آسیب‌پذیری جدیدی که هدف آن چیپ‌های بلوتوث است !

کشف آسیب‌پذیری جدیدی که چیپ‌های بلوتوث را هدف می‌گیرد

آسیب پذیری شناسایی شده در چیپ های بلوتوث یک کمپانی معروف آمریکایی شبکه های سازمانی را به خطر انداخته است. محققان اخیرا دو حفره امنیتی خطرناک را در چیپ های بلوتوث کمپانی تگزاس اینسترومنتس یافته اند که در اکسس پوینت های بی سیم شرکت هایی نظیر سیسکو، مراکی و اروبا تعبیه شده و شبکه های سازمانی را در معرض خطر قرار می دهد. این آسیب پذیری توسط متخصصان امنیتی ارمیس پیدا شده و آن را BLEEDINGBIT نامیده اند. هکرها با استفاده از این حفره می توانند به شبکه های سازمانی نفوذ کرده، کنترل اکسس پوینت ها را در دست گرفته و بدافزارها را در سراسر شبکه پخش کنند. آنچه که داستان را بدتر می کند این است که نفوذ مهاجمان و اقدامات آنها در شبکه های سنتی یا از طریق راه حل های امنیتی کاربر نهایی قابل شناسایی و توقف نیست.

BLEEDINGBITدو شکل دارد که حالت اول آن چیپ های بلوتوث cc2640 و cc2650 تعبیه شده در اکسس پوینت های سیسکو و مراکی را هدف قرار داده است. هکرها با هدف قرار دادن این چیپ حافظه BLE را مختل کرده و کنترل کامل اکسس پوینت را به دست می گیرند.

حالت دوم نیز چیپ cc2540 موجود در اکسس پوینت های سری ۳۰۰ اروبا و قابلیت دانلود فرمور آن را تحت تاثیر قرار می دهد. دلیل این امر در پشتی پیش فرضی است که در فرمور به کار رفته و امکان دانلود بروزرسانی را به کاربر می دهد. هکرها با سوءاستفاده از این قابلیت می توانند نسخه ای کاملا متفاوت از فرمور را روی چیپ نصب کرده و سیستم عامل آن را بازنویسی کنند که در نهایت به نفوذ در شبکه منجر می شود.

کمپانی های اروبا و مراکی که تحت نظر سیسکو قرار دارد، از تعامل با مشتریان و انتشار اصلاحیه های امنیتی خبر داده اند.

 منبع : https://digiato.com/

میخواهید UTM بخرید؟ این سوالات را از خود بپرسید

میخواهید UTM بخرید؟ این سوالات را از خود بپرسید

قبل از اینکه به سراغ خرید دستگاه های UTM بروید، اینجا سوالاتی است که باید از خودتان و در مورد شبکه ای که قصد تهیه دستگاه برای آن را دارید بپرسید. با این سوالات به یک دید کلی میرسید که چه دستگاه و با چه ویژگی های سخت افزاری برای شما مناسب است. اینجا لیست سوالاتی است که نیاز دارید بپرسید و بدانید که UTM شما باید:

