下一代防火墻屬于第三代防火墻技術(shù),旨在通過(guò)智能的上下文感知安全功能解決應(yīng)用程序級(jí)別的高級(jí)安全威脅。NGFW 將包過(guò)濾和狀態(tài)檢查等傳統(tǒng)防火墻功能與其他功能相結(jié)合,以更好地決定允許哪些流量。
下一代防火墻能夠根據(jù)應(yīng)用程序過(guò)濾數(shù)據(jù)包并檢查數(shù)據(jù)包中包含的數(shù)據(jù)(而不僅僅是它們的 IP 標(biāo)頭)。換句話說(shuō),它在 OSI 模型中最高運(yùn)行在第 7 層(應(yīng)用層),而以前的防火墻技術(shù)只運(yùn)行在第 4 層(傳輸層)。發(fā)生在 OSI 模型第 4-7 層的攻擊正在增加,這使其成為一項(xiàng)重要的能力。
什么是下一代防火墻功能?
下一代防火墻規(guī)范因提供商而異,但它們通常包括以下功能的某種組合:
- 應(yīng)用程序感知,或基于應(yīng)用程序(而不僅僅是基于端口)過(guò)濾流量和應(yīng)用復(fù)雜規(guī)則的能力。這是下一代防火墻的一個(gè)關(guān)鍵特性:它們可以阻止來(lái)自某些應(yīng)用程序的流量,并保持對(duì)單個(gè)應(yīng)用程序的更大控制。
- 深度包檢測(cè),檢查包中包含的數(shù)據(jù)。深度數(shù)據(jù)包檢測(cè)是對(duì)傳統(tǒng)防火墻技術(shù)的改進(jìn),傳統(tǒng)防火墻技術(shù)僅檢查數(shù)據(jù)包的 IP 標(biāo)頭以確定其來(lái)源和目的地。
- 入侵防御系統(tǒng) (IPS),它監(jiān)視網(wǎng)絡(luò)中的惡意活動(dòng)并在發(fā)生的地方阻止它。這種監(jiān)控可以基于簽名(將活動(dòng)與已知威脅的簽名相匹配)、基于策略(阻止違反安全策略的活動(dòng))或基于異常(監(jiān)控異常行為)。
- 高性能,允許防火墻監(jiān)控大量網(wǎng)絡(luò)流量而不會(huì)減慢。下一代防火墻包括許多需要處理時(shí)間的安全功能,因此高性能對(duì)于避免中斷業(yè)務(wù)運(yùn)營(yíng)非常重要。
- 外部威脅情報(bào),或與 威脅情報(bào) 網(wǎng)絡(luò)的通信,以確保威脅信息是最新的并幫助識(shí)別不良行為者。
除了這些基本功能之外,下一代防火墻可能還包括其他功能,例如防病毒和惡意軟件保護(hù)。它們還可以實(shí)現(xiàn)為防火墻即服務(wù) (FWaaS),這是一種基于云的服務(wù),可提供可擴(kuò)展性和更易于維護(hù)。使用 FWaaS,防火墻軟件由服務(wù)提供商維護(hù),資源自動(dòng)擴(kuò)展以滿足處理需求。這將企業(yè) IT 團(tuán)隊(duì)從處理補(bǔ)丁、升級(jí)和調(diào)整大小的負(fù)擔(dān)中解放出來(lái)。
下一代防火墻有什么好處?
與傳統(tǒng)防火墻相比,下一代防火墻提供了更好、更強(qiáng)大的安全性。傳統(tǒng)防火墻的功能有限:它們可能能夠阻止通過(guò)特定端口的流量,但不能應(yīng)用特定于應(yīng)用程序的規(guī)則、防止惡意軟件或檢測(cè)和阻止異常行為。因此,攻擊者可以通過(guò)非標(biāo)準(zhǔn)端口進(jìn)入來(lái)逃避檢測(cè),這是下一代防火墻會(huì)阻止的。由于其上下文感知特性和從外部威脅情報(bào)網(wǎng)絡(luò)接收更新的能力,下一代防火墻能夠防御范圍廣泛且不斷變化的高級(jí)威脅,甚至可以使用智能自動(dòng)化來(lái)保持安全策略迄今為止,無(wú)需繁忙的 IT 人員干預(yù)。
此外,下一代防火墻提供了簡(jiǎn)化的安全基礎(chǔ)設(shè)施,更易于維護(hù)、更新和控制,成本更低。他們將多個(gè)安全功能組合到一個(gè)解決方案中,并通過(guò)單個(gè)報(bào)告系統(tǒng)報(bào)告事件。維護(hù)許多不同的安全產(chǎn)品的替代方案給 IT 員工帶來(lái)了額外的負(fù)擔(dān),并增加了安全漏洞的可能性。
下一代防火墻與傳統(tǒng)防火墻
傳統(tǒng)防火墻依靠端口/協(xié)議檢查和阻止來(lái)保護(hù)數(shù)據(jù)鏈路和傳輸層(OSI 模型的第 2 層和第 4 層)的企業(yè)網(wǎng)絡(luò)。這種靜態(tài)方法在過(guò)去很有效,當(dāng)時(shí) IT 環(huán)境不像現(xiàn)在那么動(dòng)態(tài),并且可以通過(guò)端口識(shí)別應(yīng)用程序。但隨著虛擬化網(wǎng)絡(luò)的日益復(fù)雜和更高級(jí)的安全威脅,這已經(jīng)不夠了。下一代防火墻更智能:它們可以基于應(yīng)用程序(OSI 模型的第 7 層)甚至基于行為過(guò)濾數(shù)據(jù)包,從而進(jìn)行比傳統(tǒng)防火墻使用的通用方法更有效的細(xì)粒度區(qū)分。他們還參考外部數(shù)據(jù)來(lái)識(shí)別威脅。這種動(dòng)態(tài),
為什么需要下一代防火墻?
有針對(duì)性和復(fù)雜的安全威脅對(duì)內(nèi)部網(wǎng)絡(luò)造成的破壞比以往任何時(shí)候都大。傳統(tǒng)的防火墻技術(shù)嚴(yán)重依賴端口/協(xié)議檢查,這在動(dòng)態(tài)分配地址和端口的虛擬化環(huán)境中是無(wú)效的。相比之下,下一代防火墻使用深度包過(guò)濾來(lái)檢查包的內(nèi)容,提供第 7 層應(yīng)用程序過(guò)濾,甚至可以監(jiān)控和阻止可疑活動(dòng)。這些功能是確保復(fù)雜、動(dòng)態(tài)環(huán)境中的安全性所必需的。
防火墻有哪五種類型?
- 包過(guò)濾防火墻: 查看包的 IP 頭并丟棄標(biāo)記的包。
- 電路級(jí)網(wǎng)關(guān): 基于 TCP 握手和其他網(wǎng)絡(luò)協(xié)議會(huì)話啟動(dòng)消息標(biāo)記惡意內(nèi)容,而不是查看數(shù)據(jù)包本身。
- 狀態(tài)檢測(cè)防火墻: 將數(shù)據(jù)包過(guò)濾與會(huì)話監(jiān)控相結(jié)合,以提高安全性。
- 應(yīng)用級(jí)網(wǎng)關(guān): 按目的端口和 HTTP 請(qǐng)求字符串過(guò)濾數(shù)據(jù)包。也稱為代理防火墻。
- 下一代防火墻: 采用應(yīng)用級(jí)、上下文感知、智能技術(shù)來(lái)防御高級(jí)威脅。
