什么是下一代防火墙(NGFW)?

2020-10-26 17:23:00 云杰通信 100

什么是下一代防火墙(NGFW)?

  下一代防火墙(NGFW)是一种具有高级安全功能的第三代防火墙,使它能够检测和阻止前几代人无法捕获的恶意流量。

  不同NGFW之间的确切功能会有所不同。但是,大多数NGFW都具有以下功能:

  1.深度包检查

  2.入侵防御系统

  3.IP信誉

  4.应用层检查

  5.应用意识

  6.使用情报源

  组织应像对其IT环境的任何其他元素一样,对NGFW进行更新和修补。这是IT安全风险管理的关键。虚拟化NGFW的主要好处是可以远程更新它们。供应商可以发送自动更新在定期。基于软件的NGFW易于更新,因为管理员不必更换多个设备中的物理部件。管理员只需下载并安装更新。

  NGFW通常包含在其他安全和网络产品中;例如,SD-WAN供应商可以将NGFW与他们的SD-WAN产品打包在一起。安全访问服务边缘(SASE)是一种较新的虚拟化安全网络,其功能与NGFW相似。

  一、NGFW与传统防火墙

  传统防火墙与其后继防火墙之间具有共享功能,包括数据包筛选和状态检查。但是,下一代防火墙可以完成传统防火墙的所有工作,但效果更好,并提供其他安全功能。

  例如,NGFW通过深度包检查(DPI)改进了包过滤。以下是有关DPI的更多详细信息。

  在前几代防火墙中,状态检查取代了无状态检查,在这种情况下,防火墙仅单独检查每个数据包。当防火墙能够进行状态检查时,它们便可以确定数据包的特征,并且仅允许具有已知活动连接的数据包通过。

  深度数据包检查使用状态检查的质量,为其添加更多功能,并且通常对此进行改进。

  NGFW引入的其他功能包括深度数据包检查(如上所述),入侵防御系统,IP信誉和应用程序层检查。

  二、数据包过滤和深度数据包检查(DPI)

  包过滤是传统防火墙中也具有的功能,用于确定流量是否安全允许进入网络还是应该被阻止。防火墙使用管理员设置的一组规则或策略来确定是将数据包转发到网络中的目标,还是将其从连接中丢弃。

  在下一代防火墙中,DPI功能增强了数据包过滤功能,以处理高级恶意软件威胁。传统的数据包过滤只是读取数据包头。DPI进入数据包的内容,并将内容详细信息与攻击特征数据库进行比较。签名是某种恶意软件所独有的字节模式。区别就像邮递员检查信件上的地址和TSA代理人检查每个人的行李之间的区别。

  三、入侵防御系统(IPS)

  入侵防御系统(IPS)是入侵检测系统(IDS)的发展,对于识别威胁,防止威胁访问网络以及将威胁告知管理员非常重要。IPS工具可监控网络并实时检测威胁。有几种不同的方式入侵防御系统可检测威胁:

  1.基于签名的检测

  2.统计异常检测

  3.状态协议分析检测

  基于签名的检测通常将基于第三方情报源,将数据包中字节的签名与已知威胁的签名进行比较。使用签名是阻止威胁的一致方法。但是,存在攻击具有未知特征的风险。

  统计异常检测将监视的流量与管理员为网络流量可接受行为所创建的基准进行比较。当流量开始以与预期行为不匹配的方式运行时,可以将流量阻止或标记为进行审核。尽管这可以检测到新颖的攻击类型,但它将更频繁地向人员发出错误警报。

  状态协议分析检测还使用可接受行为的概况,例如统计异常检测。但是,使用此检测方法的IPS侧重于流量发送自和往来的协议。例如,IPS将确定应用程序的流量是否具有一对表示恶意行为的协议。

  四、IP信誉

  IPS还使用类似于黑名单的东西,称为IP信誉。包含IPS程序的NGFW可以使用包含IP地址信誉分数的第三方情报报告。管理员将使用信誉评分为NGFW创建策略,以阻止来自具有信誉的IP地址的流量,这些信誉是恶意内容的来源。

  情报提要不是万无一失的。必须识别威胁性IP地址,然后测试它们的危险程度。在情报订阅源的用户意识到危险的IP地址之前,这需要花费大量时间。情报摘要的更新时间与基于签名的检测中发现的问题相同。

  五、NGFW检查跨层流量

  前几代防火墙仅使用来自OSI模型第四层的信息来通知其操作。另一方面,NGFW可以使用OSI模型的多个层中的上下文检查流量。一些消息来源说,这种较新的防火墙类型可以使用2-7层中的信息。这意味着这些防火墙可以检查第七层,即应用程序层。这很重要,因为应用程序层是数据与用户交互的地方,并且越来越多地用作攻击媒介。

  NGFW检查第7层流量,并确定应用程序数据包应从哪个端口连接,如果不匹配,则NGFW可以阻止数据包。例如,通过FTP端口发送了HTTP数据包;NGFW可以将其识别为潜在可疑内容,并阻止数据包通过。该序列确实依赖于在该场景中执行的策略的创建。IPS能够执行这样的策略。第7层检查是NGFW通常具有的应用程序感知功能中的一项内容。

  六、应用意识

  应用意识是减少攻击向量进入网络的关键因素。管理员可以为NGFW建立应用程序白名单以供参考。不在该白名单上的应用程序不允许通过防火墙。

  即使应用程序在白名单上,也不意味着它们是完全受信任的。受信任的应用程序仍可能受到威胁,并在流量中加密了恶意内容。例如,黑客可以使用隐写术工具将恶意代码隐藏在看上去无辜的文件(尤其是图像)中。NGFW可以使用DPI程序检测应用程序数据包中的恶意内容,该程序将使用分析和签名比较来确定数据包中是否包含恶意代码。

  七、什么是下一代防火墙(NGFW)?重要要点

  下一代防火墙(NGFW)是一种第三代防火墙,能够检测和阻止前几代人无法捕获的恶意流量。

  NGFW是安全虚拟化流程的一部分,因为它们可以基于软件。

  深度包检查和入侵防御系统是NGFW监视和保护网络的关键部分。

  NGFW可以在OSI网络模型的多个级别监视流量,但最重要的是在应用程序层的第7层。

  NGFW可以仅允许来自白名单应用程序的流量,从而限制其必须监视的流量。