防火墻是一種計算機網絡安全系統,用于限制互聯網流量進入、流出或進入專用網絡。該軟件或專用硬件-軟件單元通過選擇性地阻止或允許數據包來發揮作用。它通常旨在防止任何人(無論是在專用網絡內部還是外部)參與未經授權的 Web 活動,并幫助防止惡意活動。
什么是防火墻?
防火墻可以被視為門控邊界或網關,用于管理專用網絡中允許和禁止的 Web 活動的傳播。該術語來自物理墻的概念,即物理墻是減緩火勢蔓延的屏障,直到緊急服務能夠將其撲滅。相比之下,網絡安全防火墻用于網絡流量管理——通常旨在減緩網絡威脅的傳播。
防火墻創建“阻塞點”來匯集網絡流量,然后根據一組編程參數對其進行審查并據此采取行動。一些防火墻還跟蹤審計日志中的流量和連接,以參考允許或阻止的內容。
防火墻通常用于封閉專用網絡或其主機設備的邊界。因此,防火墻是更廣泛的用戶訪問控制類別中的一種安全工具。這些屏障通常設置在兩個位置——網絡上的專用計算機或用戶計算機和其他端點本身(主機)。
誰發明了防火墻?
防火墻的發明應該被視為“正在進行的”。這是因為它在不斷發展,并且有多個“創造者”參與了它的發展和發展。從 1980 年代后期到 90 年代中期,每個創建者都擴展了各種與防火墻相關的組件和版本,然后才成為所有現代防火墻的基礎產品。
布賴恩·里德、保羅·維西和杰夫·莫古爾
在 1980 年代后期,Mogul、Reid 和 Vixie 各自在 Digital Equipment Corp (DEC) 擔任開發包過濾技術的角色,該技術將在未來的防火墻中變得有價值。這導致了在外部連接與內部網絡上的計算機聯系之前審查外部連接的概念。雖然有些人可能將此數據包過濾器視為第一個防火墻,但它更像是一種組件技術,支持未來的“真正”防火墻系統。
大衛·普雷索托、賈納丹·夏爾馬、Kshitiji Nigam、William Cheswick 和 Steven Bellovin
80 年代末到 90 年代初,AT&T 貝爾實驗室的各個工作人員研發了電路級網關防火墻的早期概念。這是第一個審查和允許正在進行的連接而不是在每個數據包后重復重新授權的防火墻。Presotto、Sharma 和 Nigam 從 1989 年到 1990 年開發了電路級網關,隨后 Cheswick 和 Bellovin 在 1991 年開發了防火墻技術。
馬庫斯·拉納姆
從 1991 年到 1992 年,Ranum 在 DEC 發明了安全代理,它成為第一個應用層防火墻產品的重要組成部分——1991 年基于代理的安全外部訪問鏈路 (SEAL) 產品。這是 Reid、Vixie 和 Mogul 在 DEC 工作的擴展,并且是第一個商業發布的防火墻。
Gil Shwed 和 Nir ??Zuk
從 1993 年到 1994 年在 Check Point,公司創??始人 Gil Shwed 和多產的開發人員 Nir ??Zuk 在開發第一個被廣泛采用、用戶友好的防火墻產品 Firewall-1 中發揮了重要作用。Gil Shwed 于 1993 年發明并申請了用于狀態檢查的美國專利。緊隨其后的是 Nir ??Zuk 為 1994 年的 Firewall-1 開發了易于使用的圖形界面,這對于在企業和家庭中更廣泛地采用防火墻至關重要。可預見的未來。
這些發展對于塑造我們今天所知的防火墻產品至關重要,每一個都以某種身份用于許多網絡安全解決方案。
為什么防火墻很重要
沒有保護的網絡很容易受到任何試圖訪問您系統的流量的影響。無論有害與否,都應始終審查網絡流量。將個人電腦連接到其他 IT 系統或互聯網開辟了一系列積極的可能性。與他人的輕松協作、整合資源和增強創造力的代價是完整的網絡和設備保護。黑客、身份盜用、惡意軟件和在線欺詐是用戶通過將計算機連接到網絡或互聯網而暴露自己時可能面臨的常見威脅。
一旦被惡意行為者發現,您的網絡和設備就很容易被找到、快速訪問并暴露在重復的威脅之下。全天候的互聯網連接會增加這種風險(因為您的網絡可以隨時訪問)。
使用任何類型的網絡時,主動保護都至關重要。用戶可以通過豎起一堵看不見的墻來過濾這些威脅,從而避免最嚴重的危險。幸運的是,一堵看不見的墻已經存在——它被稱為防火墻。
防火墻是如何工作的?
