什麼是下一代防火牆 (NGFW)?

新一代防火牆 (NGFW) 具有傳統防火牆所沒有的額外功能,以此將二者區分開來。NGFW 通常更善於識別最新威脅。

學習目標

閱讀本文後,您將能夠:

  • 定義新一代防火牆 (NGFW)
  • 說明 NGFW 功能
  • 區分封包篩選和深度封包檢查 (DPI)

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是下一代防火牆 (NGFW)?

新一代防火牆 (NGFW) 是一種安全設備,用於處理網路流量並套用規則以封鎖潛在的危險流量。NGFW 在傳統防火牆的基礎上演變和擴展而來。它們能做防火牆所做的一切,但功能更強大,且具有更多的功能。

假設有兩個機場安全機構。一個進行檢查以確保沒有任何禁飛名單上的乘客、他們的身分與機票上的資訊相符,且他們要去往機場實際服務的目的地。第二個機構,除了檢查禁飛名單等之外,還檢查乘客攜帶的物品,確保他們沒有危險或不允許攜帶的物品。第一個機構可以保持機場安全,防止明顯的威脅;但第二個機構還能夠發現可能不太明顯的威脅。

普通防火牆就像第一個安全機構:它根據資料(乘客)的去向、是否屬於合法網路連線以及它的來源來封鎖或允許資料。NGFW 則更像第二個安全機構:它在更深的層次上檢查資料,以識別和封鎖可能隱藏在看似正常的流量中的威脅。

NGFW 有哪些功能?

NGFW 可以做普通防火牆能做的一切,包括:

  • 封包篩選:檢查每個單獨的封包,並封鎖危險或意外的封包。封包篩選將在後文中進行詳細說明。
  • 具狀態檢查:在上下文中查看封包,確保它們是合法網路連線的一部分。
  • VPN 感知:防火牆能夠識別加密的 VPN 流量並允許它通過。
傳統防火牆缺少新一代防火牆 NGFW 功能,可讓封包通過

NGFW 也新增了一些舊版防火牆所沒有的功能。NGFW 除了封包篩選之外,還使用深度封包檢查 (DPI)。根據全球研究和諮詢公司 Gartner 的說法,NGFW 包括:

  • 應用程式感知與控制
  • 入侵預防
  • 威脅情報
  • 用於新增未來資訊摘要的升級路徑
  • 應對不斷變化的安全威脅的技術
新一代防火牆 NGFW 可封鎖惡意封包

下文中將對這些功能進行詳細說明。

之所以能夠實現這些功能,是因為與普通防火牆不同,NGFW 能夠處理 OSI 模型中多個層的流量,而不僅僅是第 3 層(網路層)和第 4 層(傳輸層)。例如,NGFW 可以查看第 7 層 HTTP 流量,並識別哪些應用程式正在使用中。這是一項重要的功能,因為第 7 層(應用程式層)越來越多地成為攻擊的目標,以繞開傳統防火牆在第 3 層和第 4 層套用的安全性原則。

(要瞭解有關 OSI 層的更多資訊,請參閱什麼是 OSI 模型?

什麼是封包篩選和深度封包檢查 (DPI)?

封包篩選

所有穿越網路或網際網路的資料都被分解成更小的片段,稱為「封包」。因為這些封包包含了進入網路的內容,所以防火牆會檢查這些封包,並阻止或允許它們通過,以防止惡意內容(如惡意程式碼攻擊)通過。所有防火牆都有這種封包篩選的功能。

封包篩選的運作原理是檢查與每個封包相關的來源和目的地 IP 位址連接埠以及通訊協定。換句話說,即每個封包來自哪裡、要去哪裡以及如何到達那裡。防火牆根據這一評估允許或封鎖封包,篩選掉不允許的封包。

例如,攻擊者有時試圖利用與遠端桌面通訊協定 (RDP) 相關的漏洞,向該通訊協定使用的連接埠(連接埠 3389)傳送特製的封包。然而,防火牆可以檢查封包,看它要去往哪個埠,並封鎖所有指向該連接埠的封包——除非它們來自一個特別允許的 IP 位址。這涉及到在第 3 層(查看來源和目的地 IP 位址)和第 4 層(查看連接埠)檢查網路流量。

深度封包檢查 (DPI)

NGFW 透過執行深度封包檢查 (DPI) 來改進封包篩選。與封包篩選一樣,DPI 涉及檢查每個單獨的封包,以查看來源和目的地 IP 位址、來源和目的地連接埠等。這些資訊都包含在封包的第 3 層和第 4 層標頭中。

但 DPI 還會檢查每個封包的主體,而不僅僅是標頭。具體來說,DPI 會檢查封包主體是否有惡意程式碼簽名和其他潛在威脅。它將每個封包的內容與已知惡意攻擊的內容進行比較。

什麼是應用程式感知和控制?

NGFW 根據封包的去向,封鎖或允許封包。它們透過分析第 7 層(應用程式層)的流量來做到這一點。傳統的防火牆不具備這種能力,因為它們只分析第 3 層和第 4 層的流量。

應用程式感知讓管理員能夠封鎖有潛在風險的應用程式。如果一個應用程式的資料不能通過防火牆,那麼它就不能將威脅引入網路。

根據 Gartner 對這些詞彙的定義,該功能和入侵預防(下文所述)都是 DPI 的元素。

什麼是入侵預防?

入侵預防分析傳入流量,識別已知威脅和潛在威脅,並封鎖這些威脅。這種功能通常被稱為入侵預防系統 (IPS)。NGFW 的 DPI 功能中包含 IPS。

IPS 可以使用多種方法來偵測威脅,包括:

  • 簽名偵測:掃描傳入封包內的資訊,並將其與已知威脅進行比較
  • 統計異常偵測:掃描流量以偵測與基線相比異常的行為變化
  • 具狀態通訊協定分析偵測:與統計異常偵測類似,但著重於使用中的網路通訊協定,將其與典型的通訊協定使用情況進行比較

什麼是威脅情報?

威脅情報是關於潛在攻擊的資訊。由於攻擊技術和惡意程式碼的種類在不斷變化,最新的威脅情報對於封鎖這些攻擊至關重要。NGFW 能夠接收來自外部來源的威脅情報摘要採取行動。

威脅情報透過提供最新的惡意程式碼簽名,保持 IPS 簽名偵測的有效性。

威脅情報還可以提供 IP 信譽資訊。「IP信譽」標識攻擊(尤其是機器人攻擊)的常發 IP 位址。IP 信譽威脅情報摘要提供了最新的已知不良 IP 位址,然後 NGFW 可以封鎖這些位址。

新一代防火牆是基於硬體還是基於軟體?

一些 NGFW 是硬體設備,旨在保護內部私人網路。NGFW 也可以作為軟體部署,但並不是一定要基於軟體才能被視為新一代防火牆。

最後,NGFW 可以作為雲端服務來部署,這被稱為雲端防火牆或防火牆即服務 (FWaaS)。FWaaS 是安全存取服務邊緣 (SASE) 網路模型的一個重要組成部分。(更深入地比較 NGFW 和 FWaaS。)

什麼是 Cloudflare Magic Firewall?

Cloudflare Magic Firewall 是一個透過全球 Cloudflare 網路交付的網路級防火牆。它保護使用者、辦公網路和雲端基礎結構,旨在用先進、可擴展的保護措施取代基於硬體的防火牆。

Magic Firewall 與 Cloudflare One 緊密整合,後者是一個結合了網路和安全服務的 SASE 平台。