什么是下一代防火墙(NGFW)?

什么是下一代防火墙?

A 下一代防火墙 包括:

• 应用程序和用户控件
• 综合入侵预防
• 先进的恶意软件检测，如沙盒
• 并利用威胁情报

上述NGFW的特性是在网络防火墙(如NAT)中常见的特性之外的附加特性。, 支持动态路由协议和高可用性. 下一代网络防火墙和统一威胁管理(UTM)设备之间的区别有些模糊. UTM设备是为中小型企业(SMB)市场细分而设计的, 需要全面的安全解决方案.

与此形成鲜明对比的是, 部署更多分布式下一代网络防火墙的企业需要强大的中央管理, HTTPS加密隧道的检测, 与第三方供应商的集成，以及定义良好的api，用于供应和策略编排. 后者对于实现软件定义网络(SDN)的自动化安全至关重要。. 第三方集成示例包括根据身份存储(如Microsoft Active Directory)对用户进行身份验证，并将安全日志导出到安全信息事件管理(SIEM)供应商.

今天的下一代网络防火墙可以发现部署:

• 位于企业和分支机构边缘的办公场所
• 在内部段边界的内部场所
• 在公共云中，e.g. 亚马逊(Amazon)、微软Azure、谷歌云平台
• 在私有云中，e.g. VMware,思科ACI

下一代防火墙的主要好处是什么?

NGFW的主要优点是能够安全使用Internet应用程序，提高用户的工作效率，同时阻断不需要的应用程序 应用程序. 下一代防火墙通过使用深度包检查来实现这一点 识别 和控制应用程序，而不考虑应用程序使用的IP端口.

部署在组织外围的网络防火墙的典型安全策略是阻止入站连接，允许出站连接. 可能会应用一些限制，但出站Web流量通常是允许的. 应用程序已经学会使用可用的开放端口(如Web端口80到Internet)来为客户提供无缝的用户体验. 这适用于使员工工作更有效率的应用程序和对公司利益不太理想的应用程序. 下一代防火墙可以让公司更清楚地了解员工正在使用的应用程序，并控制他们的应用程序使用.

下一代防火墙如何实现用户控制?

至少, 网络防火墙的安全策略规则表示允许或拒绝从这个源到这个目的地的连接. 源和目的地传统上定义为分配给笔记本电脑的IP地址，或者是一个包含多个用户和服务器的更大的网络地址. 这种静态地址策略定义很难让人读懂, 但也不能很好地为拥有不同IP地址的用户设置安全策略，因为他们在公司内漫游和在异地工作.

下一代网络防火墙供应商通过集成第三方用户目录(如Microsoft Active Directory)来解决这个问题. 动态, 基于身份的策略提供了用户的细粒度可见性和控制, 组和机器，比静态更容易管理, 基于ip的政策. 在一个单一的、统一的控制台管理员定义一次对象. 当网络防火墙第一次看到连接时, 该IP通过查询第三方用户目录映射到用户和组. 这种动态用户到IP的映射使管理员不必不断更新安全策略.

下一代防火墙如何执行威胁防护?

威胁防护能力是下一代防火墙深度包检查能力的自然扩展. 当流量经过网络防火墙设备时, 他们还检查通信中已知的利用现有漏洞(IPS)的行为。. 文件可以在设备外发送，在虚拟沙箱中模拟，以检测恶意行为(沙箱安全).

下一代防火墙的下一步是什么?

随着安全威胁继续增长, 公司正在从下一代防火墙过渡到一种新的防火墙技术，Gartner称之为“网络防火墙“. 网络防火墙提供实时威胁情报以及跨数据中心的额外安全功能, 云, 移动, 端点, 和物联网.

防火墙是任何组织的安全体系结构的重要组成部分，可以帮助保护敏感数据, 满足合规要求, 引导企业实现数字化转型.