Cloudflare：什么是下一代防火墻（NGFW）？

什么是下一代防火墻（NGFW）？

下一代防火墻（NGFW）比傳統(tǒng)的防火墻更強(qiáng)大。NGFW 具有傳統(tǒng)防火墻的功能，但它們還具有許多附加功能，可以滿足更多樣化的企業(yè)需求并阻止更多潛在威脅。將它們稱為“下一代”，是為了將它們與沒有這些功能的舊防火墻區(qū)分開來。

下一代防火墻與舊防火墻之間的區(qū)別有點(diǎn)像智能手機(jī)與翻蓋手機(jī)之間的區(qū)別。兩者都有一些共同的功能，比如發(fā)短信、語音通話和聯(lián)系人列表等。但是智能手機(jī)增加了許多高級功能，實(shí)際上它是另一種產(chǎn)品，因此有不同的術(shù)語。

防火墻用來做什么？

防火墻是一種安全產(chǎn)品，可以根據(jù)一組安全規(guī)則監(jiān)視和控制網(wǎng)絡(luò)流量。防火墻可以是安裝在服務(wù)器或計(jì)算機(jī)上的軟件應(yīng)用程序，也可以是連接到內(nèi)部網(wǎng)絡(luò)的物理硬件設(shè)備。防火墻通常位于受信任的網(wǎng)絡(luò)和不受信任的網(wǎng)絡(luò)之間；通常，受信任的網(wǎng)絡(luò)是企業(yè)的內(nèi)部網(wǎng)絡(luò)，而不受信任的網(wǎng)絡(luò)是互聯(lián)網(wǎng)。

傳統(tǒng)防火墻的典型功能包括數(shù)據(jù)包篩選、狀態(tài)檢查、代理、IP 阻止、域名阻止和端口阻止。

數(shù)據(jù)包過濾是指過濾出潛在危險(xiǎn)網(wǎng)絡(luò)流量的能力。通過網(wǎng)絡(luò)（例如 Internet）傳輸?shù)乃袛?shù)據(jù)都被分解為我們稱之為數(shù)據(jù)包的較小區(qū)塊。防火墻可以查看每個(gè)單獨(dú)的數(shù)據(jù)包，如果數(shù)據(jù)包符合某些預(yù)先確定的規(guī)則，則阻止數(shù)據(jù)包進(jìn)入或退出內(nèi)部網(wǎng)絡(luò)。

狀態(tài)檢查使數(shù)據(jù)包的過濾更深一層。通過狀態(tài)檢測，防火墻可以在通過防火墻的其他數(shù)據(jù)包的上下文中檢查數(shù)據(jù)包。數(shù)據(jù)包本身看起來可能是無害的，但是，如果數(shù)據(jù)包流向網(wǎng)絡(luò)中的異常目的地，則有可能是惡意的。（例如，SQL查詢本身并不是惡意的，但是如果通過網(wǎng)頁表單發(fā)送，則可能是 SQL 注入攻擊的一部分。）

代理在網(wǎng)絡(luò)中是指一臺機(jī)器代表另一臺機(jī)器發(fā)送或接收網(wǎng)絡(luò)流量。防火墻可以充當(dāng)代理，代表內(nèi)部網(wǎng)絡(luò)中的用戶設(shè)備發(fā)出請求和接收網(wǎng)絡(luò)響應(yīng)，在惡意數(shù)據(jù)有機(jī)會到達(dá)這些設(shè)備之前過濾掉惡意數(shù)據(jù)。

IP和域名阻止表示防火墻可以完全阻止用戶訪問某些網(wǎng)站或應(yīng)用程序。

端口阻止允許防火墻過濾掉某些類型的網(wǎng)絡(luò)流量。在網(wǎng)絡(luò)連接過程中，端口是一臺機(jī)器與另一臺機(jī)器之間的連接終止的地方。端口是虛擬的或基于軟件的，它們并不對應(yīng)于計(jì)算機(jī)的物理組件。某些端口是專屬于某些類型的網(wǎng)絡(luò)連接：比如 HTTPS 連接運(yùn)行在 443 端口。

哪些功能將下一代防火墻與傳統(tǒng)防火墻區(qū)分開？

NGFW具有上述所有功能。但除此之外，它們還包括早期防火墻產(chǎn)品中不具備的技術(shù)：

入侵防護(hù)系統(tǒng)（IPS）：入侵防護(hù)系統(tǒng)主動(dòng)檢測并阻止網(wǎng)絡(luò)攻擊。這就好比讓一名安全保衛(wèi)人員主動(dòng)對建筑物進(jìn)行巡邏，而不是只坐在前門入口旁。

