技術導論
新世代防火牆 (NGFW) 運作原理
新世代防火牆 (NGFW) 定義了網路邊界。所有通過 NGFW 的流量都會受到檢查。這些檢查使防火牆能夠應用安全性原則,從而決定允許或阻止流量的規則。
NGFW 是一種結合傳統防火牆功能和進階安全功能的綜合防護系統。NGFW 在 TCP/IP 堆疊的應用層 (L7) 運行,通過合併附加功能進行擴展,如入侵防禦系統 (IPS)、反惡意軟件、SSL/TLS 檢查、細粒度分段和沙盒 (sandbox) 技術,提供多重保護。
1. 深度數據包檢查 (DPI)
當接收流量時,所有數據包首行進入 NGFW。NGFW 對其進行 DPI 檢查,分析內容和標頭,甚至利用 SSL/TLS 解密技術深入拆開加密隧道,以識別潛在威脅。
2. 細粒度存取策略
NGFW 根據預先定義的安全政策 (Granular Access Policies),針對使用者、設備類型或應用程式等多種條件進行彈性設定。允許的流量將引導到相應的資源,拒絕的則被阻擋。
NGFW 的防禦流程 (S7 Workflow)
INTERNET 流量
隨機數據包傳入
EDGE CONNECT ENTERPRISE (NGFW)
深度數據包檢查 (DPI)
精細度存取策略
SSL/TLS 解密檢查
安全服務與日誌回報
精細度分段 (Segmentation)
✔ ALLOW
✘ DENY
* 根據 HPE Aruba 企業安全標準,精細度分段能最小化攻擊面,遏止內部威脅橫向擴散。
NGFW 數據包解構與安全策略引導實驗控制台 (NGFW Interactive Console)
測試不同來源用戶、設備與加密傳輸,體驗 DPI 核心與策略引擎的安全決策過程
SSL/TLS 解密檢查:
IPS 入侵偵測:
App-ID 精細度控制:
步驟 1: 發送待過濾數據包
DPI Pipe:
步驟 2: NGFW 深度過濾通道 (DPI Inspection Stages)
步驟 3: 精細度分段 & 決策報告
🛡️
等待流量進入防火牆...
防火牆安全處置 (Action)
安全規則判定 (Policy Match):
辨識應用:
連線用戶:
偵測威脅:
精細度分段路由指向 (Segmentation Destination):