30 多年前,防火墻的概念進入了 IT 安全對話。即使在今天,該技術仍然在企業(yè)安全中發(fā)揮著至關重要的作用,促進不同網(wǎng)絡之間的安全連接。作為一種在惡意流量從公共網(wǎng)絡進入專用網(wǎng)絡之前過濾掉惡意流量的機制,外圍防火墻在過去幾十年中已經(jīng)確定了它的優(yōu)點。與任何持久性技術一樣,它顯然催生了許多迭代。在這篇文章中了解外圍防火墻如何防止網(wǎng)絡入侵。
什么是外圍防火墻?
外圍防火墻是一種安全應用程序,用于保護組織的專用網(wǎng)絡與 Internet 等公共網(wǎng)絡之間的邊界。您可以將外圍防火墻作為軟件、硬件或兩者兼而有之,作為企業(yè)安全的第一道防線。實施后,外圍防火墻會檢查進出專用網(wǎng)絡的數(shù)據(jù)包,并根據(jù)預先確定的規(guī)則允許或阻止它們。
這些規(guī)則(在訪問控制列表 (ACL) 中定義)指定允許的網(wǎng)絡名稱、互聯(lián)網(wǎng)協(xié)議 (IP) 地址和端口號。您可以配置這些規(guī)則來控制入站和出站流量,如下所示:
安裝外圍防火墻的主要目的是防范外部攻擊。您還可以將它們安裝在組織的網(wǎng)絡中,以創(chuàng)建分段并阻止內(nèi)部威脅。除了提供抵御攻擊的第一道防線外,外圍防火墻還可以記錄日志記錄和審計事件。網(wǎng)絡管理員可以使用這些記錄來識別用戶模式并增強規(guī)則集。
什么是網(wǎng)絡邊界?
術語網(wǎng)絡邊界和防火墻有時可以互換使用,盡管含義不同。網(wǎng)絡邊界是組織內(nèi)部網(wǎng)絡的邊緣。它是公司內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)等公共網(wǎng)絡或任何不受控制的外部網(wǎng)絡之間的邊界。
相比之下,防火墻是網(wǎng)絡邊界的一部分,其目標是在惡意流量從公共網(wǎng)絡跨越邊界進入組織的內(nèi)部網(wǎng)絡之前將其過濾掉。除防火墻外,網(wǎng)絡外圍的其他組件包括:
- 邊界路由器。邊界路由器是在兩個網(wǎng)絡中有腳的任何路由器:一個進入公共網(wǎng)絡,另一個進入公司的內(nèi)部網(wǎng)絡。邊界路由器引導流量進出公司的內(nèi)部網(wǎng)絡。它是網(wǎng)絡管理員在流量離開組織網(wǎng)絡之前可以訪問和管理的最后一個路由器。
- 入侵檢測系統(tǒng) (IDS)。IDS 是一種被動監(jiān)控組件(以硬件或軟件的形式實現(xiàn)),用于監(jiān)控網(wǎng)絡中的可疑活動、已知威脅或違反策略的行為。IDS 通過在發(fā)現(xiàn)此類活動時發(fā)送警報來自動報告此類活動。
- 入侵防御系統(tǒng) (IPS)。IPS 的運行方式與 IDS 非常相似,因為它還監(jiān)視網(wǎng)絡中的惡意活動和違反策略的行為。然而,與被動的傳統(tǒng) IDS 不同,IPS 可以在發(fā)現(xiàn)任何惡意活動或違反規(guī)則的情況下自動保護目標而無需任何網(wǎng)絡管理員干預。
- 非軍事區(qū) (DMZ)。DMZ 是位于公司內(nèi)部網(wǎng)絡和公共網(wǎng)絡之間的任何子網(wǎng)。它允許組織訪問不受信任的公共網(wǎng)絡,同時確保內(nèi)部網(wǎng)絡保持安全。
外圍防火墻如何工作?