  • یک سیستم امنیتی تمام و کمال برای تمامی پروتکل ها و تکنولوژی های موجود داشته باشد، یا نیاز دارد که تنها تکنولوژی ها ونیازهای فعلی سازمان شما را پاسخ دهد؟
  • چه نوعی از امنیت می بایست توسط UTM در سازمان شما ایجاد شود؟ ) مکانیزم های مربوط به Firewall، VPN، Application Control، و غیره(
  • آیا نیاز دارید که یک Access Point بی سیم در دستگاه شما تعبیه شده باشد؟ معمولا دستگاه های UTM خاصی دارای این قابلیت هستند که معمولاً دستگاه های سطوح پایین تر و مربوط به کسب و کارهای کوچک و متوسط هستند.
  • پهنای باندی که قرار است توسط دستگاه مدیریت شود چه میزان است؟ این میتواند شامل دریافت و جمع آوری اطلاعات از دستگاه های تک تک کاربران، دریافت اطلاعات از پهنای باند ارسالی و دریافتی هر کاربر، مقدار استفاده از پهنای باند توسط هر کاربر، تعداد کاربرانی که هر لحظه به اینترنت دسترسی دارند و یا حتی تعداد ایمیل ها ارسالی و دریافتی هر کاربر باشد. همچنین دستگاه میتواند وظیفه آنالیز این رکورد ها و اینکه آنها مکررا اتفاق می افتند یا خیر را نیز بر عهده داشته باشد. این اطلاعات میتواند کمک کند که سایز دستگاه UTM اینکه آیا شبکه ما نیاز به بازسازی و طراحی مجدد دارد یا خیر را نیز تعیین کند.
  • چه تعداد کاربر در شبکه سازمان حضور دارند؟ چه تعداد دستگاه، اعم از ثابت و موبایل، در شبکه حضور دارند؟ بالاترین و پایین ترین میزان حضور دستگاه ها در شبکه در چه زمانی و با چه خروجی است؟ از حداقل دو سال قبل تا به حال تغییرات تعداد افراد به چه صورت بوده است؟ پاسخ به این سوالات میتواند تعیین کند که میزان رشد شما چگونه است و نیاز های آینده شما چطور میتواند باشد؟ همچنین میتوانید با این پاسخ بسنجید که باید دستگاهی بخرید که از نظر فنی قابلیت گسترش داشته باشد یا نه.
  • آیا شما به یک آنتی ویروس Gateway نیاز دارید یا نه؟ بسیاری از UTM ها دارای آنتی ویروس های Gateway هستند، ولی اغلب سازمان ها تمایلی به تعویض سیستم آنتی ویروس خود ندارند و ترجیح میدهند که با سیستمی مجزا کار کنند. ولی این مطلب را باید مد نظر داشت که بین عملکرد آنتی ویروس Gateway و آنتی ویروس Client تفاوت هایی وجود دارد
  • در هنگام خرید این دستگاه، تمامی موارد فوق را بخاطر داشته باشید و از آنها نوت برداری کنید. این امر شما را کمک میکند تا بهترین گزینه را برای نیاز فعلی و آتی سازمان خود انتخاب کنید.

CTB Locker چیست و نحوه کار آن به چه ترتیب است؟

CTB Locker چیست و نحوه کار آن به چه ترتیب است؟

این گونه از بد‌افزار‌ها مانند CTB Locker  بر خلاف سایر نمونه‌ها، ‌عملاً با سیستم‌ عامل کاری نداشته و هدف اصلی آن‌ها، فایل‌ها و اطلاعات شخصی کاربران است که با رمزگذاری یا Encrypt کردن این فایل‌ها از کاربر ‌می‌خواهند ‌برای باز‌گرداندن اطلاعات خود، مبالغی را که بعضا تا هزاران دلار افزایش می‌یابد ‌پرداخت کنند. از همین رو به آن‌ها نام باج‌گیر اطلاق می‌شود.

این بد‌افزار از تکنولوژی کریپتوگرافیک Eliptical Curve بهره می‌برد و با سرور Command and Control بر روی TOR ارتباط برقرار می‌کند. همچنین مؤسسه امنیتی Kafein اظهار کرده ‌که این بد‌افزار، بخشی از کیت مخصوصی است که به بهای حدود ۳ هزار دلار فروخته می‌شود و در نتیجه، احتمال وجود سایر بد‌افزارهای باج‌گیر مبتنی بر این کیت بسیار بالاست.
وقتی سیستم قربانی به این بد‌افزار آلوده می‌شود، در ابتدا تمامی فایل‌های سیستم اسکن شده و رمز گذاری می‌شوند، به گونه‌ای که دیگر قابل دسترسی نیستند. نسخه‌های قبلی این بد‌افزار فایل‌های رمز شده را با پسوند CTB مشخص می‌کرد؛ اما در نسخه‌های جدید یک پسوند اتفاقی برای آن‌ها انتخاب می‌شود.
بعد از آن یک صفحه به شما نمایش داده می‌شود که شما را از رمز شدن فایل‌ها آگاه کرده و دستور‌العملی برای پرداخت مبلغ جهت بازگرداندن آن‌ها به شما ارائه می‌کند.

