用者,防止其存取某些網站或應用程式。
  • 連接埠封鎖使防火牆可以篩選掉某些類型的網路流量。在網路中,連接埠是一台電腦與另一台電腦之間連線終止的地方。連接埠是虛擬的,或者說基於軟體的——它們並不對應於電腦的物理元件。某些連接埠專門用於某些類型的網路連線:例如 HTTPS 連線是在連接埠 443 上進行的。

哪些功能可以將下一代防火牆與傳統防火牆區分開來?

NGFW 具備上述所有功能,但除此之外,NGFW 還擁有早期防火牆產品所不具備的技術:

入侵預防系統 (IPS):入侵預防系統主動偵測並封鎖網路攻擊。這好比保全人員主動巡邏大樓,而不是乾坐在前大門旁邊。

深度封包檢查 (DPI):舊防火牆通常只檢查流經的資料封包的標頭*。NGFW 既檢查資料封包標頭,也檢查封包承載,以便更好地偵測惡意程式碼及其他類型的惡意流量。這好比在一個安全檢查站,保全人員親自動手檢查人們行李中的物品,而不僅僅是讓被檢查者告知行李中裝有哪些物品。

*封包標頭含有整個封包的資訊,例如封包的長度和來源。

應用程式控制:除了分析網路流量外,NGFW 還可以識別流量來自哪些應用程式。NGFW 由此能夠控制不同應用程式可存取的資源,或者完全封鎖某些應用程式。

目錄整合:透過使用者目錄,組織的內部團隊可以追蹤每個使用者所擁有的特權與權限。一些 NGFW 可以根據這些內部使用者目錄篩選網路流量或應用程式。如果使用者無權限存取某個應用程式,則即使該應用程式未被標識為惡意程式,防火牆也會為該使用者封鎖該應用程式。

加密流量檢查:事實上,一些 NGFW 可以解密並分析透過 SSL/TLS 加密的流量。防火牆可以透過充當 TLS 程序的 Proxy 來做到這一點。往返於網站的所有流量皆由防火牆解密、分析,並再次加密。從使用者的角度而言,此 Proxy 處理幾乎是無縫的,並且能夠以正常方式與安全 HTTPS 網站進行互動。

NGFW 部署在雲端還是內部部署?

NGFW 可以在雲端或以內部部署方式執行。判斷是舊防火牆還是下一代防火牆,唯一的標準是它是否具有如上所述的下一代功能。

什麼是防火牆即服務 (FWaaS)?

防火牆即服務 (FWaaS) 是由協力廠商代管在雲端的防火牆。雲端防火牆是此類服務的另一種說法。

FWaaS 既不是物理設備,也並非代管在組織內部。和其他類別的「即服務」,如軟體即服務平台即服務一樣,FWaaS 在雲端執行,並可以透過網際網路存取。

在雲端計算出現之前,信任網路與不受信任網路之間就有防火牆,並且兩者之間存在明確的邊界。但在雲端運算中,此邊界 (稱為「網路週邊」) 未必一定存在,因為受信任的雲端資產是透過不受信任的網路 (網際網路) 存取。不過,儘管缺乏網路週邊,雲端代管的防火牆仍可保障這些資產的安全。

FWaaS (雲端防火牆) 與 NGFW 之間有哪些差異?

下一代防火牆與雲端防火牆

大多數現代防火牆,包括 FWaaS/雲端防火牆,都屬於下一代防火牆。但是「FWaaS」和「下一代」卻描述了防火牆的兩種不同特性。FWaaS 描述的是防火牆的位置,「下一代」則說明了防火牆的作用。

任何具備下一代功能的防火牆,無論代管於何處,都屬於 NGFW。雲端防火牆或 FWaaS 代管在雲端——無論是否具備下一代功能。此外,雲端代管的防火牆由廠商進行設定、維護和更新,使之更易於客戶維護,並且往往更新、更安全。

Cloudflare 提供哪種防火牆?

Cloudflare WAF (Web application firewall, 網頁應用程式防火牆) 是基於雲端的防火牆,用於保護雲端資產及 Web 應用程式。Cloudflare WAF 的獨特之處在於會持續識別並封鎖新的潛在威脅。其方式是分析來自整個全球 Cloudflare 網路的流量資料。

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.