下一代防火墙 (NGFW) 与防火墙即服务 (FWaaS) 的对比

下一代防火墙 (NGFW) 是具有高级功能的防火墙,而防火墙即服务 (FWaaS) 是用于保护网络和云基础设施的云交付防火墙。

学习目标

阅读本文后,您将能够:

  • 定义下一代防火墙 (NGFW) 与防火墙即服务 (FWaaS)
  • NGFW 与 FWaaS 的对比
  • 了解云防火墙与下一代防火墙有哪些重叠

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

下一代防火墙 (NGFW) 与防火墙即服务 (FWaaS) 的对比

这些术语描述了防火墙的两个不同方面——它能做什么 (NGFW) 与它的部署位置和方式 (FWaaS)。下一代防火墙 (NGFW) 有一套特定的安全功能。防火墙即服务 (FWaaS) 描述了托管在中并作为服务提供的防火墙(这种防火墙也可称为“云防火墙” )。

FWaaS 可以有下一代的功能,NGFW 也可以托管在云中。

NGFW 与 FWaaS 维恩图解

组织需要的防火墙类型取决于他们的基础设施。如果他们所有的网络基础设施和应用程序都是内部部署,那么基于硬件的 NGFW 可能就足够了。但是大多数现代组织都在云中运行一些工作负载,使得 FWaaS 成为必需品(理想情况下,是具有下一代功能的 FWaaS 解决方案)。

防火墙用来做什么?

防火墙是一种安全产品,可以根据一组安全规则监视和控制网络流量。防火墙可以是安装在服务器或计算机上的软件应用程序,也可以是连接到内部网络的物理硬件设备。防火墙通常位于受信任的网络和不受信任的网络之间;通常,受信任的网络是企业的内部网络,而不受信任的网络是互联网。

防火墙的标准功能包括:

  • 数据包过滤:分析单个数据包并在必要时阻止它们
  • 有状态检查:在活动网络连接的背景下评估数据包
  • 虚拟专用网络 (VPN) 识别:识别加密的 VPN 流量并允许其通过

什么是下一代防火墙(NGFW)?

NGFW 具有传统防火墙的功能,但它们还具有许多附加功能,可以满足更多样化的企业需求并阻止更多潜在威胁。将它们称为“下一代”,是为了将它们与没有这些功能的旧防火墙区分开来。

NGFW 技术包括:

  • 入侵防御系统 (IPS):扫描网络流量,识别恶意软件,并阻止恶意流量
  • 深度包检测 (DPI):通过分析每个数据包的主体和标头来改进数据包过滤
  • 应用程序意识和控制:根据流量的去向,识别和阻止流量
  • 威胁情报源:融合更新的威胁情报流,以识别最新威胁

什么是防火墙即服务(FWaaS)?

FWaaS 是由第三方供应商托管在云中的防火墙。"云防火墙"是此类服务的另一个术语。

FWaaS 不是物理设备,也不是托管在组织的本地环境。与其他“即服务”类别(比如基础设施即服务 (IaaS) 软件即服务 (SaaS))相似,FWaaS 也是在云环境中运行并可以通过互联网进行访问。

在云计算出现之前,防火墙位于可信网络与不可信网络之间,可信网络和不可信网络之间有一个明确的边界(称为“网络边界”)。但在云计算中,这种边界并不存在,因为受信任的云资产是通过一个不受信任的网络(互联网)访问的。尽管缺乏网络边界,云托管防火墙仍能保护这些资产。此外,云托管防火墙由防火墙供应商而不是客户来配置、维护和更新。

什么是 Cloudflare Magic Firewall?

Cloudflare Magic Firewall 是具有下一代功能的云防火墙,其托管在 Cloudflare 全球网络上。它保护数据中心、远程用户、分支机构和云基础设施,并与 Cloudflare One 平台紧密集成。了解有关 Magic Firewall 的更多信息