什么是下一代防火墙（NGFW）？

什么是下一代防火墙（NGFW）？

下一代防火墙 (NGFW) 是一种安全设备，用于处理网络流量并应用规则以阻止潜在的危险流量。NGFW 在传统防火墙的基础上演变和扩展而来。它们能做防火墙所做的一切，但功能更强大，且具有更多的功能。

假设有两个机场安全机构。一个进行检查以确保没有任何禁飞名单上的乘客，他们的身份与机票上的信息相符，且他们要去往机场实际服务的目的地。第二个机构，除了检查禁飞名单等之外，还检查乘客携带的物品，确保他们没有危险或不允许携带的物品。第一个机构可以保持机场安全，防止明显的威胁；但第二个机构还能够发现可能不太明显的威胁。

普通防火墙就像第一个安全机构：它根据数据（乘客）的去向、是否属于合法网络连接以及它的来源来阻止或允许数据。NGFW 则更像第二个安全机构：它在更深的层次上检查数据，以识别和阻止可能隐藏在看似正常的流量中的威胁。

NGFW 有哪些功能？

NGFW 可以做普通防火墙能做的一切，包括：

• 数据包过滤：检查每个单独的数据包，并阻止危险或意外的数据包。数据包过滤将在后文中进行详细说明。
• 有状态检查：在上下文中查看数据包，确保它们是合法网络连接的一部分。
• VPN 意识：防火墙能够识别加密的 VPN 流量并允许其通过。

NGFW 还增加了一些旧版防火墙所不具备的功能。除了包过滤外，NGFW 还使用深度包检测 (DPI) 技术。根据全球研究和咨询公司 Gartner 的说明，NGFW 包括：

• 应用程序意识和控制
• 入侵防护
• 威胁情报
• 升级的路径，以便增加未来的信息反馈
• 应对不断变化的安全威胁的技术

下文中将对这些功能进行详细说明。

之所以能够实现这些功能，是因为与普通防火墙不同，NGFW 能够处理 OSI 模型中多个层的流量，而不仅仅是第 3 层（网络层）和第 4 层（传输层）。例如，NGFW 可以查看第 7 层 HTTP 流量，并识别哪些应用程序正在使用中。这是一项重要的功能，因为第 7 层（应用程序层）越来越多地成为攻击的目标，以绕开传统防火墙在第 3 层和第 4 层应用的安全策略。

（要了解有关 OSI 层的更多信息，请参见什么是 OSI 模型？）

什么是数据包过滤和深度包检测 (DPI)？

数据包过滤

所有穿越网络或互联网的数据都被分解成更小的片段，称为“数据包”。因为这些数据包包含了进入网络的内容，所以防火墙会检查这些数据包，并阻止或允许它们通过，以防止恶意内容（如恶意软件攻击）。所有防火墙都有这种数据包过滤的功能。

数据包过滤的工作原理是检查与每个数据包相关的源和目的地 IP 地址、端口以及协议。换句话说，即每个数据包来自哪里、要去哪里以及如何到达那里。防火墙根据这一评估允许或阻止数据包，过滤掉不允许的数据包。

例如，攻击者有时试图利用与远程桌面协议 (RDP)相关的漏洞，向该协议使用的端口（端口 3389）发送特制的数据包。然而，防火墙可以检查数据包，看它要去往哪个端口，并阻止所有指向该端口的数据包——除非它们来自一个特别允许的 IP 地址。这涉及到在第 3 层（查看源和目的地 IP 地址）和第 4 层（查看端口）检查网络流量。

深度包检测 (DPI)

NGFW 通过执行深度包检测 (DPI) 来改进数据包过滤。与数据包过滤一样，DPI 涉及检查每个单独的数据包，以查看源和目的地 IP 地址、源和目的地端口等。这些信息都包含在数据包的第 3 层和第 4 层标头中。

但 DPI 还会检查每个数据包的主体，而不仅仅是标头。具体来说，DPI 会检查数据包主体是否有恶意软件签名和其他潜在威胁。它将每个数据包的内容与已知恶意攻击的内容进行比较。