نسخه‌های جدید این بد‌افزار حتی به کاربر اجازه می‌دهد ‌برای اطمینان پنج مورد از فایل‌های رمز شده را رمزگشایی کند که این کار برای آن است که کاربر متوجه شود ‌در صورت پرداخت مبلغ، فایل‌های خود را باز‌پس خواهد گرفت و از این طریق برای پرداخت مبلغ تشویق شود.

مواردی که روی شدت سیگنال تاثیر دارند

مواردی که باید بررسی شود شدت تاثیر مکانی هایی که باید بررسی شود
مانه چوب کم در های چوبی
دیوار کم دیوار های داخلی مد نظر است
مبلمان کم خود مبل ها و پارتیشن هایی که توی اداره ها هست
شیشه کن منظور پنجره هست
شیشه های دوجداره متوسط پنجره
تراکم جمعیت متوط جا هایی که تعداد زیادی آدم هسن
کاشی سرامیک متوسط دیوارهای سرامیکی
بلوک ها بتنی زیاد دیواد های خارجی ساختمان
آینه زیاد آینه
فلز زیاد هر شی فلزی تاثیر زیادی روی سیگنال دارد
آب زیاد مثل آکواریوم و آبشار مصنوعی

(WAF (Web Application Firewall

(WAF (Web Application Firewall

WAF یک فایروال عموماً  نرم افزاری هست که برای شناسایی و جلوگیری از انواع حملات و تهدیدات روی بستر Web از آن استفاده میشود ، از جمله این حملات میتوان به حملات Hidden Field Manipulation  ، Cookie Poisoning ، Parameter Tampering  ، Buffer Over Flow  ، XSS ، Backdoor  ،  Stealth Commanding  ،  Forced Browsing ، Third Party Misconfiguration  ، SQL Injection و بسیاری دیگر از حملات که از حفره های امنیتی شناخته شده در بستر Web استفاده میکنند ، اشاره کرد .

تفاوت اصلی میان یک فایروال معمولی و WAF سر این میباشد که یک فایروال معمولی صرفاً میتواند ارتباط بین وب سرور و اینترنت را امن نماید (این کار را در سطح لایه ۳ و ۴ انجام میدهد.) در حالی که WAF با بررسی کردن محتوای هدر HTTP و مقایسه آن با الگو های حملات که در دیتابیس خود دارد و یا با مشاهده رفتار غیرعادی در سیر محتوای ارسالی و دریافتی ، حملات را شناسایی کرده و آنها را بسته به سیاست تعیین شده در تنظیمات خود مانیتور ، Drop و یا Reject  میکند به همین دلیل ممکن است که یک ترافیک از دید فایروال یک ترافیک سالم باشد اما از دید WAF  بعنوان یک ترافیک مخرب و یا حمله شناسایی شود لذا WAF معمولاً پشت فایروال و جلوی WebSite و یا Web Application Server  قرار میگیرد .

WAF را میتوان بصورت نرم افزاری ، سخت افزاری و سرویس Cloud  ارائه داد که شرکت های زیر میتوان بعنوان موفقترین و بهترین شرکت ها در ارائه WAF نام برد :

AKAMAI Technology

Fortinet

Sophos

CloudFlare

F5 SilverLine و … .

تفاوت اصلی میان فایروال و IPS

(IPS (Intrusion Prevention System و (IDS (Intrusion Detection System

IPS یک سیستم شناسایی حملات در سطح شبکه میباشد که ترافیک را بر اساس دیتابیس الگو حملاتی که دارد ، شناسایی میکند همچنین IPS ها میتوانند بر اساس رفتار غیر عادی ترافیک عبوری در سطح شبکه نیز حملات را شناسایی کنند و پس از شناسایی حملات بسته به سیاست های امنیتی مورد استفاده در سازمان ترفیک را مانیتور Drop و یا Reject کنند .

