防火墻是重要的安全層,充當(dāng)專用網(wǎng)絡(luò)與外部世界之間的屏障。從第一代無狀態(tài)防火墻到下一代防火墻,防火墻架構(gòu)在過去四十年中發(fā)生了巨大的變化。如今,組織可以在多種類型的防火墻之間進(jìn)行選擇,包括應(yīng)用程序級(jí)網(wǎng)關(guān)(代理防火墻)、狀態(tài)檢測(cè)防火墻和電路級(jí)網(wǎng)關(guān),甚至可以同時(shí)使用多種類型的防火墻來實(shí)現(xiàn)深層、全面的安全解決方案。了解有關(guān)各種類型防火墻的基礎(chǔ)知識(shí)、它們之間的區(qū)別以及每種類型如何以不同方式保護(hù)您的網(wǎng)絡(luò)。
什么是防火墻,它的用途是什么?
防火墻是一種安全工具,可監(jiān)控傳入和/或傳出網(wǎng)絡(luò)流量,以根據(jù)預(yù)定義規(guī)則檢測(cè)和阻止惡意數(shù)據(jù)包,只允許合法流量進(jìn)入您的專用網(wǎng)絡(luò)。作為硬件、軟件或兩者實(shí)施的防火墻通常是您抵御惡意軟件、病毒和試圖進(jìn)入您組織的內(nèi)部網(wǎng)絡(luò)和系統(tǒng)的攻擊者的第一道防線。
就像建筑物主入口處的金屬探測(cè)器門一樣,物理或硬件防火墻會(huì)在讓每個(gè)數(shù)據(jù)包進(jìn)入之前對(duì)其進(jìn)行檢查。它會(huì)檢查源地址和目標(biāo)地址,并根據(jù)預(yù)定義的規(guī)則確定數(shù)據(jù)包是否應(yīng)該進(jìn)入通過與否。一旦數(shù)據(jù)包進(jìn)入您組織的內(nèi)部網(wǎng),軟件防火墻可以進(jìn)一步過濾流量以允許或阻止訪問計(jì)算機(jī)系統(tǒng)上的特定端口和應(yīng)用程序,從而更好地控制和保護(hù)內(nèi)部威脅。
訪問控制列表可以定義不可信任的特定互聯(lián)網(wǎng)協(xié)議 (IP) 地址。防火墻將丟棄來自這些 IP 的任何數(shù)據(jù)包。或者,訪問控制列表可以指定可信源 IP,防火墻將只允許來自那些列出的 IP 的流量。設(shè)置防火墻的技術(shù)有多種。它們提供的安全范圍通常還取決于防火墻的類型及其配置。
軟件和硬件防火墻
在結(jié)構(gòu)上,防火墻可以是軟件、硬件或兩者的組合。
軟件防火墻
軟件防火墻單獨(dú)安裝在各個(gè)設(shè)備上。它們提供更精細(xì)的控制,允許訪問一個(gè)應(yīng)用程序或功能,同時(shí)阻止其他應(yīng)用程序或功能。但它們?cè)谫Y源方面可能很昂貴,因?yàn)樗鼈儠?huì)利用安裝它們的設(shè)備的 CPU 和 RAM,并且管理員必須為每臺(tái)設(shè)備單獨(dú)配置和管理它們。此外,Intranet 中的所有設(shè)備可能不與單個(gè)軟件防火墻兼容,并且可能需要多個(gè)不同的防火墻。
硬件防火墻
另一方面,硬件防火墻是物理設(shè)備,每個(gè)都有自己的計(jì)算資源。它們充當(dāng)內(nèi)部網(wǎng)絡(luò)和 Internet 之間的網(wǎng)關(guān),將數(shù)據(jù)包和流量請(qǐng)求從私有網(wǎng)絡(luò)之外的不受信任的來源保留下來。物理防火墻對(duì)于同一網(wǎng)絡(luò)上有許多設(shè)備的組織來說很方便。雖然它們?cè)趷阂饬髁康竭_(dá)任何端點(diǎn)之前就將其阻止,但它們不提供針對(duì)內(nèi)部攻擊的安全性。因此,軟件和硬件防火墻的組合可以為您組織的網(wǎng)絡(luò)提供最佳保護(hù)。
四種類型的防火墻
防火墻也根據(jù)它們的操作方式進(jìn)行分類,每種類型都可以設(shè)置為軟件或物理設(shè)備。根據(jù)它們的操作方法,有四種不同類型的防火墻。
1. 包過濾防火墻
包過濾防火墻是最古老、最基本的防火墻類型。它們?cè)诰W(wǎng)絡(luò)層運(yùn)行,根據(jù)預(yù)定義的規(guī)則檢查數(shù)據(jù)包的源 IP 和目標(biāo) IP、協(xié)議、源端口和目標(biāo)端口,以確定是通過還是丟棄數(shù)據(jù)包。數(shù)據(jù)包過濾防火墻本質(zhì)上是無狀態(tài)的,獨(dú)立監(jiān)控每個(gè)數(shù)據(jù)包,而不會(huì)對(duì)已建立的連接或之前通過該連接的數(shù)據(jù)包進(jìn)行任何跟蹤。這使得這些防火墻抵御高級(jí)威脅和攻擊的能力非常有限。
