30 多年前,防火墻的概念進(jìn)入了 IT 安全對(duì)話。即使在今天,該技術(shù)仍然在企業(yè)安全中發(fā)揮著至關(guān)重要的作用,促進(jìn)不同網(wǎng)絡(luò)之間的安全連接。作為一種在惡意流量從公共網(wǎng)絡(luò)進(jìn)入專用網(wǎng)絡(luò)之前過(guò)濾掉惡意流量的機(jī)制,外圍防火墻在過(guò)去幾十年中已經(jīng)確定了它的優(yōu)點(diǎn)。與任何持久性技術(shù)一樣,它顯然催生了許多迭代。在這篇文章中了解外圍防火墻如何防止網(wǎng)絡(luò)入侵。
什么是外圍防火墻?
外圍防火墻是一種安全應(yīng)用程序,用于保護(hù)組織的專用網(wǎng)絡(luò)與 Internet 等公共網(wǎng)絡(luò)之間的邊界。您可以將外圍防火墻作為軟件、硬件或兩者兼而有之,作為企業(yè)安全的第一道防線。實(shí)施后,外圍防火墻會(huì)檢查進(jìn)出專用網(wǎng)絡(luò)的數(shù)據(jù)包,并根據(jù)預(yù)先確定的規(guī)則允許或阻止它們。
這些規(guī)則(在訪問(wèn)控制列表 (ACL) 中定義)指定允許的網(wǎng)絡(luò)名稱、互聯(lián)網(wǎng)協(xié)議 (IP) 地址和端口號(hào)。您可以配置這些規(guī)則來(lái)控制入站和出站流量,如下所示:
安裝外圍防火墻的主要目的是防范外部攻擊。您還可以將它們安裝在組織的網(wǎng)絡(luò)中,以創(chuàng)建分段并阻止內(nèi)部威脅。除了提供抵御攻擊的第一道防線外,外圍防火墻還可以記錄日志記錄和審計(jì)事件。網(wǎng)絡(luò)管理員可以使用這些記錄來(lái)識(shí)別用戶模式并增強(qiáng)規(guī)則集。
什么是網(wǎng)絡(luò)邊界?
術(shù)語(yǔ)網(wǎng)絡(luò)邊界和防火墻有時(shí)可以互換使用,盡管含義不同。網(wǎng)絡(luò)邊界是組織內(nèi)部網(wǎng)絡(luò)的邊緣。它是公司內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)或任何不受控制的外部網(wǎng)絡(luò)之間的邊界。
相比之下,防火墻是網(wǎng)絡(luò)邊界的一部分,其目標(biāo)是在惡意流量從公共網(wǎng)絡(luò)跨越邊界進(jìn)入組織的內(nèi)部網(wǎng)絡(luò)之前將其過(guò)濾掉。除防火墻外,網(wǎng)絡(luò)外圍的其他組件包括:
- 邊界路由器。邊界路由器是在兩個(gè)網(wǎng)絡(luò)中有腳的任何路由器:一個(gè)進(jìn)入公共網(wǎng)絡(luò),另一個(gè)進(jìn)入公司的內(nèi)部網(wǎng)絡(luò)。邊界路由器引導(dǎo)流量進(jìn)出公司的內(nèi)部網(wǎng)絡(luò)。它是網(wǎng)絡(luò)管理員在流量離開(kāi)組織網(wǎng)絡(luò)之前可以訪問(wèn)和管理的最后一個(gè)路由器。
- 入侵檢測(cè)系統(tǒng) (IDS)。IDS 是一種被動(dòng)監(jiān)控組件(以硬件或軟件的形式實(shí)現(xiàn)),用于監(jiān)控網(wǎng)絡(luò)中的可疑活動(dòng)、已知威脅或違反策略的行為。IDS 通過(guò)在發(fā)現(xiàn)此類活動(dòng)時(shí)發(fā)送警報(bào)來(lái)自動(dòng)報(bào)告此類活動(dòng)。
- 入侵防御系統(tǒng) (IPS)。IPS 的運(yùn)行方式與 IDS 非常相似,因?yàn)樗€監(jiān)視網(wǎng)絡(luò)中的惡意活動(dòng)和違反策略的行為。然而,與被動(dòng)的傳統(tǒng) IDS 不同,IPS 可以在發(fā)現(xiàn)任何惡意活動(dòng)或違反規(guī)則的情況下自動(dòng)保護(hù)目標(biāo)而無(wú)需任何網(wǎng)絡(luò)管理員干預(yù)。
- 非軍事區(qū) (DMZ)。DMZ 是位于公司內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的任何子網(wǎng)。它允許組織訪問(wèn)不受信任的公共網(wǎng)絡(luò),同時(shí)確保內(nèi)部網(wǎng)絡(luò)保持安全。
外圍防火墻如何工作?