深度包數(shù)據(jù)檢查（DPI）：較舊的防火墻通常僅檢查通過的數(shù)據(jù)包的標(biāo)頭*。而 NGFW 會同時(shí)檢測數(shù)據(jù)包標(biāo)頭和數(shù)據(jù)包有效負(fù)載，以便更好地檢測惡意軟件和其他類型的惡意流量。這有點(diǎn)像安全檢查站，安全檢查員在實(shí)際檢查一個(gè)人行李中的物品，而不僅僅是讓那個(gè)人告訴他們的行李中有什么物品。

* 數(shù)據(jù)包的標(biāo)頭包含有關(guān)整個(gè)數(shù)據(jù)包的信息，例如數(shù)據(jù)包的長度和來源。

應(yīng)用程序控制： 除了分析網(wǎng)絡(luò)流量之外，NGFW還可以識別流量來自哪些應(yīng)用程序?；诖耍琋GFW 可以控制不同應(yīng)用程序可以訪問哪些資源，或完全阻止某些應(yīng)用程序。

目錄集成：用戶目錄允許組織的內(nèi)部團(tuán)隊(duì)監(jiān)控每個(gè)用戶所擁有的特權(quán)和權(quán)限。一些 NGFW 可以根據(jù)這些內(nèi)部用戶目錄過濾網(wǎng)絡(luò)流量或應(yīng)用程序。如果用戶無權(quán)訪問某個(gè)應(yīng)用程序，則即使該應(yīng)用程序未被標(biāo)識為惡意軟件，防火墻也會阻止該用戶訪問該應(yīng)用程序。

加密流量檢查：有些 NGFW 實(shí)際上可以解密和分析被加密的流量，即便是由 SSL/TLS 加密。防火墻可以通過充當(dāng) TLS 進(jìn)程的代理來做到這一點(diǎn)。往返于網(wǎng)站的所有流量均由防火墻解密、分析并再次加密。從用戶的角度來看，這種代理實(shí)際上是無縫隙的，并且它們可以像正常一樣與安全的 HTTPS 網(wǎng)站進(jìn)行交互。

NGFW是部署在云還是本地環(huán)境？

NGFW 既可以在云也可以在本地環(huán)境運(yùn)行。版本較舊的防火墻與下一代防火墻的唯一區(qū)別在于，它是否具有上述的下一代功能。

什么是防火墻即服務(wù)（FWaaS）？

防火墻即服務(wù)（FWaaS）是由第三方供應(yīng)商托管在云中的防火墻。"云防火墻"是此類服務(wù)的另一個(gè)術(shù)語。

FWaaS不是物理設(shè)備，也不是托管在組織的本地環(huán)境。類似其他"即服務(wù)"類別，比如軟件即服務(wù)或平臺即服務(wù)，F(xiàn)WaaS也是在云環(huán)境中運(yùn)行并可以通過互聯(lián)網(wǎng)進(jìn)行訪問。

在云計(jì)算出現(xiàn)之前，可信任的網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間就存在防火墻，并且可信任的網(wǎng)絡(luò)與不可信的網(wǎng)絡(luò)之間存在明確的界限。但是在云計(jì)算中，此邊界（稱為"網(wǎng)絡(luò)邊界”）不一定存在，因?yàn)槭苄湃蔚脑瀑Y產(chǎn)是通過不受信任的網(wǎng)絡(luò)（互聯(lián)網(wǎng)）來訪問的。盡管缺乏網(wǎng)絡(luò)邊界，但云托管的防火墻仍可確保這些資產(chǎn)的安全。

FWaaS（云防火墻）和NGFW之間有什么區(qū)別？

下一代防火墻與云防火墻

大多數(shù)現(xiàn)代防火墻，包括FWaaS/云防火墻，都屬于下一代防火墻。但是，"FWaaS"和"下一代"則表述了防火墻的兩個(gè)不同特征。 FWaaS描述的是防火墻的位置。 "下一代"描述的是防火墻可以做什么。

任何具有下一代功能的防火墻都是NGFW，無論它位于何處。云防火墻或FWaaS是托管在云環(huán)境中，不論它是否具有下一代功能。此外，由供應(yīng)商配置、維護(hù)和更新的云托管防火墻，使它們更易于客戶來維護(hù)，并且通常更新和更安全。

Cloudflare提供哪種防火墻？

Cloudflare WAF（Web應(yīng)用程序防火墻）是基于云的防火墻，可保護(hù)云資產(chǎn)和Web應(yīng)用程序。Cloudflare WAF 的獨(dú)特之處在于，它可以持續(xù)識別并阻止新的潛在威脅。它通過分析來自整個(gè)全球 Cloudflare 網(wǎng)絡(luò)的流量數(shù)據(jù)來做到這一點(diǎn)。