包過濾防火墻快速、便宜且有效。但是它們提供的安全性非常基本。由于這些防火墻無法檢查數(shù)據(jù)包的內(nèi)容,因此它們無法防范來自可信源 IP 的惡意數(shù)據(jù)包。由于是無狀態(tài)的,它們也容易受到源路由攻擊和微小碎片攻擊。但是,盡管功能最少,但包過濾防火墻為提供更強(qiáng)大和更深入安全性的現(xiàn)代防火墻鋪平了道路。
2. 電路級(jí)網(wǎng)關(guān)
在會(huì)話層工作,電路級(jí)網(wǎng)關(guān)驗(yàn)證已建立的傳輸控制協(xié)議 (TCP) 連接并跟蹤活動(dòng)會(huì)話。它們與數(shù)據(jù)包過濾防火墻非常相似,因?yàn)樗鼈儓?zhí)行單一檢查并使用最少的資源。但是,它們?cè)陂_放系統(tǒng)互連 (OSI) 模型的更高層起作用。首先,它們確定已建立連接的安全性。當(dāng)內(nèi)部設(shè)備發(fā)起與遠(yuǎn)程主機(jī)的連接時(shí),電路級(jí)網(wǎng)關(guān)代表內(nèi)部設(shè)備建立虛擬連接,以隱藏內(nèi)部用戶的身份和 IP 地址。
電路級(jí)網(wǎng)關(guān)具有成本效益、簡(jiǎn)單、幾乎不影響網(wǎng)絡(luò)性能。然而,它們無法檢查數(shù)據(jù)包的內(nèi)容,這使得它們本身就是一個(gè)不完整的安全解決方案。包含惡意軟件的數(shù)據(jù)包如果具有合法的 TCP 握手,則可以輕松繞過電路級(jí)網(wǎng)關(guān)。這就是為什么另一種類型的防火墻通常配置在電路級(jí)網(wǎng)關(guān)之上以提供額外保護(hù)的原因。
3. 狀態(tài)檢測(cè)防火墻
領(lǐng)先于電路級(jí)網(wǎng)關(guān)、狀態(tài)檢查防火墻以及驗(yàn)證和跟蹤已建立連接的步驟還執(zhí)行數(shù)據(jù)包檢查,以提供更好、更全面的安全性。它們的工作方式是在建立連接后創(chuàng)建一個(gè)包含源 IP、目標(biāo) IP、源端口和目標(biāo)端口的狀態(tài)表。他們動(dòng)態(tài)創(chuàng)建自己的規(guī)則以允許預(yù)期的傳入網(wǎng)絡(luò)流量,而不是依賴基于此信息的一組硬編碼規(guī)則。它們可以方便地丟棄不屬于經(jīng)過驗(yàn)證的活動(dòng)連接的數(shù)據(jù)包。
狀態(tài)檢測(cè)防火墻檢查合法連接以及源和目標(biāo) IP 以確定哪些數(shù)據(jù)包可以通過。盡管這些額外的檢查提供了高級(jí)安全性,但它們會(huì)消耗大量系統(tǒng)資源并且會(huì)大大降低流量。因此,它們很容易受到 DDoS(分布式拒絕服務(wù)攻擊)。
4. 應(yīng)用級(jí)網(wǎng)關(guān)(代理防火墻)
應(yīng)用層網(wǎng)關(guān),又稱代理防火墻,是通過代理設(shè)備在應(yīng)用層實(shí)現(xiàn)的。連接是通過代理防火墻建立的,而不是外部人員直接訪問您的內(nèi)部網(wǎng)絡(luò)。外部客戶端向代理防火墻發(fā)送請(qǐng)求。在驗(yàn)證請(qǐng)求的真實(shí)性后,代理防火墻代表客戶端將其轉(zhuǎn)發(fā)到其中一個(gè)內(nèi)部設(shè)備或服務(wù)器。或者,內(nèi)部設(shè)備可以請(qǐng)求訪問網(wǎng)頁(yè),代理設(shè)備將轉(zhuǎn)發(fā)該請(qǐng)求,同時(shí)隱藏內(nèi)部設(shè)備和網(wǎng)絡(luò)的身份和位置。
與數(shù)據(jù)包過濾防火墻不同,代理防火墻執(zhí)行狀態(tài)和深度數(shù)據(jù)包檢查,以根據(jù)一組用戶定義的規(guī)則分析數(shù)據(jù)包的上下文和內(nèi)容。根據(jù)結(jié)果??,他們要么允許要么丟棄數(shù)據(jù)包。它們通過阻止內(nèi)部系統(tǒng)和外部網(wǎng)絡(luò)之間的直接連接來保護(hù)敏感資源的身份和位置。但是,配置它們以實(shí)現(xiàn)最佳網(wǎng)絡(luò)保護(hù)可能很棘手。您還必須牢記權(quán)衡——代理防火墻本質(zhì)上是主機(jī)和客戶端之間的額外屏障,會(huì)導(dǎo)致相當(dāng)大的速度下降。
哪種類型的防火墻最適合我的組織?
