Tường lửa thế hệ tiếp theo (NGFW) là gì?

Tường lửa thế hệ tiếp theo (NGFW) là thế hệ thứ ba và tiêu chuẩn hiện tại cho công nghệ tường lửa. Sau khi áp dụng quản lý mối đe dọa thống nhất (UTM) và tường lửa ứng dụng web (WAF) vào những năm 2000, sự đổi mới của NGFW là một bước tiến nhảy vọt. Các bức tường lửa tiên tiến này bao trùm hàng loạt các dịch vụ tường lửa truyền thống nhưng đi xa hơn trong việc cung cấp hệ thống ngăn chặn xâm nhập (IPS), kiểm tra gói sâu (DPI), bảo vệ mối đe dọa nâng cao và công nghệ kiểm soát ứng dụng Lớp-7.

Các tính năng của NGFW là gì?

Các tổ chức mong đợi các công cụ và tài nguyên được cập nhật để quản lý cơ sở hạ tầng bảo mật của họ, bao gồm cả các khả năng NGFW. Khi xem xét các nhà cung cấp và sản phẩm NGFW, hãy tìm kiếm các tính năng tiêu chuẩn và nâng cao sau đây.
Ứng dụng và Nhận thức về Danh tính
Một sự khác biệt quan trọng giữa tường lửa truyền thống và NGFW là khả năng cung cấp bảo vệ ở cấp ứng dụng và danh tính người dùng. Trong khi tường lửa truyền thống dựa trên các cổng ứng dụng tiêu chuẩn, NGFW có thể xác định, cho phép, chặn và giới hạn các ứng dụng bất kể cổng hoặc giao thức nào. Khả năng nhận dạng danh tính của NGFWs bổ sung vào khả năng kiểm soát của nó bằng cách cho phép quản trị viên áp dụng các quy tắc tường lửa chi tiết hơn cho các nhóm và người dùng cụ thể.

Quản lý tập trung, khả năng hiển thị và kiểm toán

Để chủ động quản lý hệ thống phòng thủ của mạng, quản trị viên cần có trang tổng quan có thể truy cập và cấu hình để xem và quản lý các hệ thống bảo mật như NGFW. Hầu hết các NGFW đều chứa phân tích nhật ký, quản lý chính sách và bảng điều khiển quản lý cung cấp cách theo dõi tình trạng bảo mật, phân tích các mẫu lưu lượng và xuất các quy tắc tường lửa để sử dụng ở nơi khác.

Kiểm tra trạng thái

Còn được gọi là lọc gói tin động, tường lửa truyền thống sử dụng tính năng kiểm tra trạng thái để kiểm tra lưu lượng lên đến Lớp-4. NGFW được xây dựng để theo dõi các Lớp 2-7. Tiến bộ này cho phép NGFW thực hiện các nhiệm vụ kiểm tra trạng thái giống như tường lửa truyền thống — phân biệt giữa các gói an toàn và không an toàn. Việc mở rộng tính năng lọc gói động cho lớp ứng dụng là vô giá khi các tài nguyên quan trọng di chuyển về phía biên mạng.

Kiểm tra gói tin sâu

Kiểm tra gói tin sâu (DPI) tiến thêm một bước trong việc kiểm tra lưu lượng truy cập từ kiểm tra trạng thái. Mục tiêu lớn hơn là kiểm tra trạng thái, theo dõi tất cả lưu lượng và tiêu đề gói, DPI kiểm tra phần dữ liệu và tiêu đề của các gói được truyền. Được thực thi ở lớp ứng dụng, DPI có thể định vị, phân loại, chặn hoặc định tuyến lại các gói có mã có vấn đề hoặc tải trọng dữ liệu không được phát hiện trong quá trình kiểm tra trạng thái.

Ngăn chặn xâm nhập tích hợp (IPS)

Hệ thống ngăn chặn xâm nhập (IPS) từng nằm liền kề với tường lửa, đóng vai trò bảo vệ chống lại các mối đe dọa mới bên ngoài mạng được bảo vệ. Trong khi tường lửa truyền thống quản lý luồng lưu lượng dựa trên thông tin mạng, các thiết bị IPS thực hiện việc kiểm tra, cảnh báo và thậm chí chủ động loại bỏ phần mềm độc hại và những kẻ xâm nhập khỏi mạng.
Khi các sản phẩm an ninh mạng đã phát triển, công nghệ IPS đã trở thành một sự tích hợp có giá trị vào các sản phẩm NGFW. Trong khi sự khác biệt ngày càng thu hẹp, thách thức đối với người mua là liệu công nghệ IPS đi kèm với NGFW của họ có đủ tốt để bỏ qua một sản phẩm IPS độc lập hay không. Về mặt quan trọng, IPS có thể ngăn chặn các cuộc tấn công như bạo lực, các lỗ hổng đã biết và Từ chối Dịch vụ (DoS).

