下一代防火墻屬于第三代防火墻技術(shù)，旨在通過(guò)智能的上下文感知安全功能解決應(yīng)用程序級(jí)別的高級(jí)安全威脅。NGFW 將包過(guò)濾和狀態(tài)檢查等傳統(tǒng)防火墻功能與其他功能相結(jié)合，以更好地決定允許哪些流量。

下一代防火墻能夠根據(jù)應(yīng)用程序過(guò)濾數(shù)據(jù)包并檢查數(shù)據(jù)包中包含的數(shù)據(jù)（而不僅僅是它們的 IP 標(biāo)頭）。換句話說(shuō)，它在 OSI 模型中最高運(yùn)行在第 7 層（應(yīng)用層），而以前的防火墻技術(shù)只運(yùn)行在第 4 層（傳輸層）。發(fā)生在 OSI 模型第 4-7 層的攻擊正在增加，這使其成為一項(xiàng)重要的能力。

什么是下一代防火墻功能？

下一代防火墻規(guī)范因提供商而異，但它們通常包括以下功能的某種組合：

• 應(yīng)用程序感知，或基于應(yīng)用程序（而不僅僅是基于端口）過(guò)濾流量和應(yīng)用復(fù)雜規(guī)則的能力。這是下一代防火墻的一個(gè)關(guān)鍵特性：它們可以阻止來(lái)自某些應(yīng)用程序的流量，并保持對(duì)單個(gè)應(yīng)用程序的更大控制。
• 深度包檢測(cè)，檢查包中包含的數(shù)據(jù)。深度數(shù)據(jù)包檢測(cè)是對(duì)傳統(tǒng)防火墻技術(shù)的改進(jìn)，傳統(tǒng)防火墻技術(shù)僅檢查數(shù)據(jù)包的 IP 標(biāo)頭以確定其來(lái)源和目的地。
• 入侵防御系統(tǒng) (IPS)，它監(jiān)視網(wǎng)絡(luò)中的惡意活動(dòng)并在發(fā)生的地方阻止它。這種監(jiān)控可以基于簽名（將活動(dòng)與已知威脅的簽名相匹配）、基于策略（阻止違反安全策略的活動(dòng)）或基于異常（監(jiān)控異常行為）。
• 高性能，允許防火墻監(jiān)控大量網(wǎng)絡(luò)流量而不會(huì)減慢。下一代防火墻包括許多需要處理時(shí)間的安全功能，因此高性能對(duì)于避免中斷業(yè)務(wù)運(yùn)營(yíng)非常重要。
• 外部威脅情報(bào)，或與 威脅情報(bào) 網(wǎng)絡(luò)的通信，以確保威脅信息是最新的并幫助識(shí)別不良行為者。

除了這些基本功能之外，下一代防火墻可能還包括其他功能，例如防病毒和惡意軟件保護(hù)。它們還可以實(shí)現(xiàn)為防火墻即服務(wù) (FWaaS)，這是一種基于云的服務(wù)，可提供可擴(kuò)展性和更易于維護(hù)。使用 FWaaS，防火墻軟件由服務(wù)提供商維護(hù)，資源自動(dòng)擴(kuò)展以滿足處理需求。這將企業(yè) IT 團(tuán)隊(duì)從處理補(bǔ)丁、升級(jí)和調(diào)整大小的負(fù)擔(dān)中解放出來(lái)。

下一代防火墻有什么好處？

與傳統(tǒng)防火墻相比，下一代防火墻提供了更好、更強(qiáng)大的安全性。傳統(tǒng)防火墻的功能有限：它們可能能夠阻止通過(guò)特定端口的流量，但不能應(yīng)用特定于應(yīng)用程序的規(guī)則、防止惡意軟件或檢測(cè)和阻止異常行為。因此，攻擊者可以通過(guò)非標(biāo)準(zhǔn)端口進(jìn)入來(lái)逃避檢測(cè)，這是下一代防火墻會(huì)阻止的。由于其上下文感知特性和從外部威脅情報(bào)網(wǎng)絡(luò)接收更新的能力，下一代防火墻能夠防御范圍廣泛且不斷變化的高級(jí)威脅，甚至可以使用智能自動(dòng)化來(lái)保持安全策略迄今為止，無(wú)需繁忙的 IT 人員干預(yù)。

此外，下一代防火墻提供了簡(jiǎn)化的安全基礎(chǔ)設(shè)施，更易于維護(hù)、更新和控制，成本更低。他們將多個(gè)安全功能組合到一個(gè)解決方案中，并通過(guò)單個(gè)報(bào)告系統(tǒng)報(bào)告事件。維護(hù)許多不同的安全產(chǎn)品的替代方案給 IT 員工帶來(lái)了額外的負(fù)擔(dān)，并增加了安全漏洞的可能性。

下一代防火墻與傳統(tǒng)防火墻

傳統(tǒng)防火墻依靠端口/協(xié)議檢查和阻止來(lái)保護(hù)數(shù)據(jù)鏈路和傳輸層（OSI 模型的第 2 層和第 4 層）的企業(yè)網(wǎng)絡(luò)。這種靜態(tài)方法在過(guò)去很有效，當(dāng)時(shí) IT 環(huán)境不像現(xiàn)在那么動(dòng)態(tài)，并且可以通過(guò)端口識(shí)別應(yīng)用程序。但隨著虛擬化網(wǎng)絡(luò)的日益復(fù)雜和更高級(jí)的安全威脅，這已經(jīng)不夠了。下一代防火墻更智能：它們可以基于應(yīng)用程序（OSI 模型的第 7 層）甚至基于行為過(guò)濾數(shù)據(jù)包，從而進(jìn)行比傳統(tǒng)防火墻使用的通用方法更有效的細(xì)粒度區(qū)分。他們還參考外部數(shù)據(jù)來(lái)識(shí)別威脅。這種動(dòng)態(tài)，

為什么需要下一代防火墻？

有針對(duì)性和復(fù)雜的安全威脅對(duì)內(nèi)部網(wǎng)絡(luò)造成的破壞比以往任何時(shí)候都大。傳統(tǒng)的防火墻技術(shù)嚴(yán)重依賴端口/協(xié)議檢查，這在動(dòng)態(tài)分配地址和端口的虛擬化環(huán)境中是無(wú)效的。相比之下，下一代防火墻使用深度包過(guò)濾來(lái)檢查包的內(nèi)容，提供第 7 層應(yīng)用程序過(guò)濾，甚至可以監(jiān)控和阻止可疑活動(dòng)。這些功能是確保復(fù)雜、動(dòng)態(tài)環(huán)境中的安全性所必需的。

防火墻有哪五種類型？

1. 包過(guò)濾防火墻： 查看包的 IP 頭并丟棄標(biāo)記的包。
2. 電路級(jí)網(wǎng)關(guān)： 基于 TCP 握手和其他網(wǎng)絡(luò)協(xié)議會(huì)話啟動(dòng)消息標(biāo)記惡意內(nèi)容，而不是查看數(shù)據(jù)包本身。
3. 狀態(tài)檢測(cè)防火墻： 將數(shù)據(jù)包過(guò)濾與會(huì)話監(jiān)控相結(jié)合，以提高安全性。
4. 應(yīng)用級(jí)網(wǎng)關(guān)： 按目的端口和 HTTP 請(qǐng)求字符串過(guò)濾數(shù)據(jù)包。也稱為代理防火墻。
5. 下一代防火墻： 采用應(yīng)用級(jí)、上下文感知、智能技術(shù)來(lái)防御高級(jí)威脅。