next-generation firewall
(NGFW szócikkből átirányítva)
Főnév
next-generation firewall (tsz. next-generation firewalls)
- (informatika) A Next-Generation Firewall (NGFW) a tűzfalak legfejlettebb típusa, amely nem csupán a hagyományos forgalomszűrést végzi (port, protokoll, IP-cím alapján), hanem alkalmazás-szintű vizsgálatot, felhasználóazonosítást, mély csomagellenőrzést (DPI), kártékony programok észlelését, valamint gyakran intrusion prevention system (IPS) képességeket is tartalmaz.
Ezáltal az NGFW kombinálja a klasszikus hálózati tűzfal, az alkalmazásfigyelő rendszer, az IDS/IPS, a malware-védelem és a tartalom-szűrés funkcióit – mindezt egy központosított, jól menedzselhető biztonsági platformban.
🎯 Miért jött létre az NGFW?
A klasszikus tűzfalak csak a hálózati rétegeken (L3–L4) működtek, például IP-címek, portok és protokollok alapján. Ez ma már nem elég:
- Az alkalmazások dinamikusan változnak (pl. HTTPS-be burkolt forgalom).
- A támadások egyre komplexebbek (zero-day, APT, botnet).
- A hálózatok nem zártak: home office, cloud, BYOD, IoT.
Ezért kellett egy új megközelítés: Next-Generation Firewall.
🧱 NGFW fő funkciói
1. Hagyományos tűzfal funkciók
- Csomagszűrés: IP-cím, port, protokoll alapján.
- Állapotkövetés (stateful inspection).
- NAT (Network Address Translation).
2. Alkalmazás-szintű szűrés (L7 filtering)
- Nem csak port alapján szűr, hanem konkrét alkalmazások szerint.
- Például: Facebook, YouTube, BitTorrent, Skype forgalom felismerése és szabályozása.
- DPI (Deep Packet Inspection) segítségével.
3. IPS / IDS (Behatolás-megelőzés és -érzékelés)
- Ismeri a hálózati támadások mintáit (szignatúráit).
- Valós időben észleli és blokkolja a fenyegetéseket (DoS, exploit, worm).
4. Malware és vírusvédelem
- Integrált antivírus motor.
- Letöltött fájlok vizsgálata.
- Gyanús forgalom izolálása, sandboxolás.
5. Felhasználóazonosítás
- Nem csak IP-cím alapján dönt, hanem felhasználónév szerint (pl. LDAP/AD integráció).
- Például: „A marketing csoport használhat Facebookot, de a pénzügy nem.”
6. SSL/TLS forgalom átvizsgálása
- HTTPS forgalom bontása és vizsgálata (SSL inspection).
- Rejtett kártevők, titkosított parancs-csatoló kommunikáció észlelése.
7. Alkalmazás- és tartalom-szűrés
- Tiltott kategóriájú webhelyek (pl. szerencsejáték, pornográfia) blokkolása.
- Kulcsszavas vagy URL-alapú szabályozás.
8. Integráció más rendszerekkel
- SIEM, EDR, NAC, sandbox rendszerekhez kapcsolódás.
- API-alapú automatizálás.
📊 NGFW vs hagyományos tűzfal
| Funkció | Hagyományos tűzfal | NGFW |
|---|---|---|
| IP/port/protokoll alapú szűrés | ✔ | ✔ |
| Állapotkövetés (stateful) | ✔ | ✔ |
| Alkalmazás-azonosítás (AppID) | ✖ | ✔ |
| Felhasználó alapú szűrés | ✖ | ✔ |
| SSL forgalom bontása | ✖ | ✔ |
| IPS/IDS integráció | ✖ | ✔ |
| Malware-védelem | ✖ | ✔ |
| Automatizálás / API | ✖ | ✔ |
💡 Használati esetek
🏢 Vállalati peremvédelem
- Cég főkapcsolatánál elhelyezve, minden kifelé és befelé irányuló forgalmat ellenőriz.
- Képes megkülönböztetni és szabályozni a YouTube, Teams, Dropbox stb. forgalmat.
🌐 Webforgalom szabályozása
- Tartalom szűrés.
- Bandwidth shaping: limitálható a videóstreaming vagy fájlfeltöltés.
👨💼 Felhasználói alapú szabályozás
- Egyes dolgozók vagy csoportok más szabályokkal működhetnek.
- Pl. a fejlesztők használhatják GitHubot, a HR nem.
🛡️ Zero Trust modellek
- Minden kapcsolatot vizsgál: alkalmazás + felhasználó + viselkedés.
- Még a belső hálózatban is „gondolkodik”.
📚 Vezető NGFW gyártók
| Gyártó | Termék |
|---|---|
| Palo Alto Networks | PA Series, Prisma |
| Fortinet | FortiGate |
| Cisco | Firepower NGFW, ASA NGFW |
| Check Point | Quantum Security Gateway |
| Sophos | XGS Series |
| Juniper | SRX Series |
Mindegyik NGFW támogatja az alkalmazás-szűrést, IPS-t, SSL-inspectiont, felhasználó-azonosítást, valamint felhő-alapú kontrollt és jelentést.
⚙️ Bevezetési kihívások
| Kihívás | Megoldás |
|---|---|
| SSL forgalom bontása jogi és technikai nehézségekkel | Kivétel-listák, tanúsítványkezelés |
| Komplex konfiguráció | Sablonok, központi menedzsment |
| Teljesítmény csökkenhet DPI miatt | Szükséges hardver sizing |
| Folyamatos karbantartás | Szignatúra-frissítések, fenyegetésintelligencia |
| Ár | Erősebb funkciók → magasabb költség |
🧠 NGFW és a jövő
A modern NGFW-k már nemcsak “tűzfalak”, hanem intelligens döntéshozó rendszerek, amelyek:
- viselkedésalapú védelmet használnak (UEBA),
- gépi tanulást integrálnak,
- sandbox környezetben vizsgálják a gyanús fájlokat,
- Zero Trust környezetek gerincét képezik.
✅ Összefoglalás
| Fogalom | Jelentés |
|---|---|
| NGFW (Next-Generation Firewall) | Korszerű tűzfal, alkalmazás-, felhasználó- és viselkedésalapú szűréssel |
| Alapfunkciók | Tűzfal + IPS + alkalmazásfigyelés + SSL-bontás + AV |
| Fő előnyök | Láthatóság, pontosság, automatizáció, adaptivitás |
| Felhasználás | Vállalati peremvédelem, belső szegmentáció, webfilter |
| Fő gyártók | Palo Alto, Cisco, Fortinet, Check Point, Sophos |
A Next-Generation Firewall ma már nem luxus, hanem alapkövetelmény bármely komoly informatikai infrastruktúrában. Segítségével a vállalatok rugalmas, hatékony és intelligens védelmi rendszert építhetnek ki – amely nemcsak „megvéd”, hanem felismer, reagál, és tanul is.
- next-generation firewall - Szótár.net (en-hu)
- next-generation firewall - Sztaki (en-hu)
- next-generation firewall - Merriam–Webster
- next-generation firewall - Cambridge
- next-generation firewall - WordNet
- next-generation firewall - Яндекс (en-ru)
- next-generation firewall - Google (en-hu)
- next-generation firewall - Wikidata
- next-generation firewall - Wikipédia (angol)