Il Next-Generation Firewall (NGFW) è la quarta generazione di firewall, termine coniato da Gartner nel 2009. Integra in un singolo dispositivo capacità che nelle generazioni precedenti richiedevano appliance separate: stateful inspection, identificazione delle applicazioni, IPS (Intrusion Prevention System), ispezione TLS, gestione dell’identità utente, threat intelligence in tempo reale e sandboxing.
Funzionalità distintive
Application Awareness e controllo: il NGFW identifica le applicazioni reali indipendentemente dalla porta usata — WhatsApp su porta 443, BitTorrent su porta 80, Netflix su qualsiasi porta — analizzando le firme applicative nel payload. Le politiche di sicurezza possono essere definite per applicazione: “permetti LinkedIn in lettura, blocca l’upload; blocca Tor; limita YouTube a 10 Mbps durante l’orario lavorativo”.
IPS integrato: l’Intrusion Prevention System analizza il traffico in tempo reale rispetto a una base di firme di exploit noti e comportamenti anomali, bloccando in linea tentativi di sfruttamento di vulnerabilità. A differenza di un IDS passivo che solo rileva, l’IPS blocca attivamente il traffico malevolo.
Ispezione TLS/SSL: il traffico HTTPS rappresenta oggi oltre il 95% del traffico web — un firewall stateful classico lo vede come flusso opaco. Il NGFW può terminare la connessione TLS (TLS inspection o SSL decryption), ispezionare il payload in chiaro, e ricrittografarlo verso la destinazione. Richiede l’installazione di un certificato CA intermedio sui client per evitare avvisi del browser.
User Identity Awareness: le politiche possono essere basate sull’identità dell’utente (integrazione con Active Directory/LDAP) invece che solo sull’IP. “Blocca l’accesso a social media per tutti gli utenti del gruppo HR, eccetto il responsabile comunicazione”.
Threat Intelligence in tempo reale: il NGFW si aggiorna continuamente con feed di Indicatori di Compromissione (IoC): indirizzi IP e domini C2 noti, hash di malware, reputazione degli URL. Un dominio registrato 2 ore fa che riceve connessioni da molti host interni è un segnale di allarme rilevabile.
Sandboxing: i file scaricati possono essere eseguiti in un ambiente virtuale isolato (sandbox) prima di essere consegnati all’utente. Se il comportamento è malevolo (modifica di chiavi di registro, connessioni a C2, cifratura di file), il file viene bloccato.
Deployment e performance
I NGFW sono disponibili come appliance hardware, macchine virtuali (vNGFW) e servizi cloud (FWaaS, Firewall as a Service). L’ispezione TLS e il sandboxing hanno un impatto significativo sulle performance: i vendor pubblicano benchmark sia con sia senza ispezione TLS, con differenze che possono raggiungere il 50-70% del throughput. I principali vendor del mercato enterprise sono Palo Alto Networks, Fortinet, Check Point, Cisco Firepower, Juniper SRX.