تفاوت اصلی میان فایروال و IPS  سر این میباشد که فایروال ترافیک در سطح لایه ۳و ۴ بررسی کرده و هیچ نظارتی بر روی محتوای ترافیک ندارد اما IPS  با بررسی محتوای ترافیک و مقایسه آن با دیتابیس خود و یا با در نظر گرفتن رفتار ترافیک های عبوری حملات را شناسایی میکند به همین دلیل معمولاً IPS پشت فایروال قرار میگیرد که در صورتی که ترافیک مجاز به ورود به شبکه شد محتوای آنرا از نظر مخرب بودن یا نبودن بررسی کند .

IDS (Intrusion Detection System) : در حالیکه IPS معمولاً در مسیر ترافیک عبوری قرار میگیرد و جنبه امنیتی دارد ، IDS نیز با ساختاری مشابه IPS خارج از مسیر اصلی ترافیک قرار میگیرد و صرفاً از آن برای آنالیز ترافیک های شبکه استفاده میشود بطوریکه معمولاً از استفاده از قابلیت هایی مثل SPAN یک نسخه کپی ترافیک برای IDS فرستاده میشود و IDS در صورتیکه پس از بررسی محتوای ترفیک دریافتی متوجه ترافیک مخربی شد معمولاً آنرا بصورت یک Alert  برای یک سیستم مدیریتی ارسال میکند و معمولاً خوش بصورت مستقیم جلوی ترافیک مخرب را نمیگیرد .

IPS و IDS بصورت Network based و Host Based مورد استفاده قرار میگیرند و وجود هردو آنها ضروری است .

Network Based  ترافیک را در سطح شبکه های مختلف بررسی میکند و Host Based ترافیک را فقط برای یک Host مورد نظر بررسی میکند و زمانی کاربرد دارند که ترافیک از یک سیستم داخل شبکه به کاربر میرسد و اصلاً به Gateway و Network IPS نمیرشد .

Host based IPS/IDS  ها را میتوان بصورت جداگانه و یا پک های EndPoint Security در آنتی ویروس هایی مثل Kaspersky و Symantec و McAfee بر روی سیستم های کاربران نصب کرد .

Cisco Firepower  ، DarkTrace، McAfee IPS  ،IPS  IBM  و Snort را جمله IPS/IDS های مورد استفاده در شبکه میباشند .

برخی ویژگی‌های استاندارد امنیتی WPA3

برخی ویژگی‌های استاندارد امنیتی WPA3

پس از مشکلات گزارش شده برای WPA2، اتحادیه وای فای استاندارد جدید WPA3 را معرفی کرد.اولین پیش‌نویس واقعی از این پروتکل هنوز در دسترس قرار ندارد؛ اما اتحادیه‌ی وای‌فای تعدادی از ویژگی‌های آن را اعلام کرده که به شرح زیر است.

  1. تغییر داده‌های شبکه‌های عمومی وای‌فای به حالت رمزنگاری شده امن
  2. محافظت در برابر حمله‌های جستجوی فراگیر (Brute-force) از طریق مسدود کردن روند شناسایی بعد از چند مرتبه تلاش ناموفق برای لاگین
  3. امکان انجام تنظیمات امنیتی توسط گوشی و تبلت روی دستگاه‌هایی که فاقد نمایشگر هستند. این امکان امنیت بیشتری برای گجت‌های مجهز به اینترنت اشیاء (IOT) و سایر دستگاه‌هایی که انجام تنظیمات امنیتی در آن‌ها دشوار است، به همراه خواهد داشت.
  4. مجموعه‌ی امنیتی ۱۹۲ بیتی برای محافظت از شبکه‌هایی از قبیل اماکن دولتی و صنعتی و… که نیاز به امنیت بیشتری دارند.
  1. بعد از معرفی کامل این استاندارد توسط اتحادیه وای فای نوبت شرکت هاست که پشتیبانی از WPA3 را به مودم روترها، رایانه‌ها، گوشی‌ها، تبلت‌ها و دستگاه‌های مجهز به اینترنت اشیاء اضافه کنند. بنابراین، هنوز چند سالی با رواج استفاده از WPA3 فاصله داریم.

