What is a next-generation firewall (NGFW)?

A next-generation firewall (NGFW) is a security appliance that analyzes and controls network traffic. NGFWs have advanced features like deep packet inspection and application awareness, going beyond traditional firewall capabilities to block more sophisticated threats.

What is deep packet inspection (DPI)?

Deep packet inspection (DPI) is a technique used by NGFWs to examine the full content of data packets — including their bodies, not just headers — to detect malware signatures and other threats.

What is application awareness and control in NGFWs?

Application awareness and control is an NGFW feature for analyzing traffic at layer 7 (the application layer), allowing organizations to block or permit network traffic based on which application it belongs to. This capability allows NGFWs to block the use of potentially risky apps.

What is an intrusion prevention system (IPS) in an NGFW?

An intrusion prevention system (IPS) analyzes incoming traffic to detect and block known and potential threats. IPS uses techniques like signature detection, statistical anomaly detection, and stateful protocol analysis detection to identify threats in network traffic.

What is threat intelligence in the context of NGFWs?

Threat intelligence is up-to-date information about attack methods, malware signatures, and IP reputations. NGFWs ingest threat intelligence feeds to ensure they have the latest data about new and evolving threats.

What is packet filtering and how do NGFWs use it?

Packet filtering is the process of inspecting individual network packets for source, destination, and protocol information, blocking those that are dangerous or unexpected. While this is a feature of classic firewalls as well, NGFWs enhance packet filtering with deeper inspection that takes more context into account.

Che cos'è un firewall di nuova generazione (NGFW)?

Un firewall di nuova generazione (NGFW) presenta funzionalità aggiuntive che lo distinguono da un firewall tradizionale. Gli NGFW sono spesso più bravi a identificare le minacce più recenti.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

Definire un firewall di nuova generazione (NGFW)
Descrivere le funzionalità di un NGFW
Distinguere tra filtro dei pacchetti e ispezione approfondita dei pacchetti (DPI)

Argomenti correlati

Firewall

Intelligence delle minacce

Ispezione HTTPS

Ransomware

Exploit zero-day

Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Copia link dell'articolo

Che cos'è un firewall di nuova generazione (NGFW)?

Un firewall di nuova generazione (NGFW) è un dispositivo di sicurezza che elabora il traffico di rete e applica regole per bloccare il traffico potenzialmente pericoloso. Gli NGFW si evolvono ed espandono le capacità dei firewall tradizionali. Fanno tutto ciò che fanno i firewall, ma in modo più potente e con funzionalità aggiuntive.

Consideriamo due agenzie di sicurezza aeroportuale. Una controlla che i passeggeri non siano presenti in alcuna lista di divieti di volo (no-fly list), che la loro identità corrisponda a quanto indicato sui biglietti e che siano diretti verso destinazioni effettivamente servite dall'aeroporto. La seconda, oltre a controllare le no-fly list e così via, ispeziona ciò che i passeggeri stanno trasportando, assicurandosi che non abbiano oggetti pericolosi o non consentiti. La prima agenzia protegge gli aeroporti da minacce evidenti mentre la secondo identifica anche le minacce che potrebbero essere meno evidenti.

Un normale firewall è come la prima agenzia di sicurezza: blocca o consente i dati (passeggeri) in base a dove stanno andando, se fanno o meno parte di una connessione di rete legittima e da dove provengono. Un NGFW è più simile alla seconda agenzia di sicurezza: ispeziona i dati a un livello più profondo per identificare e bloccare le minacce che potrebbero essere nascoste nel traffico apparentemente normale.

Quali funzionalità ha un NGFW?

I NGFW possono fare tutto ciò che fanno i firewall tradizionali. Questo include:

Filtro dei pacchetti: ispezionano ogni singolo pacchetto di dati e bloccare i pacchetti pericolosi o imprevisti. Il filtro dei pacchetti è spiegato più dettagliatamente di seguito.
Ispezione stateful: esaminano i pacchetti nel contesto per assicurarsi che facciano parte di una connessione di rete legittima.
Consapevolezza della VPN: i firewall sono in grado di identificare il traffico VPN crittografato e di consentirne il passaggio.

Il firewall tradizionale non ha le funzionalità del firewall di nuova generazione, lascia passare i pacchetti

Gli NGFW presentano anche diverse funzionalità che i firewall meno recenti non hanno. Oltre al filtro dei pacchetti, gli NGFW utilizzano l'ispezione approfondita dei pacchetti (DPI). E secondo Gartner, una società globale di ricerca e consulenza, un NGFW include:

Consapevolezza e controllo delle applicazioni
Prevenzione delle intrusioni
Intelligence delle minacce
Percorsi di aggiornamento per aggiungere futuri feed informativi
Tecniche per affrontare le minacce alla sicurezza in continua evoluzione

Il firewall di nuova generazione blocca i pacchetti dannosi

Queste funzionalità sono spiegate più dettagliatamente di seguito.