防火墻決定允許哪些網絡流量通過以及哪些流量被視為危險。它本質上是通過過濾掉好的壞的,或者從不可信的中過濾掉可信的來工作的。但是,在我們詳細介紹之前,我們必須先了解基于 Web 的網絡的結構,然后再解釋防火墻如何在它們之間進行過濾。
防火墻旨在保護私有網絡和其中的端點設備,稱為網絡主機。網絡主機是與網絡上的其他主機“對話”的設備。它們在內部網絡之間發送和接收,以及在外部網絡之間進行出站和入站。您的計算機和其他端點設備使用網絡訪問互聯網 - 以及彼此。然而,為了安全和隱私,互聯網被分割成子網或“子網”。
基本子網段如下:
- 外部公共網絡通常是指公共/全球互聯網或各種外聯網。
- 內部專用網絡定義了家庭網絡、公司內部網和其他“封閉”網絡。
- 外圍網絡詳細說明了由堡壘主機組成的邊界網絡——計算機主機具有強化的安全性,可以承受外部攻擊。作為內部和外部網絡之間的安全緩沖區,它們也可用于容納內部網絡提供的任何面向外部的服務(即,用于 Web、郵件、FTP、VoIP 等的服務器)。這些比外部網絡更安全,但不如內部網絡安全。這些并不總是出現在像家庭網絡這樣的簡單網絡中,但可能經常用于組織或國家內部網。
篩選路由器是放置在網絡上以對其進行分段的專用網關計算機。它們在網絡級別被稱為家庭防火墻。兩種最常見的分段模型是屏蔽主機防火墻和屏蔽子網防火墻。
- 屏蔽主機防火墻在外部和內部網絡之間使用單個屏蔽路由器,稱為阻塞路由器。這些網絡是該模型的兩個子網。
- 屏蔽子網防火墻使用兩個屏蔽路由器——一個稱為外部網絡和外圍網絡之間的訪問路由器,另一個標記為外圍網絡和內部網絡之間的阻塞路由器。這將分別創建三個子網。
如前所述,網絡外圍和主機本身都可以容納防火墻。為此,它被放置在單臺計算機及其與專用網絡的連接之間。
- 網絡防火墻涉及在外部網絡和內部專用網絡之間應用一個或多個防火墻。它們調節入站和出站網絡流量,將外部公共網絡(如全球互聯網)與內部網絡(如家庭 Wi-Fi 網絡、企業 Intranet 或國家 Intranet)分開。網絡防火墻可能以下列任何設備類型的形式出現:專用硬件、軟件和虛擬。
- 主機防火墻或“軟件防火墻”涉及在單個用戶設備和其他專用網絡端點上使用防火墻作為網絡內設備之間的屏障。這些設備或主機接收進出特定計算機應用程序的流量的定制規則。主機防火墻可以作為操作系統服務或端點安全應用程序在本地設備上運行。主機防火墻還可以更深入地研究 Web 流量,基于 HTTP 和其他網絡協議進行過濾,允許管理到達您機器的內容,而不僅僅是它來自哪里。
網絡防火墻需要針對廣泛的連接進行配置,而主機防火墻可以根據每臺機器的需要進行定制。然而,主機防火墻需要更多的定制工作,這意味著基于網絡的防火墻是全面控制解決方案的理想選擇。但是同時在兩個位置使用兩個防火墻對于多層安全系統來說是理想的。
通過防火墻過濾流量利用預先設置或動態學習的規則來允許和拒絕嘗試的連接。這些規則是防火墻如何調節通過您的專用網絡和專用計算機設備的網絡流量。無論類型如何,所有防火墻都可能通過以下某些混合進行過濾:
- 來源:嘗試連接的位置。
- 目的地:嘗試連接的目的地。