沒有一種萬能的解決方案可以滿足每個(gè)組織的獨(dú)特安全需求。每種不同類型的防火墻都有其優(yōu)點(diǎn)和局限性。數(shù)據(jù)包過濾防火墻簡(jiǎn)單但提供有限的安全性,而狀態(tài)檢查和代理防火墻可能會(huì)損害網(wǎng)絡(luò)性能。下一代防火墻似乎是一個(gè)完整的包,但并非所有組織都有預(yù)算或資源來成功配置和管理它們。
隨著攻擊變得越來越復(fù)雜,您的組織的安全防御必須迎頭趕上。保護(hù)內(nèi)部網(wǎng)絡(luò)外圍免受外部威脅的單個(gè)防火墻是不夠的。專用網(wǎng)絡(luò)中的每項(xiàng)資產(chǎn)也需要自己的個(gè)人保護(hù)。最好采用分層的安全方法,而不是依賴單個(gè)防火墻的功能。當(dāng)您可以在專為您組織的安全需求優(yōu)化的架構(gòu)中利用多個(gè)防火墻的優(yōu)勢(shì)時(shí),為什么還要選擇一個(gè)。
什么是下一代防火墻?
下一代防火墻 (NGFW) 旨在克服傳統(tǒng)防火墻的局限性,同時(shí)提供一些額外的安全功能。盡管具有靈活的功能和體系結(jié)構(gòu),真正使防火墻成為下一代的是除了端口/協(xié)議和表面層數(shù)據(jù)包檢測(cè)之外,它還能夠執(zhí)行深度數(shù)據(jù)包檢測(cè)。根據(jù)Gartner的說法,雖然沒有具體的、公認(rèn)的定義,但下一代防火墻是“一種深度數(shù)據(jù)包檢測(cè)防火墻,它超越了端口/協(xié)議檢測(cè)和阻止,增加了應(yīng)用程序級(jí)檢測(cè)、入侵防御,并帶來情報(bào)從防火墻外。”
下一代防火墻在不影響網(wǎng)絡(luò)性能的情況下將其他類型防火墻的功能組合到一個(gè)解決方案中。它們比它們的任何前輩都更強(qiáng)大,并提供更廣泛和更深入的安全性。除了執(zhí)行深度數(shù)據(jù)包檢查以檢測(cè)異常和惡意軟件之外,NGFW 還具有用于智能流量和資源分析的應(yīng)用程序感知功能。這些防火墻完全能夠阻止 DDoS 攻擊。它們具有安全套接字層 (SSL) 解密功能,以獲得跨應(yīng)用程序的完全可見性,使它們能夠識(shí)別和阻止來自加密應(yīng)用程序的數(shù)據(jù)泄露企圖。
下一代防火墻可以識(shí)別用戶和用戶角色,但它們的前身主要依賴于系統(tǒng)的 IP 地址。這一突破性功能使用戶能夠利用無線便攜式設(shè)備,同時(shí)在靈活的工作環(huán)境和自帶設(shè)備 (BYOD) 策略中提供廣譜安全性。它們還可能結(jié)合其他技術(shù),例如防病毒和入侵防御系統(tǒng) (IPS),以提供更全面的安全方法。
下一代防火墻適用于需要遵守健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 或支付卡行業(yè) (PCI) 規(guī)則的企業(yè),或者需要將多種安全功能集成到單一解決方案中的企業(yè)。但它們的價(jià)格確實(shí)高于其他類型的防火墻,并且根據(jù)您選擇的防火墻,您的管理員可能需要為它們配置其他安全系統(tǒng)。
