何謂次世代防火牆?
次世代防火牆,一般稱呼為:下一代防火牆(英語:Next-Generation Firewall,縮寫為NGFW),一種整合式的網路平台,將多種功能整合在其上:除了傳統的防火牆功能之外,還包括線上深度封包檢測(DPI),入侵預防系統(IPS),應用層偵測與控制,SSL/SSH檢測,網站過濾,以及QoS/頻寬管理等功能,使得這個系統能夠應對複雜而高智慧的網路攻擊行動。其他技術還可以被採用,例如TLS / SSL加密流量檢查,網站過濾,QoS /帶寬管理,防病毒檢測和第三方身份管理集成(即LDAP,RADIUS,Active Directory)。
參考資料:維基百科-次世代防火牆。
其實次世代防火牆在十年前就已經有了,但當時沒有Open Source的套件可選用,想要就要花大錢向Cisco、Juniper等防火牆大廠購買,而且必須有專人進行設置才行,每年的維護成本也不便宜。
我個人是認為次世代防火牆與傳統防火牆最大的差異在於:
- 次世代防火牆採用模組化功能方式來增加功能
- 採用Open Source可以自行準備更好、更便宜的硬體
- 可以針對L7應用層的封包進行辨識、過濾
科技業和行銷、美妝、醫美的產業一樣,都很愛用新名詞,但實際的東西並沒有像行銷用詞一樣那麼神奇,例如最近幾年在強調的超融合架構,本質上仍然是實體伺服器+虛擬伺服器+儲存設備,只是有廠商將其整合在一起,然後用大量的行銷用語、講得好像比雲端還神奇、好用…
IDP、IPS、UTM和次世代防火牆等產品剛出來時也是一樣,所以習慣了就會很清楚科技業有很多東西是Hype的,自己要能判斷,還好現在有google搜尋引擎,被騙的機會比較能降低~
不論是用什麼設備,都要擺在最恰當的位置才能發揮功效!
其實在前面的文章中我有提到一個很重要的資安觀點:
資安防護不能只仰賴防火牆,因為這只是一個點!
想要做好企業的資安防護確實很不容易,必須從點、線、面的方式去構建防護措施,對於大多數的中小企業來說幾乎是不可能的任務,光是想要讓全體員工提升資安意識就很難做到了。
對於很多不懂網路架構和通訊協定的人來說,資安是比雲端更難的專業領域,因為資安涵蓋的範圍會比雲端還要廣、還要細,例如大多數的員工可以不必理解雲端是什麼、也不必特別去了解,但資安就不行了,每個員工都要具備資安意識才行,否則很可能就會因此而造成資安破口、讓駭客有機可趁(因為駭客最愛用社交工程攻擊手法)~
次世代防牆和傳統防火牆的所在位置都是做為網路閘道,一個網路區段中可以有多層或多個閘道,端看網路架構如何規劃,尤其是有跨區、跨國VPN架構的會更複雜些…
每個企業的網路架構多多少少都會不同,就像每個人家裡的裝璜也會有所不同,因此並不是別人買了什麼資安設備可以改善資安問題,自己去買來之後也能達到同樣的效果,而是要透過專業的規劃和執行才能有效對症下藥、改善問題!
我最近使用的次世代防火牆,真的讓我和客戶都很滿意!
由於我採用的是Open Source方案,為了測試哪一種硬體設備最符合專案的需求,還花了不少錢、買了好幾台不同的廠牌,最終找到的設備是我和客戶都很喜歡的,運作至今幾個月也很穩定、效能也很夠,所以客戶和我都很滿意!
底下是我幾個月前在家裡研究、實做練習的操作畫面,僅供大家做為參考~