下一代防火墻屬于第三代防火墻技術,旨在通過智能的上下文感知安全功能解決應用程序級別的高級安全威脅。NGFW 將包過濾和狀態檢查等傳統防火墻功能與其他功能相結合,以更好地決定允許哪些流量。
下一代防火墻能夠根據應用程序過濾數據包并檢查數據包中包含的數據(而不僅僅是它們的 IP 標頭)。換句話說,它在 OSI 模型中最高運行在第 7 層(應用層),而以前的防火墻技術只運行在第 4 層(傳輸層)。發生在 OSI 模型第 4-7 層的攻擊正在增加,這使其成為一項重要的能力。
什么是下一代防火墻功能?
下一代防火墻規范因提供商而異,但它們通常包括以下功能的某種組合:
- 應用程序感知,或基于應用程序(而不僅僅是基于端口)過濾流量和應用復雜規則的能力。這是下一代防火墻的一個關鍵特性:它們可以阻止來自某些應用程序的流量,并保持對單個應用程序的更大控制。
- 深度包檢測,檢查包中包含的數據。深度數據包檢測是對傳統防火墻技術的改進,傳統防火墻技術僅檢查數據包的 IP 標頭以確定其來源和目的地。
- 入侵防御系統 (IPS),它監視網絡中的惡意活動并在發生的地方阻止它。這種監控可以基于簽名(將活動與已知威脅的簽名相匹配)、基于策略(阻止違反安全策略的活動)或基于異常(監控異常行為)。
- 高性能,允許防火墻監控大量網絡流量而不會減慢。下一代防火墻包括許多需要處理時間的安全功能,因此高性能對于避免中斷業務運營非常重要。
- 外部威脅情報,或與 威脅情報 網絡的通信,以確保威脅信息是最新的并幫助識別不良行為者。
除了這些基本功能之外,下一代防火墻可能還包括其他功能,例如防病毒和惡意軟件保護。它們還可以實現為防火墻即服務 (FWaaS),這是一種基于云的服務,可提供可擴展性和更易于維護。使用 FWaaS,防火墻軟件由服務提供商維護,資源自動擴展以滿足處理需求。這將企業 IT 團隊從處理補丁、升級和調整大小的負擔中解放出來。
下一代防火墻有什么好處?
與傳統防火墻相比,下一代防火墻提供了更好、更強大的安全性。傳統防火墻的功能有限:它們可能能夠阻止通過特定端口的流量,但不能應用特定于應用程序的規則、防止惡意軟件或檢測和阻止異常行為。因此,攻擊者可以通過非標準端口進入來逃避檢測,這是下一代防火墻會阻止的。由于其上下文感知特性和從外部威脅情報網絡接收更新的能力,下一代防火墻能夠防御范圍廣泛且不斷變化的高級威脅,甚至可以使用智能自動化來保持安全策略迄今為止,無需繁忙的 IT 人員干預。
此外,下一代防火墻提供了簡化的安全基礎設施,更易于維護、更新和控制,成本更低。他們將多個安全功能組合到一個解決方案中,并通過單個報告系統報告事件。維護許多不同的安全產品的替代方案給 IT 員工帶來了額外的負擔,并增加了安全漏洞的可能性。
下一代防火墻與傳統防火墻
傳統防火墻依靠端口/協議檢查和阻止來保護數據鏈路和傳輸層(OSI 模型的第 2 層和第 4 層)的企業網絡。這種靜態方法在過去很有效,當時 IT 環境不像現在那么動態,并且可以通過端口識別應用程序。但隨著虛擬化網絡的日益復雜和更高級的安全威脅,這已經不夠了。下一代防火墻更智能:它們可以基于應用程序(OSI 模型的第 7 層)甚至基于行為過濾數據包,從而進行比傳統防火墻使用的通用方法更有效的細粒度區分。他們還參考外部數據來識別威脅。這種動態,
為什么需要下一代防火墻?
有針對性和復雜的安全威脅對內部網絡造成的破壞比以往任何時候都大。傳統的防火墻技術嚴重依賴端口/協議檢查,這在動態分配地址和端口的虛擬化環境中是無效的。相比之下,下一代防火墻使用深度包過濾來檢查包的內容,提供第 7 層應用程序過濾,甚至可以監控和阻止可疑活動。這些功能是確保復雜、動態環境中的安全性所必需的。
防火墻有哪五種類型?
- 包過濾防火墻: 查看包的 IP 頭并丟棄標記的包。
- 電路級網關: 基于 TCP 握手和其他網絡協議會話啟動消息標記惡意內容,而不是查看數據包本身。
- 狀態檢測防火墻: 將數據包過濾與會話監控相結合,以提高安全性。
- 應用級網關: 按目的端口和 HTTP 請求字符串過濾數據包。也稱為代理防火墻。
- 下一代防火墻: 采用應用級、上下文感知、智能技術來防御高級威脅。
