下一代防火墙 什么是下一代防火墙 (NGFW)?
下一代防火墙 (NGFW) 会允许或阻止网络之间的通信流量。下一代防火墙为传统数据包过滤网络防火墙功能添加了应用级数据包检查和入侵防御等高级功能。
- 下一代防火墙资源的释义
- 下一代防火墙有哪些功能?
- 下一代防火墙有哪些优势?
- 下一代防火墙与统一威胁管理有什么区别?
- 下一代防火墙如何发挥作用
- 最好的下一代防火墙是什么?
下一代防火墙资源的释义
下一代防火墙有时也用 next gen firewall、nextgen firewall 或 nexgen firewall 这三个英文名称。网络防火墙会分析网络之间的通信流量,根据相对于通信流量特征而明确确定的防火墙策略来允许或拒绝通信流量通过。下一代防火墙会吸收来自其他系统的信息并检查通信流量的更多特征,从而在比传统防火墙更高阶的传输控制协议/互联网协议 (TCP/IP) 通信层强制实施防火墙策略。下一代防火墙利用的其他信息和更深层次的检查让其能够识别及预防攻击。
下一代防火墙有哪些功能?
与传统或旧式网络防火墙相比,下一代防火墙拥有更多精密功能。几个常见的下一代防火墙功能如下:
- 深度包检测 - 网络防火墙会检查四个 TCP/IP 通信层(从最高到最低)内的数据:应用、传输、IP/网络和硬件/数据链路。下一代防火墙会检查更高阶 TCIP/IP 通信层上的通信流量,包括应用层。这样可以为下一代防火墙提供应用感知功能,例如,与传输以及接收通信流量的具体应用相关的背景,以及可用于比较传输模式的预期用户和应用行为基准。
- 入侵侦测和入侵预防 - 检查更高阶 TCIP/IP 层上的通信流量可增强下一代防火墙检测和预防网络攻击的能力。下一代防火墙会根据特定行为特征或异常来监控是否存在潜在的恶意活动,然后阻止来自网络的可疑通信流量。这些功能被称为入侵侦测服务 (IDS) 和入侵预防服务 (IPS)。
- 分布式拒绝服务保护 - 拒绝服务 (DoS) 攻击是一种恶意行为,用非法请求来故意淹没服务以关闭服务,导致服务无法响应客户的合理请求。分布式 DoS (DDoS) 攻击会使用多部计算机来生成洪水般的非法请求。下一代防火墙是状态防火墙,因此较之传统防火墙,能够更好地检测和预防此类攻击。有状态可让防火墙参考已建立连接的特征来检查连接请求的更多特征,这样有助于检测非法请求,即便这些请求采用了不同形式或来自不同计算机。
下一代防火墙有哪些优势?
下一代防火墙具有诸多优势,具体如下:
- 对网络攻击的防范能力增强 - 与传统防火墙相比,下一代防火墙能够更全面地检查并分析通信流量,因此能够检测和预防的网络攻击类型比传统防火墙多得多。例如,下一代防火墙能够检测攻击网络的恶意通信流量,隔离或阻止通信流量以预防入侵。
- 满足监管合规性要求 - 下一代防火墙会阻止未经授权的用户访问网络内的敏感资源,而美国《健康保险便携性与责任法案》(HIPAA) 以及欧洲《通用数据保护条例》等数据隐私和保护监管要求十分重视这一点。
- 简化网络架构 - 下一代防火墙除了提供基本防火墙功能,还提供高级威胁保护。将多个装置和设备的功能整合到单一平台,有助于降低网络基础设施的复杂性。
下一代防火墙与统一威胁管理有什么区别?
统一威胁管理 (UTM) 由多项安全服务构成,如恶意软件(防病毒、网络钓鱼、木马、间谍软件等)检测和缓解,以及 Web 内容过滤(限制用户访问特定类型的内容或网站)。下一代防火墙将 UTM 服务与防火墙功能相结合,通过单一平台提供全面的保护。
下一代防火墙如何发挥作用
下一代防火墙提供经过增强的防火墙数据检查和策略强制实施功能,此外,还提供 IDS/IPS、防病毒和内容过滤等其他安全服务。
最好的下一代防火墙是什么?
下一代防火墙会保护组织,使其免受泄露和网络威胁的困扰。因此,有必要确认下一代防火墙能够实现其所宣传的功能。最出色的下一代防火墙已经过严格测试,通过了 ICSA Labs 等值得信赖的独立技术产品保障测试机构的认证。证实了负责测试的实验室在评估产品性能时遵循的是客观的测试标准。
评估解决方案时,需要考虑到最出色的下一代防火墙可能来自更广层面的解决方案。例如,HPE Aruba Networking EdgeConnect SD-WAN 平台将先进的 SD-WAN 功能与基于身份和角色的流量分段相结合,强制使用内置的下一代防火墙(包括 IDS/IPS 和其他安全功能)执行。HPE Aruba Networking 也是率先取得 ICSA Labs Secure SD-WAN 认证的 SD-WAN 供应商,其内置下一代防火墙和高级安全功能得到了认可。
下一代防火墙与传统防火墙的比较
功能 | 传统防火墙 | 下一代防火墙 | 下一代防火墙的优势 |
|---|---|---|---|
| 检查 | 无状态 | 有状态 | 参考已建立的连接阻止偏离预期标准的通信流量 |
| 可见性 | 初级,只有较低 TCP/IP 层 | 深入,包括所有 TCP/IP 层 | 对通信流量进行更加精细化和更为强大的分析 |
| 服务 | 基础 | 全面 | 包括防病毒、内容过滤、IDS/IPS、日志记录等 UTM 服务以及数据包过滤 |
| 保护 | 有限 | 增强 | 识别、预防及报告更多种类的攻击 |