در شرایط کنونی بهترین کاری که می‌توانید انجام دهید این است که مطمئن شوید دستگاه‌های شما جدیدترین به‌روزرسانی‌های امنیتی را دریافت کرده‌اند. چنانچه دستگاهی دارید که آن‌قدر قدیمی است که به‌روزرسانی دریافت نمی‌کند، شاید بهتر باشد به فکر جایگزین جدیدتری برای آن باشید.

پروتکل امنیتی WPA2 که توسط مودم های وای‌فای مورد استفاده قرار می‌گیرد، دیگر امن نیست!

چند ماه پیش بود که خبری به سرعت در فضای مجازی پراکنده شد، محققان اعلام کرده‌اند که پروتکل امنیتی WPA2 که امروزه توسط اکثر شبکه‌های وای‌فای (مودم های خانگی و…) مورد استفاده قرار می‌گیرد، دیگر امن نیست و در معرض خطر قرار دارد؛ این یعنی ترافیک بین رایانه‌ها، گوشی‌های موبایل و اکسس پوینت‌ها قابل رهگیری است.

حقیقت مهمی را برایتان شفاف‌سازی کنیم؛ شما به‌هیچ‌وجه نباید احساس امنیت کنید! چرا که به‌تازگی مشخص شده که پروتکل یادشده کاملا آسیب‌پذیر است و به علت مشکلی که در آن پیدا شده، ارتباطات بین کاربر و ارائه‌دهنده‌ی اینترنت، قابل رهگیری است.

محققان امنیتی به‌تازگی راهی برای رهگیری ارتباطات بین کاربر و ارائه‌دهنده‌ی شبکه‌ی اینترنتی که از پروتکل امنیتی WPA2 استفاده می‌کند، پیدا کرده‌اند. طبق اطلاعیه‌ی منتشرشده از جانب سازمان US-CERT باگ یافت‌شده در پروتکل WPA2 می‌تواند به هکرها امکان رمزگشایی آن را بدهد.

این حمله‌ی هک فعلا به نام KRACK شناخته می‌شود؛ البته این نام رسمی نیست و ممکن است بعدها تغییر کند. در مورد این حمله، هم خبرهای خوب داریم و هم خبرهای بد و بهتر است بدانید که خبرهای بد بسیار بیشتر هستند.

از طریق منابع مختلف، شناسه‌های آسیب‌پذیری زیر اعلام شده‌اند: CVE-2017-13077 و CVE-2017-13078 و CVE-2017-13079 و CVE-2017-13080 و CVE-2017-13081 و CVE-2017-13082 و CVE-2017-13084 و CVE-2017-13086 و CVE-2017-13087 و  CVE-2017-13088.

پروتکل OpenFlow چیست؟

پروتکل OpenFlow چیست؟

پروتکل OpenFlow یک واسط برای ارتباط سوئیچ‌های SDN و کنترل‌کننده SDN می‌باشد. کنترل‌کننده‌ای که از پروتکل OpenFlow  پشتیبانی می‌کند همواره بر روی پورت پیشفرض ۶۶۳۳ (در نسخه‌های بالاتر بر روی پورت ۶۶۵۳) گوش می‌دهد و منتظر اتصال سوئیچ‌های OpenFlow از طریق این پورت می‌ماند. سوئیچ OpenFlow با یک اتصال TCP (که ممکن از SSL نیز باشد) به کنترل‌کننده متصل می‌شود

از این پس تمامی اختیارات این سوئیچ در دست کنترل‌کننده SDN قرار می‌گیرد. مثلا کنترل‌کننده می‌تواند قاعده زیر را در سوئیچ SDN نصب کند:

در Match Field یا فیلد انطباق می‌توان ویژگی‌های سرآیند جریانی که می‌خواهیم برای آن اعمال سیاست کنیم را مشخص نماییم. به طور مثال بسته‌های IP و با پروتکل لایه انتقال TCP و پروتکل FTP را می‌توان با فیلد انطباق فوق مشخص نمود.

