Check Point NGFW [Firewall I - 01 - lý thuyết]: Tìm hiểu NGFW là gì? Điểm nổi bật của NGFW là gì? So sánh NGFW với các loại Firewall truyền thống?

T

T0ri28

Intern
Trong thời đại công nghệ phát triển nhanh chóng, các mối đe dọa an ninh mạng ngày càng tinh vi, đòi hỏi hệ thống bảo mật tiên tiến hơn. Và với sự gia tăng của các cuộc tấn công mạng hiện đại, một giải pháp mạnh mẽ hơn đã ra đời: Next-Generation Firewall (NGFW).

Mục lục

I. NGFW là gì?
II. Điểm nổi bật của NGFW
III. So sánh NGFW và Firewall truyền thống

I. NGFW là gì?

1. Firewall truyền thống

Firewall truyền thống là một hệ thống bảo mật mạng giúp kiểm soát và giám sát lưu lượng dữ liệu ra vào mạng dựa trên các quy tắc xác định trước.
Các chức năng cơ bản của firewall truyền thống:
  • Lọc gói tin (Packet Filtering): Kiểm tra từng gói dữ liệu độc lập dựa trên địa chỉ IP nguồn/đích, cổng nguồn/đích và giao thức (TCP, UDP, ICMP...). Nếu không khớp với quy tắc, gói tin sẽ bị chặn ngay.
  • Stateful Inspection: Theo dõi trạng thái của các kết nối đã thiết lập. Chỉ cho phép các gói tin thuộc phiên kết nối hợp lệ, chặn các gói tin không nằm trong kết nối đã biết.
  • Network Address Translation (NAT): Chuyển đổi địa chỉ IP giữa private và public để cho phép nhiều thiết bị trong mạng nội bộ truy cập internet, tăng cường bảo mật bằng cách ẩn địa chỉ IP thực.
  • Danh sách điều khiển truy cập (ACL - Access Control List): Tập hợp các quy tắc dùng để cho phép hoặc chặn lưu lượng dựa trên địa chỉ IP hoặc thiết bị.
  • Logging & Monitoring: Ghi lại và giám sát lưu lượng mạng qua firewall, bao gồm IP nguồn/đích, cổng, giao thức và trạng thái kết nối. Hỗ trợ phát hiện sự cố và kiểm soát truy cập.
1742211461769.png

Chức năng của firewall truyền thống​

2. NGFW

Next-Generation Firewall (NGFW) được phát triển để mở rộng và nâng cao khả năng bảo vệ so với firewall truyền thống. Thay vì chỉ dựa vào các quy tắc lọc gói tin hoặc kiểm tra trạng thái kết nối, NGFW cung cấp một lớp bảo vệ toàn diện hơn bằng cách tích hợp nhiều công nghệ tiên tiến.
NGFW có thể nhận diện và kiểm soát lưu lượng dữ liệu dựa trên ứng dụng, người dùng và hành vi thay vì chỉ dựa vào địa chỉ IP hoặc cổng mạng. Ngoài ra, nó còn có khả năng phân tích sâu các gói tin, phát hiện các cuộc tấn công tiềm ẩn, đồng thời phối hợp với các hệ thống bảo mật khác để phản ứng kịp thời trước các mối đe dọa.

