何謂新一代防火牆 (NGFW)?
新一代防火牆 (NGFW) 會允許或封鎖網路之間的流量。新一代防火牆在傳統的封包過濾網路防火牆功能的基礎上,增加了應用程式層級封包檢測和入侵防禦等進階功能。
新一代防火牆說明
新一代防火牆也可以稱為下一代防火牆、新世代防火牆、次世代防火牆。網路防火牆的運作原理是透過分析網路之間的流量,並根據定義的流量特徵相關防火牆原則來允許或拒絕流量通過。與傳統防火牆相比,新一代防火牆可以從其他系統獲取資訊並檢查更多流量特徵,藉此在更高階的傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 通訊層上強制實施防火牆原則。由於新一代防火牆能使用額外資訊和更深層級的檢測,所以能識別及防止攻擊。
新一代防火牆具備哪些功能?
新一代防火牆具有比傳統或舊有網路防火牆更為複雜的功能。以下是幾個常見的新一代防火牆功能:
- 深層封包檢測 – 網路防火牆會檢查四個 TCP/IP 通訊層內的資料,(從最高到最低) 分別是:應用程式、傳輸、IP/網路和硬體/資料連結。新一代防火牆可以檢查更高階 TCIP/IP 通訊層的流量,包括應用程式層。這為新一代防火牆提供了應用程式感知能力,例如,關於哪些應用程式流量正在傳入和傳出的背景資訊,以及用於比較傳輸型態的預期使用者和應用程式行為的基準。
- 入侵偵測和入侵預防 – 在更高階的 TCIP/IP 層檢查流量,增強了新一代防火牆偵測及預防網路攻擊的能力。新一代防火牆可以根據特定的行為特徵或異常來監控潛在的惡意活動,接著封鎖來自網路的可疑流量。這些功能稱為入侵偵測服務 (IDS) 和入侵預防服務 (IPS)。
- 分散式阻斷服務防護 – 阻斷服務 (DoS) 攻擊是惡意行為,嘗試以大量非法要求故意癱瘓服務的方式來關閉服務,進而使服務無法回應使用者的合法要求。分散式 DoS (DDoS) 攻擊使用多台電腦產生大量非法要求。新一代防火牆比傳統防火牆更能偵測及預防這類攻擊,因為新一代防火牆是可設定狀態的防火牆。可設定狀態的防火牆可以根據已建立的連線檢查連線要求的更多特徵,這有助於偵測出非法要求,即使它們可能採用不同的形式或來自不同的電腦。
新一代防火牆有什麼優勢?
新一代防火牆提供多項優勢,包括:
- 增強網路威脅保護 – 相比傳統防火牆,新一代防火牆可以更全面地檢查及分析流量,有助於偵測及預防更多種的網路攻擊。例如,新一代防火牆可以偵測出惡意瞄準網路的流量,並透過隔離或封鎖流量來防止入侵。
- 支援合規性要求 – 新一代防火牆可防止未授權的使用者存取網路中的敏感資源,有利於滿足資料隱私權和保護法規的重要規定,例如《美國健康保險流通與責任法案》和《歐盟通用資料保護法規》。
- 精簡的網路架構 – 新一代防火牆提供進階威脅防護和基本防火牆功能。將多個裝置和設備的功能結合到一個平台,有助於降低網路基礎架構的複雜性。
新一代防火牆與統一威脅管理有什麼區別?
統一威脅管理 (UTM) 包括惡意軟體 (防毒、網路釣魚、木馬、間諜軟體等) 偵測和緩解以及網頁內容過濾 (限制使用者存取特定類型的內容或網站) 等安全服務。新一代防火牆將 UTM 服務與防火牆功能相結合,透過單一平台提供全方位的保護。
新一代防火牆與傳統防火牆比較
| 功能 | 傳統防火牆 | 新一代防火牆 | 新一代防火牆的優勢 |
|---|---|---|---|
| 檢測 | 無狀態 | 可設定狀態 | 與已建立的連線比較,封鎖偏離預期型態的流量 |
| 可見性 | 基本,只有較低的 TCP/IP 層 | 深度,包括所有 TCP/IP 層 | 能進行更精細、更可靠的流量分析 |
| 服務 | 基本 | 全面 | 除封包過濾外,還包括 UTM 服務,例如防毒、內容過濾、IDS/IPS 和記錄 |
| 保護 | 有限 | 增強型 | 識別、預防及報告範圍更廣的攻擊 |
新一代防火牆的運作原理
新一代防火牆提供增強型防火牆資料檢測和原則強制實施功能,還有額外的安全服務,例如 IDS/IPS、防毒和內容過濾。
何謂最好的新一代防火牆?
新一代防火牆保護組織免於違規和網路威脅,因此驗證新一代防火牆是否可以實現其所宣稱的功能非常重要。由備受信賴的獨立技術產品保證測試機構 (例如 ICSA Labs) 進行嚴格測試和認證的新一代防火牆,才是最好的防火牆產品。確認測試實驗室是否運用客觀測試標準來評估產品效能。
在評估解決方案時,請思考最好的新一代防火牆是否可以納入更廣泛的解決方案之中。例如,Aruba EdgeConnect SD-WAN 平台將進階 SD-WAN 功能與身分型和角色型流量分割相結合,並透過內建的新一代防火牆 (包括 IDS/IPS 和其他安全功能) 來強制實施。Aruba 也是第一家獲得 ICSA Labs 安全 SD-WAN 認證的 SD-WAN 廠商,這肯定了我們內建的新一代防火牆和進階安全功能。
