Межсетевой экран нового поколения ( NGFW ) является частью технологии межсетевого экрана третьего поколения, сочетающей обычный межсетевой экран с другими функциями фильтрации сетевых устройств, такими как межсетевой экран приложений , использующий встроенную глубокую проверку пакетов (DPI), систему предотвращения вторжений. (ИПС). Могут также использоваться другие методы, такие как проверка трафика с шифрованием TLS , фильтрация веб-сайтов, управление качеством обслуживания/полосой пропускания , антивирусная проверка , интеграция стороннего управления идентификацией (например , LDAP , RADIUS , Active Directory ) [1] и расшифровка SSL [2]. ]
NGFW включают в себя типичные функции традиционных межсетевых экранов, такие как фильтрация пакетов, [3] трансляция сетевых адресов и портов (NAT), проверка состояния и поддержка виртуальной частной сети (VPN). Цель межсетевых экранов следующего поколения — включить больше уровней модели OSI , улучшая фильтрацию сетевого трафика, зависящего от содержимого пакетов. Наиболее существенные различия заключаются в том, что NGFW включают в себя системы предотвращения вторжений (IPS) и контроль приложений. [4]
Межсетевые экраны следующего поколения выполняют более глубокую проверку по сравнению с проверкой состояния , выполняемой межсетевыми экранами первого и второго поколения . [5] NGFW используют более тщательный стиль проверки, проверяя полезную нагрузку пакетов и сопоставляя сигнатуры на предмет вредоносных действий, таких как атаки с возможностью использования и вредоносное ПО. [6]
Современные угрозы, такие как атаки вредоносного ПО через Интернет, целевые атаки, атаки на уровне приложений и т. д., оказали существенное негативное влияние на ландшафт угроз. Фактически, более 80% всех новых вредоносных программ и попыток вторжения используют слабые места в приложениях, а не в сетевых компонентах и службах.
Межсетевые экраны с отслеживанием состояния и простыми возможностями фильтрации пакетов эффективно блокировали нежелательные приложения, поскольку большинство приложений соответствовали ожиданиям протокола порта. Администраторы могут оперативно предотвратить доступ пользователей к небезопасному приложению, заблокировав связанные порты и протоколы. Но блокировка веб-приложения , использующего порт 80, путем закрытия порта также будет означать осложнения со всем протоколом HTTP .
Защита на основе портов, протоколов, IP-адресов не становится более надежной и жизнеспособной. Это привело к разработке подхода безопасности на основе идентификации , который выводит организации на шаг впереди традиционных устройств безопасности, привязывающих безопасность к IP-адресам.
NGFW предлагают администраторам более глубокое понимание и контроль над отдельными приложениями, а также более глубокие возможности проверки с помощью брандмауэра. Администраторы могут создавать очень подробные правила «разрешить/запретить» для контроля использования веб-сайтов и приложений в сети.