没有一刀切的解决方案可以满足每个组织的独特安全要求。事实上,每一种不同类型的防火墙都有其自身的优点和局限性。数据包过滤防火墙很简单,但提供的安全性有限,而状态检查和代理防火墙可能会影响网络性能。防火墙似乎是一个完整的软件包,但并非所有组织都有预算或资源来成功配置和管理它们。
随着攻击变得越来越复杂,您组织的安全防御必须迎头赶上。保护内部网络外围免受外部威胁的单个防火墙是不够的。专用网络中的每项资产也需要自己的单独保护。最好采用分层的安全方法,而不是依赖单个防火墙的功能。当您可以在专为组织的安全需求而优化的架构中利用多个防火墙的优势时,为什么还要选择一个。
什么是防火墙?
防火墙 (NGFW) 旨在克服传统防火墙的局限性,同时还提供一些额外的安全功能。尽管具有灵活的功能和架构,但真正成为防火墙的原因在于,除了端口/协议和表面级数据包检测之外,它还能够执行深度数据包检测。尽管没有具体的、商定的定义,但根据Gartner 的说法,防火墙是“一种深度包检测防火墙,它超越了端口/协议检测和阻止,增加了应用程序级检测、入侵防御和从在防火墙之外。”
防火墙在不影响网络性能的情况下将其他类型防火墙的功能组合到一个单一的解决方案中。与它们的任何前辈相比,它们更强大,并提供更广泛、更深入的安全性。除了执行深度数据包检查以检测异常和恶意软件外,NGFW 还具有用于智能流量和资源分析的应用程序感知功能。这些防火墙完全有能力阻止 DDoS 攻击。它们具有安全套接字层 (SSL) 解密功能,可以获得跨应用程序的完整可见性,使他们能够识别和阻止来自加密应用程序的数据泄露企图。
防火墙可以识别用户和用户角色,但它们的前辈主要依赖于系统的IP地址。这一突破性功能使用户能够利用无线便携式设备,同时在灵活的工作环境中提供广谱安全性并自带设备 (BYOD) 策略。它们还可能结合其他技术,例如防病毒和入侵防御系统 (IPS),以提供更全面的安全方法。
防火墙适用于需要遵守健康保险流通与责任法案 (HIPAA) 或支付卡行业 (PCI) 规则的企业,或者适用于需要将多个安全功能集成到单个解决方案中的企业。但是它们的价格确实比其他类型的防火墙要高,并且根据您选择的防火墙,您的管理员可能需要使用其他安全系统来配置它们。