II. Điểm nổi bật của NGFW​

  • Deep Packet Inspection (DPI): Kiểm tra toàn bộ nội dung dữ liệu trong gói tin thay vì chỉ kiểm tra tiêu đề, giúp phát hiện mã độc, phần mềm gián điệp, và các lỗ hổng bảo mật tiềm ẩn.
  • Application Awareness & Control: Nhận diện, kiểm soát và phân loại lưu lượng theo ứng dụng thay vì chỉ theo cổng hoặc giao thức, giúp quản lý băng thông hiệu quả và ngăn chặn ứng dụng độc hại.
  • Intrusion Prevention System (IPS): Phát hiện và chặn đứng các cuộc tấn công mạng dựa trên chữ ký (signature-based) hoặc phân tích hành vi (behavioral analysis), giúp bảo vệ hệ thống khỏi các mối đe dọa chưa từng biết trước.
  • User Identity & Access Control: Kiểm soát truy cập dựa trên danh tính người dùng thay vì chỉ theo địa chỉ IP, hỗ trợ tích hợp với các hệ thống xác thực như Active Directory, LDAP.
  • Advanced Threat Protection (ATP): Ngăn chặn malware, ransomware và tấn công zero-day bằng AI và phân tích hành vi.
  • Threat Intelligence & Sandboxing: Sử dụng dữ liệu từ các hệ thống bảo mật toàn cầu để phát hiện và phản hồi nhanh các mối đe dọa và thực hiện cách ly (sandboxing) để phân tích phần mềm độc hại trong môi trường ảo hóa an toàn.
  • Tích hợp với các hệ thống bảo mật khác: Hỗ trợ tập hợp dữ liệu từ các nguồn như SIEM, SOAR, Sandboxing, , để nâng cao hiệu quả giám sát và quản lý bảo mật.

III. So sánh NGFW và Firewall truyền thống​

Tiêu chí
Firewall truyền thống
Next-Generation Firewall (NGFW)
Cơ chế hoạt động
Dựa trên Packet Filtering và Stateful Inspection, kiểm tra tiêu đề gói tin (IP, cổng, giao thức) để quyết định chặn hoặc cho phép.​
Kết hợp Stateful Inspection + Deep Packet Inspection (DPI), phân tích sâu đến nội dung gói tin (payload + header), giúp phát hiện các mối đe dọa ẩn giấu trong dữ liệu.​
Kiểm soát ứng dụng
Không hỗ trợ.​
Nhận diện và kiểm soát ứng dụng chạy trên mạng bằng DPI. Cho phép hoặc chặn ứng dụng theo chính sách, giúp quản lý băng thông, ngăn chặn ứng dụng không mong muốn và hạn chế rủi ro từ phần mềm độc hại.​
Phát hiện xâm nhập (IPS/IDS)
Không có hoặc rất hạn chế.​
Tích hợp hệ thống phát hiện và ngăn chặn xâm nhập (IPS), có thể nhận diện và ngăn chặn tấn công dựa trên chữ ký (signature-based) và phân tích hành vi (behavioral analysis).​
Bảo mật cấp người dùng
Chỉ xác thực dựa trên địa chỉ IP.​
Cũng sử dụng DPI để nhận diện danh tính người dùng thay vì chỉ dựa vào địa chỉ IP. Tích hợp với Active Directory, LDAP để kiểm soát truy cập theo nhóm, cá nhân và áp dụng chính sách bảo mật phù hợp.​
Bảo vệ trước tấn công nâng cao
Chỉ chặn truy cập theo quy tắc tĩnh. Không có khả năng phát hiện hoặc ngăn chặn malware, ransomware, zero-day attack hay các mối đe dọa nâng cao.​
Ngăn chặn malware, ransomware, tấn công zero-day bằng công nghệ AI và Threat Intelligence. Phân tích hành vi người dùng và dữ liệu để phát hiện các mối đe dọa chưa từng biết trước.​
Kiểm soát lưu lượng mạng
Kiểm tra theo IP, cổng.​
Phân tích và kiểm soát lưu lượng theo ứng dụng, danh tính người dùng, mức độ rủi ro, hỗ trợ quản lý băng thông hiệu quả hơn.​
Tích hợp bảo mật khác
Không tích hợp hoặc chỉ hỗ trợ nhưng rất hạn chế.Hạn chế, không hỗ trợ nhiều công nghệ bảo mật khác ngoài chức năng cơ bản của firewall. Không có khả năng tích hợp sâu với các hệ thống bảo mật mở rộng như SIEM, SOAR.​
Tích hợp với SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation, and Response), Threat Intelligence và AI và nhiều hệ thống bảo mật khác để tự động hóa phản ứng với sự cố bảo mật.​
Tính mở rộng
Khả năng mở rộng hạn chế, khó triển khai trên hệ thống lớn hoặc môi trường đám mây.​
Hỗ trợ quy mô lớn, có thể triển khai trong các doanh nghiệp lớn, trung tâm dữ liệu, tối ưu hiệu suất với SD-WAN và công nghệ cloud-based security.​
Tính linh hoạt
Cấu hình đơn giản, phù hợp với hệ thống nhỏ.​
Hỗ trợ nhiều tùy chỉnh bảo mật nâng cao, phù hợp với môi trường doanh nghiệp có nhu cầu bảo mật cao.Cấu hình phức tạp hơn nhưng bảo mật cao hơn.​