- 內容:連接嘗試發送的內容。
- 數據包協議:嘗試連接正在使用什么“語言”來傳輸其消息。在主機用來相互“交談”的網絡協議中,TCP/IP 是用于跨互聯網和內部網/子網進行通信的主要協議。其他標準協議包括 IMCP 和 UDP。
- 應用協議:常用協議有HTTP、Telnet、FTP、DNS、SSH等。
源和目標通過互聯網協議 (IP) 地址和端口進行通信。IP 地址是每個主機的唯一設備名稱。端口是任何給定源和目標主機設備的子級別,類似于較大建筑物內的辦公室。端口通常被分配特定用途,因此使用不常見端口或禁用端口的某些協議和 IP 地址可能是一個問題。
通過使用這些標識符,防火墻可以決定是丟棄嘗試連接的數據包(靜默丟棄還是將錯誤回復發送給發送者)或轉發。
防火墻安全有什么作用?
網絡安全防火墻的概念旨在將網絡的攻擊面縮小到單點接觸。不是網絡上的每臺主機都直接暴露在更大的互聯網上,而是所有流量都必須首先聯系防火墻。由于這也反向工作,防火墻可以過濾和阻止未經允許的流量,進出。此外,防火墻用于創建嘗試的網絡連接的審計跟蹤,以提高安全意識。
由于流量過濾可以是專用網絡所有者建立的規則集,因此這為防火墻創建了自定義用例。流行的用例涉及管理以下內容:
- 來自惡意行為者的滲透:可以阻止來自行為異常的來源的不受歡迎的連接。這可以防止竊聽和高級持續威脅 (APT)。
- 家長控制:家長可以阻止孩子查看露骨的網絡內容。
- 工作場所網絡瀏覽限制:雇主可以阻止員工使用公司網絡訪問非生產性服務和內容,例如社交媒體。
- 國家控制的內部網:國家政府可以阻止內部居民訪問可能對國家領導層或其價值觀持不同政見的網絡內容和服務。
值得注意的是,防火墻在以下方面不是很有效:
- 識別合法網絡進程的漏洞利用:防火墻不會預測人類意圖,因此它們無法確定“合法”連接是否旨在用于惡意目的。例如,IP 地址欺詐(IP 欺騙)的發生是因為防火墻不驗證源 IP 和目標 IP。
- 阻止不通過防火墻的連接:單獨的網絡級防火墻不會阻止惡意的內部活動。除了外圍防火墻之外,還需要存在內部防火墻(例如基于主機的防火墻),以分區您的網絡并減緩內部“火災”的移動。
- 提供足夠的病毒防護:雖然攜帶惡意代碼的連接如果未列入白名單,可能會被停止,但被認為可接受的連接仍然可以將這些威脅傳播到您的網絡中。如果防火墻由于配置錯誤或被利用而忽略了連接,則仍需要防病毒保護套件來清除任何進入的惡意軟件或病毒。
防火墻類型
不同類型的防火墻包含不同的過濾方法。雖然每種類型的防火墻都是為了超越前幾代防火墻而開發的,但大部分核心技術已經在幾代人之間傳承了下來。
防火墻類型的區別在于它們的方法:
- 連接跟蹤
- 過濾規則
- 審核日志
每種類型都在標準化通信模型的不同級別運行,即開放系統互連模型 (OSI)。該模型可以更好地了解每個防火墻如何與連接交互。
靜態包過濾防火墻
靜態包過濾防火墻,也稱為無狀態檢測防火墻,在 OSI 網絡層(第 3 層)運行。它們通過檢查通過網絡發送的所有單個數據包,根據它們來自哪里以及它們試圖去哪里來提供基本過濾。值得注意的是,以前接受的連接不會被跟蹤。這意味著每次發送的每個數據包都必須重新批準每個連接。