Network Sandboxing

Tùy thuộc vào lựa chọn NGFW của bạn, bạn có thể có quyền truy cập vào Network Sandboxing hoặc có tùy chọn thêm như vậy trên cơ sở đăng ký. Network Sandboxing là một phương pháp bảo vệ phần mềm độc hại nâng cao vì nó cho phép các chuyên gia CNTT có cơ hội gửi một chương trình độc hại tiềm ẩn đến một môi trường dựa trên đám mây an toàn, biệt lập, nơi quản trị viên có thể kiểm tra phần mềm độc hại trước khi sử dụng trong mạng.

Bảo mật luồng dữ liệu

HTTPS là tiêu chuẩn hiện tại cho giao tiếp mạng qua internet, sử dụng giao thức SSL/TLS để mã hóa các giao tiếp như vậy. Là công cụ kiểm tra lưu lượng mạng hàng đầu, NGFW hiện đang được sử dụng để giải mã thông tin liên lạc SSL và TLS, thường đi kèm với các khả năng VPN truy cập từ xa. Để bảo mật lưu lượng được mã hóa, NGFW hỗ trợ tất cả giải mã SSL đến và đi. Việc giám sát này đảm bảo rằng cơ sở hạ tầng có thể xác định và ngăn chặn các mối đe dọa bắt nguồn từ các luồng mạng được mã hóa.

Mối đe dọa thông minh và danh sách động.

Hầu hết các nhà cung cấp NGFW đều cung cấp một số dạng thông báo về mối đe dọa.Các mối đe dọa mới phát sinh hàng ngày và sự mong đợi các quản trị viên nhận thức được và online suốt ngày đêm có thể là công thức dẫn đến thảm họa.NGFW có thể sử dụng các bản cập nhật của mạng toàn cầu về các mối đe dọa và nguồn tấn công mới nhất thông qua nguồn cấp dữ liệu thông tin tình báo về mối đe dọa của bên thứ ba để chặn các mối đe dọa và thực hiện các thay đổi chính sách trong thời gian thực.

Các chỉ báo về sự xâm phạm (IoC) được chia sẻ trên toàn cầu, thông báo cho NGFW của bạn về lưu lượng độc hại để loại bỏ hoặc chặn tự động mà không cần đến những cuộc gọi lúc 3 giờ sáng hoặc các sự kiện cần chú ý. Các mối đe dọa được xác định nội bộ cũng có thể được chống lại bằng việc sử dụng danh sách động. NGFW giúp cho việc tìm kiếm mối đe dọa trở nên tự động hơn và ít bị lỗi do con người hơn với nguồn cấp dữ liệu thông minh về mối đe dọa và danh sách động trong hộp công cụ của bạn.

Năng lực tích hợp

Các tổ chức, nhỏ và lớn, tiếp tục tăng cường các dịch vụ của bên thứ ba nhằm nâng cao quy trình kinh doanh, bao gồm nhiều ứng dụng và API SaaS phổ biến và quan trọng. Khi các nhà quản lý CNTT xem xét các sản phẩm mới để đưa vào cơ sở hạ tầng của tổ chức họ, thì khả năng tích hợp các ứng dụng của bên thứ ba của sản phẩm là điều bắt buộc.
Tích hợp dễ dàng có nghĩa là ít căng thẳng hơn cho nhân viên điều hướng giữa các phần mềm. Ví dụ về tích hợp tiêu chuẩn bao gồm phần mềm SIEM, 2FA, Active Directory và các công cụ báo cáo. Giao diện lập trình ứng dụng (API) đóng một vai trò quan trọng trong việc điều phối và cung cấp chính sách khi sử dụng nhiều ứng dụng phần mềm.

(Sưu tầm)

Xem thêm Next Generation Firewall là gì? ưu điểm so với tường lửa truyền thống?