防火墻是重要的安全層,充當專用網絡與外部世界之間的屏障。從第一代無狀態防火墻到下一代防火墻,防火墻架構在過去四十年中發生了巨大的變化。如今,組織可以在多種類型的防火墻之間進行選擇,包括應用程序級網關(代理防火墻)、狀態檢測防火墻和電路級網關,甚至可以同時使用多種類型的防火墻來實現深層、全面的安全解決方案。了解有關各種類型防火墻的基礎知識、它們之間的區別以及每種類型如何以不同方式保護您的網絡。
什么是防火墻,它的用途是什么?
防火墻是一種安全工具,可監控傳入和/或傳出網絡流量,以根據預定義規則檢測和阻止惡意數據包,只允許合法流量進入您的專用網絡。作為硬件、軟件或兩者實施的防火墻通常是您抵御惡意軟件、病毒和試圖進入您組織的內部網絡和系統的攻擊者的第一道防線。
就像建筑物主入口處的金屬探測器門一樣,物理或硬件防火墻會在讓每個數據包進入之前對其進行檢查。它會檢查源地址和目標地址,并根據預定義的規則確定數據包是否應該進入通過與否。一旦數據包進入您組織的內部網,軟件防火墻可以進一步過濾流量以允許或阻止訪問計算機系統上的特定端口和應用程序,從而更好地控制和保護內部威脅。
訪問控制列表可以定義不可信任的特定互聯網協議 (IP) 地址。防火墻將丟棄來自這些 IP 的任何數據包。或者,訪問控制列表可以指定可信源 IP,防火墻將只允許來自那些列出的 IP 的流量。設置防火墻的技術有多種。它們提供的安全范圍通常還取決于防火墻的類型及其配置。
軟件和硬件防火墻
在結構上,防火墻可以是軟件、硬件或兩者的組合。
軟件防火墻
軟件防火墻單獨安裝在各個設備上。它們提供更精細的控制,允許訪問一個應用程序或功能,同時阻止其他應用程序或功能。但它們在資源方面可能很昂貴,因為它們會利用安裝它們的設備的 CPU 和 RAM,并且管理員必須為每臺設備單獨配置和管理它們。此外,Intranet 中的所有設備可能不與單個軟件防火墻兼容,并且可能需要多個不同的防火墻。
硬件防火墻
另一方面,硬件防火墻是物理設備,每個都有自己的計算資源。它們充當內部網絡和 Internet 之間的網關,將數據包和流量請求從私有網絡之外的不受信任的來源保留下來。物理防火墻對于同一網絡上有許多設備的組織來說很方便。雖然它們在惡意流量到達任何端點之前就將其阻止,但它們不提供針對內部攻擊的安全性。因此,軟件和硬件防火墻的組合可以為您組織的網絡提供最佳保護。
四種類型的防火墻
防火墻也根據它們的操作方式進行分類,每種類型都可以設置為軟件或物理設備。根據它們的操作方法,有四種不同類型的防火墻。
1. 包過濾防火墻
包過濾防火墻是最古老、最基本的防火墻類型。它們在網絡層運行,根據預定義的規則檢查數據包的源 IP 和目標 IP、協議、源端口和目標端口,以確定是通過還是丟棄數據包。數據包過濾防火墻本質上是無狀態的,獨立監控每個數據包,而不會對已建立的連接或之前通過該連接的數據包進行任何跟蹤。這使得這些防火墻抵御高級威脅和攻擊的能力非常有限。
包過濾防火墻快速、便宜且有效。但是它們提供的安全性非常基本。由于這些防火墻無法檢查數據包的內容,因此它們無法防范來自可信源 IP 的惡意數據包。由于是無狀態的,它們也容易受到源路由攻擊和微小碎片攻擊。但是,盡管功能最少,但包過濾防火墻為提供更強大和更深入安全性的現代防火墻鋪平了道路。
2. 電路級網關
在會話層工作,電路級網關驗證已建立的傳輸控制協議 (TCP) 連接并跟蹤活動會話。它們與數據包過濾防火墻非常相似,因為它們執行單一檢查并使用最少的資源。但是,它們在開放系統互連 (OSI) 模型的更高層起作用。首先,它們確定已建立連接的安全性。當內部設備發起與遠程主機的連接時,電路級網關代表內部設備建立虛擬連接,以隱藏內部用戶的身份和 IP 地址。
電路級網關具有成本效益、簡單、幾乎不影響網絡性能。然而,它們無法檢查數據包的內容,這使得它們本身就是一個不完整的安全解決方案。包含惡意軟件的數據包如果具有合法的 TCP 握手,則可以輕松繞過電路級網關。這就是為什么另一種類型的防火墻通常配置在電路級網關之上以提供額外保護的原因。
