防火墻技術的演進
防火墻技術的演進經歷了不同階段,從包過濾防火墻到狀態檢測防火墻,再到集成多種安全功能的UTM(統一威脅管理)設備,最終發展到具備應用識別能力的NGFW(下一代防火墻)。
-
包過濾防火墻:?早期的防火墻主要是包過濾防火墻,它基于網絡包的源地址、目標地址、端口等信息來判斷是否允許通過。這種防火墻主要用于實現基本的網絡隔離和訪問控制。
-
狀態檢測防火墻(傳統防火墻):?隨著網絡的發展,傳統防火墻引入了狀態檢測的概念,通過維護連接的狀態信息,實現了對TCP/UDP連接的跟蹤和控制。這使得防火墻能夠更好地理解網絡流量的上下文,提高了安全性和性能。
-
UTM設備:?隨著安全需求的增加,出現了UTM設備,將傳統防火墻、內容安全(防病毒、IPS和URL過濾等)以及VPN等多種功能集成到一起。UTM設備的目標是通過一站式解決方案簡化安全管理,尤其適用于小中型企業。然而,由于每個功能模塊獨立運行,檢測效率有限,尤其在處理多個模塊時性能會受到影響。
-
NGFW(下一代防火墻):?隨著網絡應用的復雜化,NGFW引入了應用識別技術,可以深入檢測網絡流量的應用層信息,區分不同應用程序,即使它們使用相同的協議和端口。NGFW還深度集成了IPS、病毒防護等多種安全功能,實現了并行處理,提高了性能。NGFW的出現強調了對應用層的深度檢測和精細控制,使得防火墻能夠更智能地適應復雜的網絡環境,應對不斷演變的安全威脅。
NGFW的誕生得益于對網絡流量更深層次分析的需求。它引入了應用程序識別和控制的概念,可以深入到OSI模型的應用層(第7層),了解并管理特定應用程序的流量。這使得NGFW能夠更全面地識別和阻止惡意行為,而不僅僅是基于傳統的端口和協議的過濾。
?編輯?? ? ? ? ? ? ? ??? ? ? ? ? ? ? ?
那么什么是下一代防火墻呢?
下一代防火墻概念
下一代防火墻(NGFW)是傳統狀態防火墻和統一威脅管理(UTM)設備的下一代產品。它不僅包含傳統防火墻的全部功能(基礎包過濾、狀態檢測、NAT、VPN等)還集成了應用和用戶的識別和控制、入侵防御(IPS)等更高級的安全能力。
下一代防火墻概念于2007年由Gartner提出,并在2009年正式發布了《Defining the Next-Generation Firewall》。
關于NGFW的定義,Gartner強調了以下幾個關鍵方面:
-
傳統的防火墻功能:?NGFW作為傳統防火墻的替代產品,必須前向兼容傳統防火墻的基本功能,包括包過濾、協議狀態檢測、NAT(網絡地址轉換)、VPN等。這意味著NGFW仍然需要提供傳統防火墻的基本網絡安全功能。
-
應用識別與應用控制技術:?NGFW具備應用感知能力,能夠對網絡流量進行深度檢測,實現對不同應用的識別和控制。與傳統防火墻只關注網絡層面的信息不同,NGFW可以清楚地識別和管理網絡中的具體應用,從而實施更精細化的安全策略和層次化的帶寬管理手段。
-
IPS與防火墻深度集成:?NGFW需要支持入侵預防系統(IPS)功能,并實現與防火墻功能的深度集成,以實現更高效的安全防護。這不僅僅是IPS和防火墻之間的簡單聯動,而是深度融合,使得NGFW在檢測到惡意流量時能夠自動更新并下發安全策略,減少管理員的干預。
-
利用防火墻以外的信息,增強管控能力:?NGFW可以利用來自防火墻以外的其他IT系統提供的信息,如用戶認證系統、位置信息、漏洞和網絡資源信息等,以增強對網絡的管控能力。通過集成這些額外的信息,NGFW可以更智能地適應復雜的網絡環境,提高安全策略的靈活性。
)
)
)
