什么是下一代防火墙（NGFW）？

什么是下一代防火墙（NGFW）？

下一代防火墙 (NGFW) 是一种安全设备，用于处理网络流量并应用规则以阻止潜在的危险流量。NGFW 在传统防火墙的基础上演变和扩展而来。它们能做防火墙所做的一切，但功能更强大，且具有更多的功能。

假设有两个机场安全机构。一个进行检查以确保没有任何禁飞名单上的乘客，他们的身份与机票上的信息相符，且他们要去往机场实际服务的目的地。第二个机构，除了检查禁飞名单等之外，还检查乘客携带的物品，确保他们没有危险或不允许携带的物品。第一个机构可以保持机场安全，防止明显的威胁；但第二个机构还能够发现可能不太明显的威胁。

普通防火墙就像第一个安全机构：它根据数据（乘客）的去向、是否属于合法网络连接以及它的来源来阻止或允许数据。NGFW 则更像第二个安全机构：它在更深的层次上检查数据，以识别和阻止可能隐藏在看似正常的流量中的威胁。

NGFW 有哪些功能？

NGFW 可以做普通防火墙能做的一切，包括：

• 数据包过滤：检查每个单独的数据包，并阻止危险或意外的数据包。数据包过滤将在后文中进行详细说明。
• 有状态检查：在上下文中查看数据包，确保它们是合法网络连接的一部分。
• VPN 意识：防火墙能够识别加密的 VPN 流量并允许其通过。

NGFW 还增加了一些旧版防火墙所不具备的功能。除了包过滤外，NGFW 还使用深度包检测 (DPI) 技术。根据全球研究和咨询公司 Gartner 的说明，NGFW 包括：

• 应用程序意识和控制
• 入侵防护
• 威胁情报
• 升级的路径，以便增加未来的信息反馈
• 应对不断变化的安全威胁的技术

下文中将对这些功能进行详细说明。

之所以能够实现这些功能，是因为与普通防火墙不同，NGFW 能够处理 OSI 模型中多个层的流量，而不仅仅是第 3 层（网络层）和第 4 层（传输层）。例如，NGFW 可以查看第 7 层 HTTP 流量，并识别哪些应用程序正在使用中。这是一项重要的功能，因为第 7 层（应用程序层）越来越多地成为攻击的目标，以绕开传统防火墙在第 3 层和第 4 层应用的安全策略。

（要了解有关 OSI 层的更多信息，请参见什么是 OSI 模型？）

什么是数据包过滤和深度包检测 (DPI)？

数据包过滤

所有穿越网络或互联网的数据都被分解成更小的片段，称为“数据包”。因为这些数据包包含了进入网络的内容，所以防火墙会检查这些数据包，并阻止或允许它们通过，以防止恶意内容（如恶意软件攻击）。所有防火墙都有这种数据包过滤的功能。

数据包过滤的工作原理是检查与每个数据包相关的源和目的地 IP 地址、端口以及协议。换句话说，即每个数据包来自哪里、要去哪里以及如何到达那里。防火墙根据这一评估允许或阻止数据包，过滤掉不允许的数据包。

例如，攻击者有时试图利用与远程桌面协议 (RDP)相关的漏洞，向该协议使用的端口（端口 3389）发送特制的数据包。然而，防火墙可以检查数据包，看它要去往哪个端口，并阻止所有指向该端口的数据包——除非它们来自一个特别允许的 IP 地址。这涉及到在第 3 层（查看源和目的地 IP 地址）和第 4 层（查看端口）检查网络流量。

深度包检测 (DPI)

NGFW 通过执行深度包检测 (DPI) 来改进数据包过滤。与数据包过滤一样，DPI 涉及检查每个单独的数据包，以查看源和目的地 IP 地址、源和目的地端口等。这些信息都包含在数据包的第 3 层和第 4 层标头中。

但 DPI 还会检查每个数据包的主体，而不仅仅是标头。具体来说，DPI 会检查数据包主体是否有恶意软件签名和其他潜在威胁。它将每个数据包的内容与已知恶意攻击的内容进行比较。

什么是应用程序意识和控制？

NGFW 根据数据包的去向，阻止或允许数据包。它们通过分析第 7 层（应用程序层）的流量来做到这一点。传统的防火墙不具备这种能力，因为它们只分析第 3 层和第 4 层的流量。

应用程序意识让管理员能够阻止有潜在风险的应用程序。如果一个应用程序的数据不能通过防火墙，那么它就不能将威胁引入网络。

根据 Gartner 对这些术语的定义，该功能和入侵防护（下文所述）都是 DPI 的要素。

什么是入侵防护？

入侵防护分析传入流量，识别已知威胁和潜在威胁，并阻止这些威胁。这种功能通常被称为入侵防护系统 (IPS)。NGFW 的 DPI 功能中包含 IPS。

IPS 可以使用几种方法来检测威胁，包括：

• 签名检测：扫描传入数据包内的信息，并将其与已知威胁进行比较
• 统计异常检测：扫描流量以检测与基线相比异常的行为变化
• 有状态的协议分析检测：与统计异常检测类似，但着重于使用中的网络协议，将其与典型的协议使用情况进行比较

什么是威胁情报？

威胁情报是关于潜在攻击的信息。由于攻击技术和恶意软件的种类在不断变化，最新的威胁情报对于阻止这些攻击至关重要。NGFW 能够接收来自外部来源的威胁情报源并采取行动。

威胁情报通过提供最新的恶意软件签名，保持 IPS 签名检测的有效性。

威胁情报还可以提供 IP 信誉信息。“IP信誉”标识攻击（尤其是机器人攻击）的常发 IP 地址。IP 信誉威胁情报源提供了最新的已知不良 IP 地址，然后 NGFW 可以阻止这些地址。

下一代防火墙是基于硬件还是基于软件？

一些 NGFW 是硬件设备，旨在保护内部专用网络。NGFW 也可以作为软件部署，但并不是一定要基于软件才能被视为下一代防火墙。

最后，NGFW 可以作为云服务来部署，这被称为云防火墙或防火墙即服务 (FWaaS)。FWaaS 是安全访问服务边缘 (SASE) 网络模型的一个重要组成部分。（更深入地比较 NGFW 和 FWaaS。）

什么是 Cloudflare Magic Firewall？

Cloudflare Magic Firewall 是一个通过全球 Cloudflare 网络交付的网络级防火墙。它保护用户、办公网络和云基础设施，旨在用先进、可扩展的保护措施取代基于硬件的防火墙。

Magic Firewall 与 Cloudflare One 紧密集成，后者是一个结合了网络和安全服务的 SASE 平台。