3. 狀態檢測防火墻
領先于電路級網關、狀態檢查防火墻以及驗證和跟蹤已建立連接的步驟還執行數據包檢查,以提供更好、更全面的安全性。它們的工作方式是在建立連接后創建一個包含源 IP、目標 IP、源端口和目標端口的狀態表。他們動態創建自己的規則以允許預期的傳入網絡流量,而不是依賴基于此信息的一組硬編碼規則。它們可以方便地丟棄不屬于經過驗證的活動連接的數據包。
狀態檢測防火墻檢查合法連接以及源和目標 IP 以確定哪些數據包可以通過。盡管這些額外的檢查提供了高級安全性,但它們會消耗大量系統資源并且會大大降低流量。因此,它們很容易受到 DDoS(分布式拒絕服務攻擊)。
4. 應用級網關(代理防火墻)
應用層網關,又稱代理防火墻,是通過代理設備在應用層實現的。連接是通過代理防火墻建立的,而不是外部人員直接訪問您的內部網絡。外部客戶端向代理防火墻發送請求。在驗證請求的真實性后,代理防火墻代表客戶端將其轉發到其中一個內部設備或服務器。或者,內部設備可以請求訪問網頁,代理設備將轉發該請求,同時隱藏內部設備和網絡的身份和位置。
與數據包過濾防火墻不同,代理防火墻執行狀態和深度數據包檢查,以根據一組用戶定義的規則分析數據包的上下文和內容。根據結果??,他們要么允許要么丟棄數據包。它們通過阻止內部系統和外部網絡之間的直接連接來保護敏感資源的身份和位置。但是,配置它們以實現最佳網絡保護可能很棘手。您還必須牢記權衡——代理防火墻本質上是主機和客戶端之間的額外屏障,會導致相當大的速度下降。
哪種類型的防火墻最適合我的組織?
沒有一種萬能的解決方案可以滿足每個組織的獨特安全需求。每種不同類型的防火墻都有其優點和局限性。數據包過濾防火墻簡單但提供有限的安全性,而狀態檢查和代理防火墻可能會損害網絡性能。下一代防火墻似乎是一個完整的包,但并非所有組織都有預算或資源來成功配置和管理它們。
隨著攻擊變得越來越復雜,您的組織的安全防御必須迎頭趕上。保護內部網絡外圍免受外部威脅的單個防火墻是不夠的。專用網絡中的每項資產也需要自己的個人保護。最好采用分層的安全方法,而不是依賴單個防火墻的功能。當您可以在專為您組織的安全需求優化的架構中利用多個防火墻的優勢時,為什么還要選擇一個。
什么是下一代防火墻?
下一代防火墻 (NGFW) 旨在克服傳統防火墻的局限性,同時提供一些額外的安全功能。盡管具有靈活的功能和體系結構,真正使防火墻成為下一代的是除了端口/協議和表面層數據包檢測之外,它還能夠執行深度數據包檢測。根據Gartner的說法,雖然沒有具體的、公認的定義,但下一代防火墻是“一種深度數據包檢測防火墻,它超越了端口/協議檢測和阻止,增加了應用程序級檢測、入侵防御,并帶來情報從防火墻外。”
下一代防火墻在不影響網絡性能的情況下將其他類型防火墻的功能組合到一個解決方案中。它們比它們的任何前輩都更強大,并提供更廣泛和更深入的安全性。除了執行深度數據包檢查以檢測異常和惡意軟件之外,NGFW 還具有用于智能流量和資源分析的應用程序感知功能。這些防火墻完全能夠阻止 DDoS 攻擊。它們具有安全套接字層 (SSL) 解密功能,以獲得跨應用程序的完全可見性,使它們能夠識別和阻止來自加密應用程序的數據泄露企圖。
下一代防火墻可以識別用戶和用戶角色,但它們的前身主要依賴于系統的 IP 地址。這一突破性功能使用戶能夠利用無線便攜式設備,同時在靈活的工作環境和自帶設備 (BYOD) 策略中提供廣譜安全性。它們還可能結合其他技術,例如防病毒和入侵防御系統 (IPS),以提供更全面的安全方法。
下一代防火墻適用于需要遵守健康保險流通與責任法案 (HIPAA) 或支付卡行業 (PCI) 規則的企業,或者需要將多種安全功能集成到單一解決方案中的企業。但它們的價格確實高于其他類型的防火墻,并且根據您選擇的防火墻,您的管理員可能需要為它們配置其他安全系統。
