防火墻技術(shù)一直是網(wǎng)絡(luò)和安全團(tuán)隊(duì)工作的基石。代防火墻專注于源 IP、目標(biāo) IP、端口和協(xié)議。但是，這需要工程師同時(shí)構(gòu)建入站和出站規(guī)則集，因?yàn)榉阑饓Σ恢肋B接的“狀態(tài)”。第二代(電路防火墻)增加了智能來監(jiān)控連接的“狀態(tài)”;因此，工程師只需建立一套適用于雙向連接的規(guī)則。

　　第三代防火墻技術(shù)增加了智能以了解各種協(xié)議的工作原理并實(shí)時(shí)適應(yīng)它們的使用。此更改是當(dāng)今使用的下一代防火墻 (NGFW) 功能的開始。

　　簡單來說，NGFW(Next-Generation Firewall)可以說是在傳統(tǒng)防火墻的邊界上增加了應(yīng)用層檢測、入侵防御系統(tǒng)等保護(hù)層，同時(shí)在傳統(tǒng)防火墻的邊界上增加了智能防火墻。標(biāo)準(zhǔn)端口/協(xié)議保護(hù)。NGFW 是對(duì)傳統(tǒng)防火墻的升級(jí)，在本博客中，我們將討論下一代防火墻的主要優(yōu)勢。

　　DS、IPS等應(yīng)用級(jí)安全功能

　　入侵檢測 (IDS) 和防御 (IPS) 系統(tǒng)直接與 NGFW 集成，用于威脅檢測和阻止數(shù)據(jù)包穿過防火墻。

　　這些應(yīng)用程序可幫助您改進(jìn)數(shù)據(jù)包內(nèi)容過濾。這些功能還可以根據(jù)用戶行為識(shí)別、分析和響應(yīng)與標(biāo)準(zhǔn)活動(dòng)集、威脅簽名和智能攻擊的不規(guī)則偏差。

　　防火墻的常見部署，但不允許 NGFW 檢查 LAN 段之間的流量。來自 LAN 的威脅不會(huì)被阻止或警告。NGFW 現(xiàn)在檢查網(wǎng)段之間流動(dòng)的所有數(shù)據(jù)包，應(yīng)用傳統(tǒng)防火墻規(guī)則集，并執(zhí)行深度數(shù)據(jù)包檢查以檢測和預(yù)防威脅。

　　單一控制臺(tái)訪問

　　下一代防火墻可從單個(gè)控制臺(tái)輕松訪問，這與傳統(tǒng)防火墻不同，您需要單獨(dú)手動(dòng)設(shè)置和配置防火墻。

　　多層保護(hù)

　　傳統(tǒng)防火墻可以阻止通過端口(單層保護(hù))的訪問，這在復(fù)雜且不斷發(fā)展的數(shù)據(jù)架構(gòu)環(huán)境中被證明是微不足道的。

　　NGFW 通過檢查從第 2 層到第 7 層的流量提供多層保護(hù)，同時(shí)了解數(shù)據(jù)傳輸?shù)拇_切性質(zhì)。如果數(shù)據(jù)傳輸在定義的防火墻策略內(nèi)，則傳輸將被阻止。

　　簡化的基礎(chǔ)設(shè)施

　　對(duì)于每個(gè)新威脅，您都需要一個(gè)單獨(dú)的安全設(shè)備。但是，使用下一代防火墻，您可以從單個(gè)設(shè)備輕松管理和更新安全協(xié)議。

　　這簡化了復(fù)雜的安全基礎(chǔ)設(shè)施并節(jié)省了日常運(yùn)營活動(dòng)的時(shí)間。

　　優(yōu)化網(wǎng)速使用

　　在傳統(tǒng)防火墻的情況下，網(wǎng)絡(luò)速度會(huì)隨著安全協(xié)議和設(shè)備數(shù)量的增加而降低。發(fā)生這種情況是因?yàn)殡S著安全設(shè)備和服務(wù)的增加，專用網(wǎng)絡(luò)速度沒有達(dá)到預(yù)期的潛力。

　　但是，使用下一代防火墻，無論設(shè)備和安全協(xié)議的數(shù)量如何，您都可以始終如一地實(shí)現(xiàn)潛在吞吐量。

　　防病毒、勒索軟件和垃圾郵件防護(hù)以及端點(diǎn)安全

　　NGFW配備一整套防病毒、勒索軟件和垃圾郵件防護(hù)以及端點(diǎn)安全，以保護(hù)您的業(yè)務(wù)數(shù)據(jù)。有了這些功能，您不一定需要單獨(dú)的工具來實(shí)現(xiàn)這些目的。

　　由于 NGFW 包含所有這些功能，不僅可以節(jié)省您所需的時(shí)間和精力，還可以幫助您輕松監(jiān)控和控制網(wǎng)絡(luò)威脅。

　　角色訪問能力

　　下一代防火墻具有檢測用戶身份的固有能力。它還可以與不同的用戶角色一起使用，并限制對(duì)個(gè)人和/或組的訪問。此功能可幫助組織設(shè)置對(duì)其數(shù)據(jù)及其內(nèi)容的某些部分的基于角色的訪問。

　　組織還可以公開其部分?jǐn)?shù)據(jù)，并將其余數(shù)據(jù)保密。

　　結(jié)論

　　總而言之，NGFW很強(qiáng)大。與前幾代防火墻相比，它們在邊緣或局域網(wǎng)內(nèi)引入了具有正確拓?fù)涞母呒?jí)保護(hù)機(jī)制。此外，通過利用 NGFW 的能力，部署多個(gè)不相交的安全系統(tǒng)所產(chǎn)生的技術(shù)債務(wù)可以有效地聚合在一個(gè)平臺(tái)中，從而改善組織的安全狀況，減少管理負(fù)擔(dān)和復(fù)雜性，并實(shí)現(xiàn)更高的安全性。高投資回報(bào)率 (ROI)。