作為抵御攻擊的主要防線,外圍防火墻采用不同的技術(shù)來(lái)控制組織網(wǎng)絡(luò)和不受信任的網(wǎng)絡(luò)之間的流量。讓我們討論其中的幾個(gè)。
靜態(tài)包過(guò)濾
靜態(tài)數(shù)據(jù)包過(guò)濾是防火墻根據(jù)數(shù)據(jù)包字段和網(wǎng)絡(luò)管理員的規(guī)則過(guò)濾流量的一種技術(shù)。靜態(tài)數(shù)據(jù)包過(guò)濾器檢查它收到的每個(gè)數(shù)據(jù)包并將其與 ACL 進(jìn)行比較。然后,它根據(jù)規(guī)則指定的內(nèi)容接受或阻止進(jìn)入組織網(wǎng)絡(luò)的流量。
靜態(tài)數(shù)據(jù)包過(guò)濾是最古老的防火墻技術(shù)之一,在開(kāi)放系統(tǒng)互連 (OSI) 模型的第 3 層和第 4 層運(yùn)行。因此,它無(wú)法區(qū)分應(yīng)用層協(xié)議。它也無(wú)法防止欺騙攻擊。
基于代理的防火墻
基于代理的防火墻充當(dāng)最終用戶和公共網(wǎng)絡(luò)之間的網(wǎng)關(guān)。主機(jī)連接到代理服務(wù)器,該代理服務(wù)器與公共網(wǎng)絡(luò)建立單獨(dú)的連接。在將數(shù)據(jù)包傳輸?shù)焦簿W(wǎng)絡(luò)之前,代理服務(wù)器可以過(guò)濾它們以強(qiáng)制執(zhí)行網(wǎng)絡(luò)策略。它還可以屏蔽最終用戶的 IP 地址,以保護(hù)其免受不受信任的網(wǎng)絡(luò)的影響。
狀態(tài)包檢測(cè)
狀態(tài)數(shù)據(jù)包檢測(cè)也稱為動(dòng)態(tài)數(shù)據(jù)包過(guò)濾,它主動(dòng)監(jiān)控網(wǎng)絡(luò)中的連接狀態(tài)。例如,通過(guò)維護(hù)活動(dòng)連接的狀態(tài),如果數(shù)據(jù)包已經(jīng)過(guò)檢查,這些防火墻可以放棄對(duì)傳入流量的監(jiān)控。這樣,狀態(tài)數(shù)據(jù)包檢查器可以防止欺騙并提高網(wǎng)絡(luò)性能。
下一代防火墻 (NGFW)
典型的NGFW同時(shí)利用靜態(tài)數(shù)據(jù)包過(guò)濾和狀態(tài)檢測(cè),并具有一些功能,包括深度數(shù)據(jù)包檢測(cè) (DPI),以實(shí)現(xiàn)企業(yè)范圍的安全性。它還可能包含高級(jí)安全功能,例如網(wǎng)絡(luò)安全系統(tǒng)(IDS 和 IPS)、防病毒過(guò)濾和惡意軟件過(guò)濾,以進(jìn)一步增強(qiáng)安全性。
使用防火墻有什么好處?
實(shí)施防火墻可以通過(guò)以下方式幫助組織:
- 監(jiān)控網(wǎng)絡(luò)流量。進(jìn)出您的網(wǎng)絡(luò)的流量為可能危及您的運(yùn)營(yíng)的威脅創(chuàng)造了機(jī)會(huì)。監(jiān)控和分析網(wǎng)絡(luò)可以幫助您保護(hù)您的系統(tǒng)。
- 防止黑客攻擊。網(wǎng)絡(luò)犯罪分子繼續(xù)發(fā)動(dòng)更復(fù)雜的攻擊和威脅。根據(jù) Internet 安全中心的數(shù)據(jù),2020 年大約70% 的違規(guī)事件是由外部黑客造成的。隨著報(bào)告的黑客事件急劇增加,外圍防火墻在防止外部黑客進(jìn)入組織網(wǎng)絡(luò)方面變得比以往任何時(shí)候都更加重要。
- 防止病毒攻擊。惡意開(kāi)發(fā)人員每天會(huì)制造數(shù)十萬(wàn)個(gè)新病毒,其損害成本對(duì)組織來(lái)說(shuō)非常高昂。外圍防火墻是有益的,因?yàn)樗梢钥刂凭W(wǎng)絡(luò)的入口點(diǎn)并防止病毒攻擊。
- 防止間諜軟件。自從世界變成數(shù)據(jù)驅(qū)動(dòng)以來(lái),惡意個(gè)人已經(jīng)編寫了數(shù)十萬(wàn)個(gè)間諜軟件來(lái)訪問(wèn)網(wǎng)絡(luò)。實(shí)施外圍防火墻是阻止間諜軟件的第一步。
- 促進(jìn)隱私。沒(méi)有組織喜歡其數(shù)據(jù)被盜,尤其是當(dāng)它顯然可以采取措施防止入侵時(shí)。當(dāng)您主動(dòng)努力確保客戶數(shù)據(jù)的安全時(shí),您就構(gòu)建了一個(gè)客戶可以信任的環(huán)境。
