Cloudflare：什么是下一代防火墻（NGFW）？

什么是下一代防火墻（NGFW）？

下一代防火墻（NGFW）比傳統(tǒng)的防火墻更強大。NGFW 具有傳統(tǒng)防火墻的功能，但它們還具有許多附加功能，可以滿足更多樣化的企業(yè)需求并阻止更多潛在威脅。將它們稱為“下一代”，是為了將它們與沒有這些功能的舊防火墻區(qū)分開來。

下一代防火墻與舊防火墻之間的區(qū)別有點像智能手機與翻蓋手機之間的區(qū)別。兩者都有一些共同的功能，比如發(fā)短信、語音通話和聯(lián)系人列表等。但是智能手機增加了許多高級功能，實際上它是另一種產(chǎn)品，因此有不同的術語。

防火墻用來做什么？

防火墻是一種安全產(chǎn)品，可以根據(jù)一組安全規(guī)則監(jiān)視和控制網(wǎng)絡流量。防火墻可以是安裝在服務器或計算機上的軟件應用程序，也可以是連接到內(nèi)部網(wǎng)絡的物理硬件設備。防火墻通常位于受信任的網(wǎng)絡和不受信任的網(wǎng)絡之間；通常，受信任的網(wǎng)絡是企業(yè)的內(nèi)部網(wǎng)絡，而不受信任的網(wǎng)絡是互聯(lián)網(wǎng)。

傳統(tǒng)防火墻的典型功能包括數(shù)據(jù)包篩選、狀態(tài)檢查、代理、IP 阻止、域名阻止和端口阻止。

數(shù)據(jù)包過濾是指過濾出潛在危險網(wǎng)絡流量的能力。通過網(wǎng)絡（例如 Internet）傳輸?shù)乃袛?shù)據(jù)都被分解為我們稱之為數(shù)據(jù)包的較小區(qū)塊。防火墻可以查看每個單獨的數(shù)據(jù)包，如果數(shù)據(jù)包符合某些預先確定的規(guī)則，則阻止數(shù)據(jù)包進入或退出內(nèi)部網(wǎng)絡。

狀態(tài)檢查使數(shù)據(jù)包的過濾更深一層。通過狀態(tài)檢測，防火墻可以在通過防火墻的其他數(shù)據(jù)包的上下文中檢查數(shù)據(jù)包。數(shù)據(jù)包本身看起來可能是無害的，但是，如果數(shù)據(jù)包流向網(wǎng)絡中的異常目的地，則有可能是惡意的。（例如，SQL查詢本身并不是惡意的，但是如果通過網(wǎng)頁表單發(fā)送，則可能是 SQL 注入攻擊的一部分。）

代理在網(wǎng)絡中是指一臺機器代表另一臺機器發(fā)送或接收網(wǎng)絡流量。防火墻可以充當代理，代表內(nèi)部網(wǎng)絡中的用戶設備發(fā)出請求和接收網(wǎng)絡響應，在惡意數(shù)據(jù)有機會到達這些設備之前過濾掉惡意數(shù)據(jù)。

IP和域名阻止表示防火墻可以完全阻止用戶訪問某些網(wǎng)站或應用程序。

端口阻止允許防火墻過濾掉某些類型的網(wǎng)絡流量。在網(wǎng)絡連接過程中，端口是一臺機器與另一臺機器之間的連接終止的地方。端口是虛擬的或基于軟件的，它們并不對應于計算機的物理組件。某些端口是專屬于某些類型的網(wǎng)絡連接：比如 HTTPS 連接運行在 443 端口。

哪些功能將下一代防火墻與傳統(tǒng)防火墻區(qū)分開？

NGFW具有上述所有功能。但除此之外，它們還包括早期防火墻產(chǎn)品中不具備的技術：

入侵防護系統(tǒng)（IPS）：入侵防護系統(tǒng)主動檢測并阻止網(wǎng)絡攻擊。這就好比讓一名安全保衛(wèi)人員主動對建筑物進行巡邏，而不是只坐在前門入口旁。