Actions شامل اقدام و یا اقداماتی است که می‌خواهیم برای این جریان خاص اعمال شود. به طور مثال می‌خواهیم تمامی بسته‌های FTP ورودی به این سوئیچ دور ریخته شوند. که بدین منظور می‌توان از drop استفاده نمود.

معرفی فایروال های نسل بعدی NGFW

معرفی فایروال های نسل بعدی NGFW

فایروال های سنتی قدیمی بر اساس فیلتر کردن یک پورت یا یک پروتکل خاص فعالیت می کردند. مثلا کلیه ترافیکی که مربوط به پورت ۸۰ بوده را بسته و به پروتکل HTTP اجازه عبور نمی دادند و یا اینکه تمامی ترافیک مربوطه به پورت ۴۴۳ را مسدود کرده و تمامی صفحاتی که با پروتکل HTTPS کار می کنند را مسدود می کردند. این نشانگر یک قانون است: یا همه چیز یا هیچ چیز.

فایروال های جدید تر این امکان را دارند که ترافیک را بر اساس نوع نرم افزار مورد استفاده و پورت و ترافیک مورد استفاده توسط هر نرم افزار کاربردی مسدود یا عبور دهند. مثلا شما میتوانید به یک برنامه خاص اجازه استفاده از پورت ۸۰ را و صرفا به یک وب سایت خاص بدهید و بدینوسیله به نرم افزار اجازه فیلتر کردن بر اساس پورت،پروتکل،آدرس و حتی یک سرویس خاص را بدهید. تصور کنید در این حالت یک فایروال و سرویس QoS را با هم در یکجا دارید.

اینگونه فایروال ها را با عنوان فایروال های نسل بعدی می شناسید، اما در حقیقت به نوعی تشکیل یک راهکار از نوع سیستم مدیریت یکپارچه تهدیدات یا UTM را خواهند داد. اما فراموش نکنید که هنگامی که اسم سیستم یکپارچه مدیریت تهدیدات یا همان UTM به گوش می خورد به یاد تجهیزات سخت افزاری خواهیم افتاد که برای همین فعالیت ها در نظر گرفته شده اند اما اینگونه تجهیزات بیشتر به درد تجارت های کوچک و خانگی یا به اصطلاح (SMB) می خورند. UTM ها امکانات بیشتری نسبت به یک فایروال دارند و در بیشتر اوقات شما می تواند در یک دستگاه UTM، یک فایروال، یک آنتی ویروس، یک آنتی اسپم، یک سیستم تشخیص و جلوگیری از نفوذ و بسیاری دیگر از امکانات باشید.

از این به بعد به فایروال های نسل بعدی NGFW می گوییم. اینگونه فایروال های به دلیل اینکه بسیار مناسب Tune شده اند میتوانند مدیریت بسیار مناسبی بر روی امنیت و پهنای باند عبور کننده از خود داشته باشند و دلیلی اصلی آن هوشمندی و دقت بیشتر در قدرت واکاوی داده هایی است که از آنها عبور میکنند. قدرت فیلترینگ محتویات یا content filtering همچنین وجود سرویس Qos در این فایروال ها این اجازه را به فایروال میدهد که پهنای باند را با توجه به اولویت نرم افزارها به آنها اختصاص دهد، مثلا نرم افزاری که دارای اولویت در استفاده از اینترنت باشد میتواند پهنای باند بیشتری را به خود اختصاص دهد. با توجه به رشد روز افزون فناروی و استفاده از سرویس های پردازش ابری، امکان سرویس دهی به اینگونه فناوری ها نیز در NGFW دیده شده است.