過濾基于 IP 地址、端口和數據包協議。這些防火墻至少可以防止兩個網絡在未經許可的情況下直接連接。
過濾規則是根據手動創建的訪問控制列表設置的。這些非常嚴格,很難在不影響網絡可用性的情況下適當地覆蓋不需要的流量。靜態過濾需要持續手動修改才能有效使用。這在小型網絡上是可以管理的,但在大型網絡上很難。
審計日志不適用于包過濾防火墻。這會使跟蹤過去和正在進行的攻擊變得具有挑戰性,這對于大型網絡來說并不理想。缺乏讀取應用程序協議的能力意味著無法讀取在數據包中傳遞的消息的內容。在不閱讀內容的情況下,包過濾防火墻的保護質量有限。
電路級網關防火墻
電路級網關在傳輸層(第 4 層)上運行。這些防火墻在嘗試的連接中檢查功能數據包,如果運行良好,將允許兩個網絡之間的持久開放連接。發生這種情況后,防火墻將停止監督連接。
除了連接方法之外,電路級網關可以類似于代理防火墻。正在進行的不受監控的連接是危險的,因為合法的手段可以打開連接,然后允許惡意行為者不間斷地進入。
狀態檢查防火墻
狀態檢查防火墻,也稱為動態數據包過濾防火墻,與靜態過濾相比,在監控正在進行的連接并記住過去的連接方面是獨一無二的。與電路級防火墻類似,這些防火墻始于在傳輸層(第 4 層)上運行。如今,這些防火墻可以監控許多層,包括應用層(第 7 層)。
與靜態過濾防火墻一樣,狀態檢測防火墻根據技術屬性(例如特定的數據包協議、IP 地址或端口)允許或阻止流量。但是,這些防火墻還使用狀態表根據連接狀態進行唯一跟蹤和過濾。
此防火墻根據篩選路由器在狀態表中記錄的過去連接事件更新篩選規則。通常,過濾決策通常基于管理員在設置計算機和防火墻時的規則。然而,狀態表允許這些動態防火墻根據之前“學習”的交互做出自己的決定。例如,過去造成中斷的流量類型將在未來被過濾掉。狀態檢查的靈活性使其成為最普遍的防護類型之一。
代理防火墻
代理防火墻,也稱為應用級防火墻(第 7 層),在讀取和過濾應用協議方面是獨一無二的。它們結合了應用程序級檢查或“深度數據包檢查 (DPI)”和狀態檢查。
代理防火墻盡可能接近實際的物理屏障。與其他類型的防火墻不同,它充當外部網絡和內部主機計算機之間的另外兩臺主機,其中一臺作為每個網絡的代表(或“代理”)。
過濾基于應用程序級數據,而不僅僅是 IP 地址、端口和基本數據包協議(UDP、ICMP),如基于數據包的防火墻。閱讀和理解 FTP、HTTP、DNS 和其他命令可以對許多不同的數據特??征進行更深入的調查和交叉過濾。
作為門口的守衛,它本質上是查看和評估傳入的數據。如果沒有檢測到問題,則允許數據傳遞給用戶。這種高安全性的缺點是它有時會干擾不構成威脅的傳入數據,從而導致功能延遲。
下一代防火墻 (NGFW)
不斷演變的威脅繼續需要更強大的解決方案,而下一代防火墻通過將傳統防火墻的功能與網絡入侵防御系統相結合來解決這個問題。
針對特定威脅的下一代防火墻旨在更精細地檢查和識別特定危險,例如高級惡意軟件。它們更常被企業和復雜的網絡使用,它們提供了過濾危險的整體解決方案。
混合防火墻
顧名思義,混合防火墻在單個專用網絡中使用兩種或多種防火墻類型。
