[Firewall][NGFW]次世代防火牆概述

2022/03/03台電大跳電，該日從早上09:xx陸續傳出全台都有跳電的消息後，在相對算重災區-的南部，當日電力曾在接近14:4x左右恢復供給，但不到十分鐘又再次跳電，直到當晚接近22:00才陸續恢復供電。

先前的工作累積不少伺服器issue處理經驗，最多就是伺服器本身異常，跳電尚未見過。

即使真的跳電，各廠皆備有UPS好讓伺服器能正常關機，不至於急得跳腳。

這次跳電時程幾乎可說是近一整天，過程心情算是相當平靜，可能是產業關係，且機房規模不大，原以為應該沒什麼狀況，但事實總是願違...

停電後，UPS啟動，由於機器不多，前輩已趕緊手動將各伺服器關機，復電後，協助確認所有機器功能都正常，就...只剩某台FW不過電，就那樣一直睡到現在...

也不知道是不是中途突然供電又跳電那次造成異常，抑或是設備本身也至少服役十年有了..

總之，該做功課啦~~

***NGFW概述***

 以往防火牆之常見功能，如:封包過濾、NAT、VPN、網站過濾等

而NGFW - Next-Generation Firewall，次世代防火牆

之強力功能。如:封包深層檢測(DPI)、整合威脅管理(UTM)、入侵防禦(IPS)、弱點偵測、應用程式檢測等，依據不同廠牌有各自其強化功能。

關於次世代防火牆，建議再複習一下網路七層-電腦王

7.應用層

6.展示層

5.會議層

4.傳輸層

3.網路層

2.資料鏈結層

1.實體層

印象較深的是應用層的管理，忘記在哪部yt補課影片中提到，現今許多應用程式(社交網站)都是走同一個埠號，次世代防火牆可分辨不同應用程式與流量等，企業可因應需求針對特定應用程式進行控管。

以往防火牆要管理不同網段或是分公司網路等，需要透過數台網路裝置實現。(目前工作環境即是如此)

而新一代的NGFW，能與其他網路設備進行溝通，串接各個設備達到區域聯防效果，網路拓譜圖將可以更簡化。

再來是下列各點，在蒐集各方資料後的心得整理:

---效能---

過往UTM主打防火牆、VPN建置、防毒軟體、阻擋垃圾郵件、惡意網頁過濾等於一身。

但實際上各別功能的bps效能，為單一測試結果，並非滿載時整體能達到的效果。

而次世代防火牆，則是強調整合上述功能外，亦能達到預期的速率。

有些廠商會視專案規模提供POC，可能這次規模太小，沒機會體驗POC的驗證。

---主動/被動---

早期防火牆，針對要防禦的要點設置後，FW便依照Policy指揮交通，毫不懈怠。
NGFW則是能主動探索將有疑慮或攻擊列入觀察防禦，部分設備也提供了分析報表功能，這也讓IT人員管理上有更充裕的時間。

---特徵碼/授權---

就像防毒軟體的病毒碼一樣，這是要定期更新的，現行幾乎都是年訂閱制，若無訂閱，則只能

續用設備原有的功能。(而訂閱才有的功能將會被限制使用)

上述的分析報表功能，部分設備為主力服務；若無提供分析報表的設備，通常係由經銷商提供服務(透過第三方提供分析報表，也是年訂閱制)。

畢竟IT人員只要看報表就可以知道網路設備哪裡有弱點，不用再從茫茫log海抽絲剝繭，這也是一大賣點啊!

另外，部分設備提供特徵碼訂閱直到EOL，部分則是僅提供有限年數，網路領域的設備日益更迭，若要穩定的跟上趨勢，如此的產品服役規劃時間是也差不多啦。

以上，若有錯誤還請不吝提點，附上做功課的參考鏈結，其他各牌特色與規格就自行google囉!
祝大家順利!

Ref:

次世代防火牆-wiki

防火牆的進化:認識次世代防火牆 - iThome 

NG不NG 次世代網路安全閘道的考量 - 資安人

Fortinet is a Leader in the 2021 Gartner® Magic Quadrant™ for Network Firewalls