Что такое Next Generation Firewall (NGFW)?

Next Generation Firewall (NGFW) — это эволюция классического межсетевого экрана (Stateful Firewall), которая интегрирует функции безопасности уровня приложений (OSI L7) и угроз. В инфраструктуре, которую я настраивал, NGFW (например, Palo Alto Networks, FortiGate) был ключевым элементом периметра и сегментации сети.

Отличия от классического фаервола: Классический фаервол фильтрует трафик по IP, порту и протоколу (L3-L4). NGFW добавляет:

1. Идентификация приложений (App-ID): Определяет, какое именно приложение создает трафик (например, facebook-base, ssl, zoom-meeting), независимо от порта или методов шифрования. Это позволяет создать правило: "Разрешить office365-exchange-online, но запретить facebook-base".
2. Интеграция пользователей (User-ID): Привязывает IP-адреса к конкретным пользователям или группам из Active Directory/LDAP. Правила можно строить на основе пользователей: "Группа Developers может использовать ssh, а Accounting — нет".
3. Защита от угроз (Threat Prevention): Встроенные механизмы на основе сигнатур и эвристики:
   • Антивирус (AV)
   • Система предотвращения вторжений (IPS)
   • Анализ файлов и песочница (Sandboxing)

Пример сегментации сети с помощью NGFW: Мы разделяли сеть на сегменты: Trust (внутренние серверы), DMZ (публичные сервисы), Untrust (интернет). NGFW позволял детально контролировать трафик между ними.

# Пример логики правила (не конкретный синтаксис)
Правило: "Web-to-DB"
  From Zone: DMZ
  To Zone: Trust
  Source: Web-Server-IP
  Destination: DB-Server-IP
  Application: MS-SQL
  User: Any
  Action: Allow
  Security Profiles: Включить IPS и антивирус для этого трафика.

В DevOps-контексте NGFW интегрируется в CI/CD через API (например, Terraform-провайдер для Palo Alto) для автоматического создания временных правил для деплоя или динамической сегментации в гибридных облачных средах.