什么是应用程序意识和控制？

NGFW 根据数据包的去向，阻止或允许数据包。它们通过分析第 7 层（应用程序层）的流量来做到这一点。传统的防火墙不具备这种能力，因为它们只分析第 3 层和第 4 层的流量。

应用程序意识让管理员能够阻止有潜在风险的应用程序。如果一个应用程序的数据不能通过防火墙，那么它就不能将威胁引入网络。

根据 Gartner 对这些术语的定义，该功能和入侵防护（下文所述）都是 DPI 的要素。

什么是入侵防护？

入侵防护分析传入流量，识别已知威胁和潜在威胁，并阻止这些威胁。这种功能通常被称为入侵防护系统 (IPS)。NGFW 的 DPI 功能中包含 IPS。

IPS 可以使用几种方法来检测威胁，包括：

• 签名检测：扫描传入数据包内的信息，并将其与已知威胁进行比较
• 统计异常检测：扫描流量以检测与基线相比异常的行为变化
• 有状态的协议分析检测：与统计异常检测类似，但着重于使用中的网络协议，将其与典型的协议使用情况进行比较

什么是威胁情报？

威胁情报是关于潜在攻击的信息。由于攻击技术和恶意软件的种类在不断变化，最新的威胁情报对于阻止这些攻击至关重要。NGFW 能够接收来自外部来源的威胁情报源并采取行动。

威胁情报通过提供最新的恶意软件签名，保持 IPS 签名检测的有效性。

威胁情报还可以提供 IP 信誉信息。“IP信誉”标识攻击（尤其是机器人攻击）的常发 IP 地址。IP 信誉威胁情报源提供了最新的已知不良 IP 地址，然后 NGFW 可以阻止这些地址。

下一代防火墙是基于硬件还是基于软件？

一些 NGFW 是硬件设备，旨在保护内部专用网络。NGFW 也可以作为软件部署，但并不是一定要基于软件才能被视为下一代防火墙。

最后，NGFW 可以作为云服务来部署，这被称为云防火墙或防火墙即服务 (FWaaS)。FWaaS 是安全访问服务边缘 (SASE) 网络模型的一个重要组成部分。（更深入地比较 NGFW 和 FWaaS。）

什么是 Cloudflare Magic Firewall？

Cloudflare Magic Firewall 是一个通过全球 Cloudflare 网络交付的网络级防火墙。它保护用户、办公网络和云基础设施，旨在用先进、可扩展的保护措施取代基于硬件的防火墙。

Magic Firewall 与 Cloudflare One 紧密集成，后者是一个结合了网络和安全服务的 SASE 平台。

常见问题解答

什么是下一代防火墙（NGFW）？

下一代防火墙（NGFW）是一种安全设备，用于分析和控制网络流量。NGFW 具有深度数据包检测和应用感知等高级功能，超越了传统防火墙的功能，能够阻止更复杂的威胁。

什么是深度包检测（DPI）？

深度包检测（DPI）是 NGFW 所采用的一种技术，它会检查数据包的完整内容 —— 包括数据包体，而不仅仅是包头 —— 以检测恶意软件特征码及其他威胁。

NGFW 中的应用意识和控制是什么？

应用感知和控制是 NGFW 的一项功能，用在应用层分析流量，使组织能够根据流量所属的应用来阻止或允许网络流量。这种功能允许 NGFW 阻止使用具有潜在风险的应用。

NGFW 中的入侵防御系统（IPS）是什么？

入侵防御系统（IPS）分析传入的流量，以检测并阻止已知和潜在的威胁。IPS 采用特征码检测、统计异常检测和有状态协议分析检测等技术，来识别网络流量中的威胁。

NGFW 环境中的威胁情报是什么？

威胁情报是关于攻击方法、恶意软件签名和 IP 信誉的最新信息。NGFW 会摄取威胁情报数据源，以确保掌握有关新威胁和不断演变的威胁的最新数据。

什么是数据包过滤？NGFW 如何使用它？

数据包过滤是检查单个网络数据包的来源、目的地和协议信息，并阻止那些危险或意外的数据包的过程。虽然这也是经典防火墙的功能，但 NGFW 通过更深入的检查来增强数据包过滤，考虑了更多的上下文。