作為抵御攻擊的主要防線,外圍防火墻采用不同的技術來控制組織網(wǎng)絡和不受信任的網(wǎng)絡之間的流量。讓我們討論其中的幾個。
靜態(tài)包過濾
靜態(tài)數(shù)據(jù)包過濾是防火墻根據(jù)數(shù)據(jù)包字段和網(wǎng)絡管理員的規(guī)則過濾流量的一種技術。靜態(tài)數(shù)據(jù)包過濾器檢查它收到的每個數(shù)據(jù)包并將其與 ACL 進行比較。然后,它根據(jù)規(guī)則指定的內(nèi)容接受或阻止進入組織網(wǎng)絡的流量。
靜態(tài)數(shù)據(jù)包過濾是最古老的防火墻技術之一,在開放系統(tǒng)互連 (OSI) 模型的第 3 層和第 4 層運行。因此,它無法區(qū)分應用層協(xié)議。它也無法防止欺騙攻擊。
基于代理的防火墻
基于代理的防火墻充當最終用戶和公共網(wǎng)絡之間的網(wǎng)關。主機連接到代理服務器,該代理服務器與公共網(wǎng)絡建立單獨的連接。在將數(shù)據(jù)包傳輸?shù)焦簿W(wǎng)絡之前,代理服務器可以過濾它們以強制執(zhí)行網(wǎng)絡策略。它還可以屏蔽最終用戶的 IP 地址,以保護其免受不受信任的網(wǎng)絡的影響。
狀態(tài)包檢測
狀態(tài)數(shù)據(jù)包檢測也稱為動態(tài)數(shù)據(jù)包過濾,它主動監(jiān)控網(wǎng)絡中的連接狀態(tài)。例如,通過維護活動連接的狀態(tài),如果數(shù)據(jù)包已經(jīng)過檢查,這些防火墻可以放棄對傳入流量的監(jiān)控。這樣,狀態(tài)數(shù)據(jù)包檢查器可以防止欺騙并提高網(wǎng)絡性能。
下一代防火墻 (NGFW)
典型的NGFW同時利用靜態(tài)數(shù)據(jù)包過濾和狀態(tài)檢測,并具有一些功能,包括深度數(shù)據(jù)包檢測 (DPI),以實現(xiàn)企業(yè)范圍的安全性。它還可能包含高級安全功能,例如網(wǎng)絡安全系統(tǒng)(IDS 和 IPS)、防病毒過濾和惡意軟件過濾,以進一步增強安全性。
使用防火墻有什么好處?
實施防火墻可以通過以下方式幫助組織:
- 監(jiān)控網(wǎng)絡流量。進出您的網(wǎng)絡的流量為可能危及您的運營的威脅創(chuàng)造了機會。監(jiān)控和分析網(wǎng)絡可以幫助您保護您的系統(tǒng)。
- 防止黑客攻擊。網(wǎng)絡犯罪分子繼續(xù)發(fā)動更復雜的攻擊和威脅。根據(jù) Internet 安全中心的數(shù)據(jù),2020 年大約70% 的違規(guī)事件是由外部黑客造成的。隨著報告的黑客事件急劇增加,外圍防火墻在防止外部黑客進入組織網(wǎng)絡方面變得比以往任何時候都更加重要。
- 防止病毒攻擊。惡意開發(fā)人員每天會制造數(shù)十萬個新病毒,其損害成本對組織來說非常高昂。外圍防火墻是有益的,因為它可以控制網(wǎng)絡的入口點并防止病毒攻擊。
- 防止間諜軟件。自從世界變成數(shù)據(jù)驅動以來,惡意個人已經(jīng)編寫了數(shù)十萬個間諜軟件來訪問網(wǎng)絡。實施外圍防火墻是阻止間諜軟件的第一步。
- 促進隱私。沒有組織喜歡其數(shù)據(jù)被盜,尤其是當它顯然可以采取措施防止入侵時。當您主動努力確保客戶數(shù)據(jù)的安全時,您就構建了一個客戶可以信任的環(huán)境。