La maggior parte di queste funzionalità è possibile perché, a differenza dei firewall tradizionali, gli NGFW possono elaborare il traffico a diversi livelli del modello OSI, non solo ai livelli 3 (il livello di rete) e 4 (il livello di trasporto). Ad esempio, gli NGFW possono esaminare il traffico HTTP di livello 7 e identificare quali applicazioni sono in uso. Si tratta di una capacità importante perché il livello 7 (il livello applicazione) viene sempre più utilizzato per attacchi volti a eludere i criteri di sicurezza applicati ai livelli 3 e 4 dai firewall tradizionali.

Per saperne di più sui livelli OSI, consulta Cos'è il modello OSI?.

Cosa sono il filtro dei pacchetti e l'ispezione approfondita dei pacchetti (DPI)?

Filtro dei pacchetti

Tutti i dati che attraversano una rete o Internet vengono suddivisi in parti più piccole chiamate pacchetti. Poiché questi pacchetti contengono il contenuto che entra in una rete, i firewall li ispezionano e li bloccano o consentono loro di impedire il passaggio di contenuti dannosi (come un attacco malware). Tutti i firewall hanno questa capacità di filtro dei pacchetti.

Il filtro dei pacchetti funziona ispezionando gli indirizzi IP di origine e di destinazione, le porte e i protocolli associati a ciascun pacchetto, in altre parole, da dove proviene ciascun pacchetto, dove sta andando e come ci arriverà. I firewall consentono o bloccano i pacchetti in base a questa valutazione, filtrando i pacchetti non consentiti.

Ad esempio, gli autori di attacchi a volte cercano di sfruttare le vulnerabilità associate al Remote Desktop Protocol (RDP) inviando pacchetti appositamente predisposti alla porta utilizzata da questo protocollo, ovvero la porta 3389. Tuttavia, un firewall può ispezionare un pacchetto, vedere a quale porta è diretto e bloccare tutti i pacchetti diretti a quella porta, a meno che non provengano da un indirizzo IP specificamente consentito. Ciò comporta l'ispezione del traffico di rete ai livelli 3 (per vedere gli indirizzi IP di origine e di destinazione) e 4 (per vedere la porta).

Ispezione approfondita dei pacchetti (DPI)

Gli NGFW migliorano il filtro dei pacchetti aggiungendo un'ispezione approfondita dei pacchetti (DPI). Come il filtro dei pacchetti, la DPI prevede l'ispezione di ogni singolo pacchetto per controllare l'indirizzo IP di origine e di destinazione, la porta di origine e di destinazione e così via. Queste informazioni sono tutte contenute nelle intestazioni di livello 3 e 4 di un pacchetto.

Ma la DPI ispeziona anche il corpo di ogni pacchetto, non solo l'intestazione. In particolare, controlla i corpi dei pacchetti alla ricerca di firme di malware e altre potenziali minacce e confronta il contenuto di ogni pacchetto con quello di attacchi dannosi noti.

Che cosa si intende per consapevolezza e controllo delle applicazioni?

Gli NGFW bloccano o consentono i pacchetti in base all'applicazione a cui sono destinati. Lo fanno analizzando il traffico al livello 7, il livello applicazione. I firewall tradizionali non hanno questa capacità perché analizzano solo il traffico ai livelli 3 e 4.

La consapevolezza delle applicazioni consente agli amministratori di bloccare le applicazioni potenzialmente rischiose. Se i dati di un'applicazione non riescono a superare il firewall, allora non possono introdurre minacce nella rete.

Secondo le definizioni dei termini fornite da Gartner, sia questa capacità sia la prevenzione delle intrusioni (descritta di seguito) sono elementi del DPI.

Che cos'è la prevenzione delle intrusioni?

La prevenzione delle intrusioni analizza il traffico in entrata, identifica le minacce note e potenziali e le blocca. Tale funzionalità è spesso chiamata sistema di prevenzione delle intrusioni (IPS). I NGFW includono gli IPS come parte delle loro funzionalità di analisi approfondita dei pacchetti.

Gli IPS possono utilizzare diversi metodi per rilevare le minacce, tra cui:

Rilevamento delle firme: la scansione delle informazioni all'interno dei pacchetti in arrivo e il confronto con minacce note
Rilevamento statistico delle anomalie: la scansione del traffico per rilevare cambiamenti insoliti nel comportamento rispetto a una linea di base
Rilevamento delle analisi dei protocolli stateful: simile al rilevamento di anomalie statistiche, ma focalizzato sui protocolli di rete in uso e al loro confronto con l'utilizzo tipico del protocollo

Cos'è l'intelligence delle minacce?