 

 

در اینجا برخی از ویژگیهای معمول فایروال های NGFW را بررسی می کنیم:

امکانات استاندارد یک فایروال: در این نوع فایروال های قابلیت های همان فایروال های قدیمی ( نسل اولی ) از قبیل مسدود کردن پورت ها و پروتکل ها و همچنین سرویس شبکه خصوص مجازی یا VPN و سرویس NAT وجود دارد.

شناسایی و فیلتر کردن نرم افزارها: این قابلیت در واقع بزرگتری نقظه قوت اینگونه فایروال ها است، آنها می توانند به جای اینکه صرفا پورت یا پروتکل خاصی را فیلتر کنند، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر کنند. این قابلیت باعث میشود که نرم افزارهای مخرب نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند.

واکاوی SSH و NGFW :SSL ها میتوانند ترافیک رمزنگاری شده پروتکل های SSL و SSH را نیز واکاوی کنند . آنها توانایی رمزگشایی ترافیک را داشته و پس از رمز گشایی و اطمینان از سالم بودم و عدم وجود ترافیک غیر مجاز با توجه به خط مشی تعیین شده برای آن مجددا رمزگذاری کرده و ارسال می کنند. این قابلیت از مخفی شدن کد های مخرب در درون ترافیک رمزنگاری شده توسط نرم افزارهای مخرب جلوگیری کرده و از ورود اینگونه ترافیک به درون شبکه جلوگیری کند.

جلوگیری از نفوذ: با هوشمندی خاصی که برای اینگونه از فایروال ها در نظر گرفته شده است و توانایی واکاوی فوق العاده ای که در آنها دیده شده است، این NGFW ها توانایی جلوگیری و تشخیص نفوذ را در خود جای داده اند. برخی از اینگونه NGFW ها قابلیت های تشخیص و جلوگیری از نفوذی دارند که حتی یک دستگاه IPS مجزا هم این ویژگیها را به تنهایی ندارد.

هماهنگی با دایرکتوری سرویس ها: از قابلیت های جدید اینگونه NGFW ها هماهنگی کامل با ساختار های دایرکتوری مانند اکتیودایرکتوری است و با این روش دیگر نیازی به تعریف کاربر در فایروال نیست و از همان گروه ها و کاربرانی که در اکتیودایرکتوری وجود دارند می توان در فایروال نیز استفاده کرد.

فیلتر کردن کدهای مخرب : NGFW میتوانند بر اساس نوع فعالیت یک نر مافزار و مخرب بودن آن از ادامه کار یا حتی شروع به کار یک کد مخرب جلوگیری کنند، اینگونه NGFW ها میتوانند بوسیله شناسایی سایت های مخرب و ذخیره آنها در دیتابیس خود از بروز حمله از طریق آنها جلوگیری کنند، همچنین یعضی از آنها توانایی شناسایی حملات از نوع Phishing و همچنین شناسایی ویروس ها و تروجان ها را دارند.

همیشه هنگام انتخاب یک محصول برای استفاده در شبکه به عنوان یک فایروال نسل بعدی باید به تعداد نرم افزار ها و تعداد شناسایی هایی که آن فایروال می تواند تشخیص دهد توجه کرد، برخی از آنها توانایی شناسایی بیش از ۱۵۰۰۰ حمله و نرم افزار را دارند و این در حالی است که نوع دیگری تنها قادر به شناسایی ۸۰۰ نوع حمله است، همچنین الگوریتم هایی که هر یک از آنها در شناسایی استفاده میکنند بسیار می تواند تعیین کننده باشد بطوریکه برخی از این نوع فایروال ها میتوانند برای یک نرم افزار مانند مسنجر یاهو تعیین کنند که کاربر بتواند چت کند اما نتواند فایلی را ارسال یا دریافت کند. همیشه در انتخاب یک محصول توانایی های آن را در اولویت قرار دهید.