防火墻示例
在實踐中,防火墻因其在現實世界中的應用而成為褒貶不一的話題。雖然防火墻成就歷史悠久,但必須正確實施這種安全類型以避免漏洞利用。此外,眾所周知,防火墻以有道德問題的方式使用。
中國防火墻,互聯網審查
自 1998 年以來,中國已經建立了內部防火墻框架來創建其嚴密監控的內部網。從本質上講,防火墻允許在一個國家內創建定制版本的全球互聯網。他們通過阻止選擇的服務和信息在這個國家內部網中被使用或訪問來實現這一點。
國家監視和審查允許在保持政府形象的同時持續壓制言論自由。此外,中國的防火墻允許其政府將互聯網服務限制為本地公司。這使得對搜索引擎和電子郵件服務等事物的控制更容易監管,有利于政府的目標。自然地,中國內部一直在抗議這種審查制度。使用虛擬專用網絡和代理來越過國家防火墻讓許多人表達了他們的不滿。
COVID-19 美國聯邦機構因遠程工作弱點而受到損害
2020 年,配置錯誤的防火墻只是導致匿名美國聯邦機構違規的眾多安全漏洞之一。
據信,一個民族國家行為者利用了美國機構網絡安全中的一系列漏洞。在許多引用的安全問題中,正在使用的防火墻有許多不恰當地向流量開放的出站端口。除了維護不善之外,該機構的網絡可能還面臨遠程工作的新挑戰。一旦進入網絡,攻擊者的行為方式就表明了通過任何其他開放路徑到達其他機構的明確意圖。這種類型的努力不僅使被滲透的機構面臨安全漏洞的風險,而且還使許多其他機構面臨安全漏洞的風險。
美國電網運營商未打補丁的防火墻被利用
2019 年,一家美國電網運營提供商受到黑客利用的拒絕服務 (DoS) 漏洞的影響。外圍網絡上的防火墻在重啟漏洞利用循環中卡住了大約十個小時。
它后來被認為是防火墻中已知但未修補的固件漏洞的結果。尚未實施在實施前檢查更新的標準操作程序,但會導致更新延遲和不可避免的安全問題。幸運的是,安全問題并沒有導致任何重大的網絡滲透。這些事件是定期軟件更新重要性的另一個有力指標。沒有它們,防火墻是另一個可以被利用的網絡安全系統。
如何使用防火墻保護
正確設置和維護防火墻對于保護網絡和設備至關重要。
以下是一些指導您的防火墻安全實踐的提示:
- 始終盡快更新您的防火墻:固件補丁可讓您的防火墻針對任何新發現的漏洞進行更新。個人和家庭防火墻用戶通常可以立即安全更新。較大的組織可能需要首先檢查其網絡的配置和兼容性。但是,每個人都應該有適當的流程來及時更新。
- 使用防病毒保護:防火墻本身并不能阻止病毒和其他感染。這些可能會通過防火墻保護,您需要一個旨在禁用和刪除它們的安全解決方案。卡巴斯基全方位安全軟件可以在您的個人設備上保護您,我們的眾多企業安全解決方案可以保護您想要保持清潔的任何網絡主機。
- 使用白名單限制可訪問端口和主機:默認為入站流量拒絕連接。將入站和出站連接限制為受信任 IP 地址的嚴格白名單。減少用戶對必需品的訪問權限。通過在需要時啟用訪問來保持安全比在事件發生后撤銷和減輕損害更容易。
- 分段網絡:惡意行為者的橫向移動顯然是一種危險,可以通過限制內部交叉通信來減緩這種危險。
- 擁有活躍的網絡冗余以避免停機:網絡主機和其他基本系統的數據備份可以防止事件期間的數據丟失和生產力。