L'intelligence delle minacce è un'informazione sui potenziali attacchi. Poiché le tecniche di attacco e le tipologie di malware cambiano continuamente, disporre di informazioni aggiornate sulle minacce è fondamentale per bloccare tali attacchi. Gli NGFW sono in grado di ricevere feed di intelligence delle minacce provenienti da fonti esterne e di agire in base a essi.

L'intelligence delle minacce mantiene efficace il rilevamento delle firme IPS fornendo le firme malware più recenti.

Può inoltre fornire anche informazioni sulla reputazione IP. La "reputazione IP" identifica gli indirizzi IP da cui spesso provengono gli attacchi (in particolare gli attacchi bot). Un feed di intelligence delle minacce alla reputazione IP fornisce gli ultimi indirizzi IP dannosi noti, che un NGFW può quindi bloccare.

I firewall di nuova generazione sono basati su hardware o software?

Alcuni NGFW sono dispositivi hardware progettati per difendere una rete privata interna. Gli NGFW possono anche essere implementati come software, ma non è necessario che siano basati su software per essere considerati di nuova generazione.

Infine, un NGFW può essere distribuito come servizio cloud; in questo caso è chiamato firewall cloud o firewall-as-a-service (FWaaS). FWaaS è un componente importante dei modelli di rete Secure Access Service Edge (SASE). Confronta NGFW e FWaaS in modo più approfondito.

Cos'è Cloudflare Network Firewall?

Cloudflare Network Firewall è un firewall a livello di rete fornito tramite la rete globale Cloudflare. Protegge gli utenti, le reti degli uffici e l'infrastruttura cloud ed è progettato per sostituire i firewall basati su hardware con una protezione avanzata e scalabile.

Cloudflare Network Firewall è strettamente integrato con Cloudflare One, una piattaforma SASE che combina servizi di rete e sicurezza.

DOMANDE FREQUENTI

Che cos'è un firewall di nuova generazione (NGFW)?

Un firewall di nuova generazione (Next-generation firewall, NGFW) è un dispositivo di sicurezza che analizza e controlla il traffico di rete. Gli NGFW offrono funzionalità avanzate come l'ispezione approfondita dei pacchetti e l'application awareness, superando le capacità dei firewall tradizionali per bloccare minacce più sofisticate.

Che cos'è l'ispezione approfondita dei pacchetti (DPI)?

L'ispezione approfondita dei pacchetti (Deep packet inspection, DPI) è una tecnica utilizzata dagli NGFW per esaminare l'intero contenuto dei pacchetti di dati, inclusi i corpi, non solo le intestazioni, al fine di rilevare firme di malware e altre minacce.

Che cosa si intende per "application awareness" in ambito NGFW?

La consapevolezza (awareness) e il controllo delle applicazioni sono funzionalità dei NGFW per l'analisi del traffico al livello 7 (il livello applicativo), e consentono alle organizzazioni di bloccare o consentire il traffico di rete in base all'applicazione di appartenenza. Queste funzionalità consente agli NGFW di bloccare l'uso di app potenzialmente rischiose.

Cos'è un sistema di prevenzione delle intrusioni (IPS) in un NGFW?

Un sistema di prevenzione delle intrusioni (Intrusion prevention system, IPS) analizza il traffico in entrata per rilevare e bloccare minacce note e potenziali. Un IPS utilizza tecniche quali il rilevamento delle firme, il rilevamento statistico delle anomalie e il rilevamento analisi dei protocolli stateful per identificare le minacce nel traffico di rete.

Cosa si intende per "intelligence delle minacce" in ambito NGFW?

L’intelligence delle minacce è costituita da informazioni aggiornate relative a metodi di attacco, firme di malware e reputazione degli IP. Gli NGFW acquisiscono feed di intelligence delle minacce per garantire di avere i dati più aggiornati sulle minacce nuove e su quelle in evoluzione.

Cos'è il filtro dei pacchetti e come viene utilizzato dagli NGFW?

Il filtro dei pacchetti è il processo di ispezione dei singoli pacchetti di rete per ottenere informazioni sulla loro origine, destinazione e protocollo, con lo scopo di bloccare quelli inattesi o potenzialmente pericolosi. Sebbene questa sia una caratteristica anche dei firewall tradizionali, gli NGFW migliorano il filtraggio dei pacchetti grazie a un'ispezione più approfondita che tiene maggiormente conto del contesto.

INTRODUZIONE

Informazioni sulla sicurezza delle applicazioni Web

Minacce comuni

Risorse VPN

Glossario della sicurezza

Navigazione nel Centro di apprendimento