[Firewall][NGFW]次世代防火牆概述 - Slash Engineer 要多斜有多斜

Breaking

Slash Engineer 要多斜有多斜

程式設計的學習過程 (環境設置、開發環境、程式設計、語法練習、資料結構等等...) 99'暑假:六月初開始. 社會新鮮人:十一月初開始.

2022年3月14日 星期一

[Firewall][NGFW]次世代防火牆概述




2022/03/03台電大跳電,該日從早上09:xx陸續傳出全台都有跳電的消息後,在相對算重災區-的南部,當日電力曾在接近14:4x左右恢復供給,但不到十分鐘又再次跳電,直到當晚接近22:00才陸續恢復供電。

先前的工作累積不少伺服器issue處理經驗,最多就是伺服器本身異常,跳電尚未見過。
即使真的跳電,各廠皆備有UPS好讓伺服器能正常關機,不至於急得跳腳。

這次跳電時程幾乎可說是近一整天,過程心情算是相當平靜,可能是產業關係,且機房規模不大,原以為應該沒什麼狀況,但事實總是願違...


停電後,UPS啟動,由於機器不多,前輩已趕緊手動將各伺服器關機,復電後,協助確認所有機器功能都正常,就...只剩某台FW不過電,就那樣一直睡到現在...
也不知道是不是中途突然供電又跳電那次造成異常,抑或是設備本身也至少服役十年有了..

總之,該做功課啦~~

***NGFW概述***

 以往防火牆之常見功能,如:封包過濾、NAT、VPN、網站過濾等

NGFW - Next-Generation Firewall,次世代防火牆
之強力功能。如:封包深層檢測(DPI)、整合威脅管理(UTM)、入侵防禦(IPS)、弱點偵測、應用程式檢測等,依據不同廠牌有各自其強化功能。


關於次世代防火牆,建議再複習一下網路七層-電腦王
7.應用層
6.展示層
5.會議層
4.傳輸層
3.網路層
2.資料鏈結層
1.實體層

印象較深的是應用層的管理,忘記在哪部yt補課影片中提到,現今許多應用程式(社交網站)都是走同一個埠號,次世代防火牆可分辨不同應用程式與流量等,企業可因應需求針對特定應用程式進行控管。

以往防火牆要管理不同網段或是分公司網路等,需要透過數台網路裝置實現。(目前工作環境即是如此)
而新一代的NGFW,能與其他網路設備進行溝通,串接各個設備達到區域聯防效果,網路拓譜圖將可以更簡化。


再來是下列各點,在蒐集各方資料後的心得整理:

---效能---

過往UTM主打防火牆、VPN建置、防毒軟體、阻擋垃圾郵件、惡意網頁過濾等於一身。
但實際上各別功能的bps效能,為單一測試結果,並非滿載時整體能達到的效果。
而次世代防火牆,則是強調整合上述功能外,亦能達到預期的速率。

有些廠商會視專案規模提供POC,可能這次規模太小,沒機會體驗POC的驗證。

---主動/被動---

早期防火牆,針對要防禦的要點設置後,FW便依照Policy指揮交通,毫不懈怠。
NGFW則是能主動探索將有疑慮或攻擊列入觀察防禦,部分設備也提供了分析報表功能,這也讓IT人員管理上有更充裕的時間。

---特徵碼/授權---

就像防毒軟體的病毒碼一樣,這是要定期更新的,現行幾乎都是年訂閱制,若無訂閱,則只能
續用設備原有的功能。(而訂閱才有的功能將會被限制使用)
上述的分析報表功能,部分設備為主力服務;若無提供分析報表的設備,通常係由經銷商提供服務(透過第三方提供分析報表,也是年訂閱制)。
畢竟IT人員只要看報表就可以知道網路設備哪裡有弱點,不用再從茫茫log海抽絲剝繭,這也是一大賣點啊!

另外,部分設備提供特徵碼訂閱直到EOL,部分則是僅提供有限年數,網路領域的設備日益更迭,若要穩定的跟上趨勢,如此的產品服役規劃時間是也差不多啦。


以上,若有錯誤還請不吝提點,附上做功課的參考鏈結,其他各牌特色與規格就自行google囉!
祝大家順利!


Ref:

次世代防火牆-wiki

防火牆的進化:認識次世代防火牆 - iThome 

NG不NG 次世代網路安全閘道的考量 - 資安人

Fortinet is a Leader in the 2021 Gartner® Magic Quadrant™ for Network Firewalls


沒有留言:

張貼留言

問題沒有大小或好壞