Nguồn tham khảo:
Paloalto
 
Sửa lần cuối:
Bài viết liên quan
CẤU HÌNH NAT TRÊN NGFW: SNAT, DNAT. bởi Nguyễn Thành Công,
CẤU HÌNH OBJECT VÀ SECURITY POLICY TRÊN NGFW CHECK POINT R81.20 bởi Nguyễn Thành Công,
CẤU HÌNH ROUTING STATIC ROUTE, GATEWAY TRÊN THIẾT BỊ NGFW CHECK POINT bởi Nguyễn Thành Công,
Cấu hình Backup và Restore cấu hình thiết bị bởi Nguyễn Thành Công,
CÀI ĐẶT CÁC THÀNH PHẦN TRONG MÔ HÌNH VÀ CẤU HÌNH CÁC THÔNG TIN CƠ BẢN: HOSTNAME, DNS, NTP, LACP,... bởi Nguyễn Thành Công,
[LAB 3]CẤU HÌNH NAT TRÊN CHECK POINT QUANTUM RUGGED 1570R bởi minhtu,
Bài viết mới
CẤU HÌNH NAT TRÊN NGFW: SNAT, DNAT. bởi Nguyễn Thành Công,
CẤU HÌNH OBJECT VÀ SECURITY POLICY TRÊN NGFW CHECK POINT R81.20 bởi Nguyễn Thành Công,
CẤU HÌNH ROUTING STATIC ROUTE, GATEWAY TRÊN THIẾT BỊ NGFW CHECK POINT bởi Nguyễn Thành Công,
Cấu hình Backup và Restore cấu hình thiết bị bởi Nguyễn Thành Công,
CÀI ĐẶT CÁC THÀNH PHẦN TRONG MÔ HÌNH VÀ CẤU HÌNH CÁC THÔNG TIN CƠ BẢN: HOSTNAME, DNS, NTP, LACP,... bởi Nguyễn Thành Công,
[LAB 3]CẤU HÌNH NAT TRÊN CHECK POINT QUANTUM RUGGED 1570R bởi minhtu,
Theo bạn, trong những tiêu chí bạn đề cập thì tiêu chí nào là quan trọng nhất khiến cho người sử dụng cần cân nhắc chuyển qua sử dụng NGFW?
 
HanaLink nói:
Theo bạn, trong những tiêu chí bạn đề cập thì tiêu chí nào là quan trọng nhất khiến cho người sử dụng cần cân nhắc chuyển qua sử dụng NGFW?​
Nhấn để mở rộng...
Em xin trả lời:​
  • Tiêu chí quan trọng nhất là Advanced Threat Protection (ATP)​
  • Vì: ATP sử dụng phân tích hành vi để phát hiện các mẫu tấn công chưa biết, thay vì chỉ dựa vào signature. Điều này giúp bảo vệ chống lại các mối đe dọa mà chưa có mẫu signature xác định, như tấn công zero-day hoặc các biến thể mới của malware, bảo vệ hệ thống khỏi các cuộc tấn công tinh vi mà firewall truyền thống không thể phát hiện được.​
 
Sửa lần cuối:
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top