防火墻是任何業務網絡的重要組成部分。它們充當網絡和任何外部流量之間的過濾器,充當抵御外部威脅的第一道防線。然而,企業防火墻配置比使用標準消費級防火墻要復雜一些。與作為軟件與主機操作系統一起運行的個人防火墻不同,企業防火墻在網絡中某處的專用機器上運行。這意味著在網絡拓撲中放置業務防火墻更為重要。
企業防火墻可以為業務網絡做什么?
企業防火墻可能采用具有防火墻功能的路由器或連接到網絡的專用防火墻設備的形式。在最基本的情況下,企業防火墻可以防止不受信任的流量進入網絡上的機器。
例如,如果一家公司在自己的網絡上托管其網站,那么防火墻將允許進出公司網站服務器的外部流量,但會阻止進出具有敏感數據的內部計算機的未經授權的流量。此功能可以幫助防止黑客竊取公司數據,并可以阻止在公司網絡中復制的惡意軟件的傳播。
防火墻還可以幫助防止拒絕服務 (DoS) 攻擊。對于具有“狀態檢查”功能的防火墻尤其如此,這些功能允許他們實時分析流量——他們將能夠看到流量的趨勢和模式,并相應地調整設置。通過減輕 DoS 攻擊的影響,即使在重大網絡攻擊期間,防火墻也可以幫助確保業務連續性。
通過正確的設置,企業可以創建所謂的非軍事區 (DMZ),或公司網絡內包含面向公眾的服務的區域。DMZ 可能包含郵件、FTP 和 VoIP 服務器以及公司網站。
許多大型企業網絡在其網絡中實施了多個防火墻,從而創建了各種訪問“區域”,例如多個非軍事區和不同訪問級別的區域。這種分區可以幫助保持業務網絡的活力并隔離正在傳播的惡意軟件。
這如何轉化為網絡拓撲?
所有外部流量都必須通過防火墻才能到達網絡。從邏輯上講,這意味著防火墻應該放置在互聯網和網絡之間。最基本的配置之一是連接到廣域網 (WAN) 的路由器,然后是連接到路由器的防火墻,在將所有流量分發到整個網絡之前過濾所有流量。為提高安全性,您可以選擇在將路由器發送到防火墻之前運行路由器的板載防火墻功能,但可能會導致性能下降。
使用這種設置創建一個非軍事區并不難。防火墻將連接到 WAN、DMZ 和公司網絡。使用防火墻的安全策略,內部網絡的流量將與 DMZ 的流量隔離。這種配置的問題是只有一個設備處理流量過濾——如果它因任何原因受到損害,那么內部網絡也可能受到損害。
更安全的方法是使用具有兩個防火墻的配置。在這種情況下,第一個防火墻是最外層的設備,被稱為“外圍防火墻”。它正常連接到 WAN 并將流量發送到 DMZ 網絡。然后,第二個路由器,即內部防火墻,接收通過 DMZ 的內部流量并將其過濾到內部網絡中。如果使用來自不同供應商的防火墻,后一種方法會更加安全。這樣,一個設備中的安全漏洞就不能被兩個設備利用。
業務防火墻的類型
有不同類型的防火墻,每種防火墻在網絡中都有自己的用途。
網絡級網關
這些簡單的防火墻檢查每個網絡數據包的標頭,檢查它們的來源和目的地。它們具有出色的性能并消耗很少的資源,但繞過起來微不足道,并且可能被 DoS 攻擊淹沒。類似的防火墻(稱為電路級網關)檢查 TCP 握手的合法性,而不是每個數據包的標頭。它們也相當簡單且易于規避,但運行效率也很高。
應用級網關
這些是更復雜的防火墻,可以分析數據包的內容,而不僅僅是包頭。通過分析數據包使用的協議,他們可以更有效地過濾數據包并控制來自不同類型流量的訪問。
狀態檢查
狀態檢查網關可以分析多個級別的流量,甚至可以使用隨著時間的推移收集的洞察力來做出過濾決策。它們非常先進,可以防止比其他防火墻類型更廣泛的威脅,但它們也是資源密集型的。
