企業防火牆的工作原理
傳統防火牆透過檢查封包標頭的內容並套用基於 IP 位址和連接埠號碼的規則來執行封包過濾。但是,這並不能為現代網絡威脅提供足夠的保護。
次世代防火牆(NGFW)將先進的威脅防護解決方案整合到防火牆中。企業 NGFW 應包含的一些功能包括:
- 網路分段:除了定義網路邊界之外,防火牆還可以在企業網路內建立內部邊界。這有助於防止威脅在企業網路邊界內橫向移動。
- 網路存取控制 (NAC):NGFW 可以將基於角色的存取控制套用至檢查的流量。 例如,NGFW 可以封鎖包含未經授權請求的流量來實施零信任安全控制。
- 遠端存取 VPN:虛擬私人網路 (VPN) 可以為遠端工作人員提供對公司網路的安全存取。NGFW 可以充當 VPN 端點,在流量移至目的地之前進行檢查。
- 電子郵件資安:電子郵件是廣泛使用的商業通訊媒介,也是網路釣魚攻擊的常見目標。電子郵件安全解決方案會檢查電子郵件的內容和附件是否有惡意程式碼或連結,然後再允許電子郵件到達使用者的收件匣
- 網路安全:網路釣魚網站、偷渡式下載和其他威脅會對組織的員工造成風險。Web 安全整合可讓防火牆識別並阻止流向惡意或不當網站的流量。
- 資料外洩防護:資料外洩日益成為勒索軟體攻擊的一個組成部分,通常發生在網路上。NGFW 可以根據識別輸出流量中敏感內容,識別並阻止嘗試洩漏。
- 入侵防禦系統(IPS):IPS 可以提供防範圍廣泛的網絡攻擊。 NGFW 的定義特徵之一是整合 IPS 功能,以防禦暴力攻擊、脆弱性利用和類似威脅。
- Sandboxing:並非所有惡意軟體都可以透過檢查網路流量的內容輕鬆識別。沙箱可在安全隔離的環境中引爆潛在威脅,以便在到達企業系統之前識別任何惡意功能。
NGFW 為組織的系統提供廣泛的保護。 然而,部署正確的解決方案對於企業網路安全計畫的成功至關重要。
企業防火牆的主要特點
企業 NGFW 應將網路安全整合到單一可用的平台中。評估企業防火牆解決方案時需要考慮的一些關鍵因素包括:
- 威脅防護:最大限度地減少網路攻擊對網路造成的損害需要威脅防護。
- 應用程式和基於身分的檢查:防火牆應支援基於使用者身分的精細應用程式策略建立和實施。
- 混合雲端支援:防火牆應該可以在任何主要雲端環境中輕鬆部署和擴展,並且可以作為雲端服務以及本地服務使用。
- 可擴展的效能:超大規模是建立強大且可擴展的分散式系統所必需的。
- 統一安全管理:具有整合統一安全管理 (USM) 功能的防火牆使組織的安全團隊能夠輕鬆有效地管理並在整個網路環境中實施安全策略。
這是任何防火牆必須具備的 5 個特性和功能,才能有效防止網路攻擊。其他功能包括機架外形尺寸、網路連接埠容量、網路介面類型(銅線、光纖、連接埠線速率)和安全吞吐量。下圖是可用於多種部署和企業規模的防火牆範圍的範例。如需更詳細的比較,請查看Check Point 防火牆比較表。
Check Point 安全設備手冊捕獲
反映意見