深度包數(shù)據(jù)檢查（DPI）：較舊的防火墻通常僅檢查通過的數(shù)據(jù)包的標頭*。而 NGFW 會同時檢測數(shù)據(jù)包標頭和數(shù)據(jù)包有效負載，以便更好地檢測惡意軟件和其他類型的惡意流量。這有點像安全檢查站，安全檢查員在實際檢查一個人行李中的物品，而不僅僅是讓那個人告訴他們的行李中有什么物品。

* 數(shù)據(jù)包的標頭包含有關整個數(shù)據(jù)包的信息，例如數(shù)據(jù)包的長度和來源。

應用程序控制： 除了分析網(wǎng)絡流量之外，NGFW還可以識別流量來自哪些應用程序?；诖?，NGFW 可以控制不同應用程序可以訪問哪些資源，或完全阻止某些應用程序。

目錄集成：用戶目錄允許組織的內(nèi)部團隊監(jiān)控每個用戶所擁有的特權(quán)和權(quán)限。一些 NGFW 可以根據(jù)這些內(nèi)部用戶目錄過濾網(wǎng)絡流量或應用程序。如果用戶無權(quán)訪問某個應用程序，則即使該應用程序未被標識為惡意軟件，防火墻也會阻止該用戶訪問該應用程序。

加密流量檢查：有些 NGFW 實際上可以解密和分析被加密的流量，即便是由 SSL/TLS 加密。防火墻可以通過充當 TLS 進程的代理來做到這一點。往返于網(wǎng)站的所有流量均由防火墻解密、分析并再次加密。從用戶的角度來看，這種代理實際上是無縫隙的，并且它們可以像正常一樣與安全的 HTTPS 網(wǎng)站進行交互。

NGFW是部署在云還是本地環(huán)境？

NGFW 既可以在云也可以在本地環(huán)境運行。版本較舊的防火墻與下一代防火墻的唯一區(qū)別在于，它是否具有上述的下一代功能。

什么是防火墻即服務（FWaaS）？

防火墻即服務（FWaaS）是由第三方供應商托管在云中的防火墻。"云防火墻"是此類服務的另一個術語。

FWaaS不是物理設備，也不是托管在組織的本地環(huán)境。類似其他"即服務"類別，比如軟件即服務或平臺即服務，F(xiàn)WaaS也是在云環(huán)境中運行并可以通過互聯(lián)網(wǎng)進行訪問。

在云計算出現(xiàn)之前，可信任的網(wǎng)絡與不可信網(wǎng)絡之間就存在防火墻，并且可信任的網(wǎng)絡與不可信的網(wǎng)絡之間存在明確的界限。但是在云計算中，此邊界（稱為"網(wǎng)絡邊界”）不一定存在，因為受信任的云資產(chǎn)是通過不受信任的網(wǎng)絡（互聯(lián)網(wǎng)）來訪問的。盡管缺乏網(wǎng)絡邊界，但云托管的防火墻仍可確保這些資產(chǎn)的安全。

FWaaS（云防火墻）和NGFW之間有什么區(qū)別？

下一代防火墻與云防火墻

大多數(shù)現(xiàn)代防火墻，包括FWaaS/云防火墻，都屬于下一代防火墻。但是，"FWaaS"和"下一代"則表述了防火墻的兩個不同特征。 FWaaS描述的是防火墻的位置。 "下一代"描述的是防火墻可以做什么。

任何具有下一代功能的防火墻都是NGFW，無論它位于何處。云防火墻或FWaaS是托管在云環(huán)境中，不論它是否具有下一代功能。此外，由供應商配置、維護和更新的云托管防火墻，使它們更易于客戶來維護，并且通常更新和更安全。

Cloudflare提供哪種防火墻？

Cloudflare WAF（Web應用程序防火墻）是基于云的防火墻，可保護云資產(chǎn)和Web應用程序。Cloudflare WAF 的獨特之處在于，它可以持續(xù)識別并阻止新的潛在威脅。它通過分析來自整個全球 Cloudflare 網(wǎng)絡的流量數(shù)據(jù)來做到這一點。