媒體報道(dào)
公司動态 行業資訊 媒體報道(dào) 技術服務
整不明白這些!你敢說你真的(de)懂防火牆了?
發布時間:2023-05-16 閱讀: 分享

什麽是防火牆?


防火牆是一(yī)種監視(shì)網絡流量并檢測潛在威脅的(de)安全設備或程序,作為(wèi)一(yī)道(dào)保護屏障,它隻允許非威脅性流量進入,阻止危險流量進入。
 
防火牆是client-server模型中網絡安全的(de)基礎之一(yī),但它們容易受到以下方面的(de)攻擊:

  • 社會工程攻擊(例如(rú),有人竊取密碼并進行欺詐)。

  • 內(nèi)部威脅(例如(rú),內(nèi)網中的(de)某人故意更改防火牆設置)。

  • 人為(wèi)錯誤(例如(rú),員工忘記打開防火牆或忽略更新通知)。

QQ截圖20230515072820.jpg



防火牆是如(rú)何工作的(de)?

企業在網絡中設置內(nèi)聯防火牆,作為(wèi)外部源和(hé)受保護系統之間的(de)邊界。管理(lǐ)員創建阻塞點,防火牆在阻塞點檢查所有進出網絡的(de)數據包,包含:
 

  • 有效負載(實際內(nèi)容)。

  • 标頭(有關數據的(de)信息,例如(rú)誰發送了數據,發給了誰)。

防火牆根據預設規則分析數據包,以區分良性和(hé)惡意流量。這些規則集規定了防火牆如(rú)何檢查以下內(nèi)容:
 

  • 源IP和(hé)目的(de)IP 地(dì)址。

  • 有效負載中的(de)內(nèi)容。

  • 數據包協議(例如(rú),連接是否使用 TCP/IP 協議)。

  • 應用協議(HTTP、Telnet、FTP、DNS、SSH 等)。

  • 表明特定網絡攻擊的(de)數據模式。

 
防火牆阻止所有不符合規則的(de)數據包,并将安全數據包路由到預期的(de)接收者。當防火牆阻止流量進入網絡時,有兩種選擇:
 

  • 默默地(dì)放棄請求。

  • 向發件人發送error信息。

 
這兩種選擇都可(kě)以将危險流量排除在網絡之外。通常,安全團隊更喜歡默默放棄請求以限制信息,以防潛在的(de)黑客測試防火牆的(de)漏洞。
 
基于部署方式的(de)防火牆類型

根據部署方式,可(kě)以将防火牆分為(wèi)三種類型:硬件防火牆、軟件防火牆和(hé)基于雲的(de)防火牆。

QQ截圖20230515072841.jpg

軟件防火牆

軟件防火牆(或主機防火牆)直接安裝在主機設備上。這種類型的(de)防火牆隻保護一(yī)台機器(網絡終端、台式機、筆(bǐ)記本電腦、服務器等),因此管理(lǐ)員必須在他們想要保護的(de)每台設備上安裝一(yī)個版本的(de)軟件。
 
由于管理(lǐ)員将軟件防火牆附加到特定設備上,因此這些防火牆不可(kě)避免地(dì)會占用一(yī)些系統 RAM 和(hé) CPU,這在某些情況下是一(yī)個問題。
 
軟件防火牆的(de)優點:

  • 為(wèi)指定設備提供出色的(de)保護。

  • 将各個網絡端點彼此隔離(lí)。

  • 高(gāo)精度的(de)安全性,管理(lǐ)員可(kě)以完全控制允許的(de)程序。

  • 随時可(kě)用。

 
軟件防火牆的(de)缺點:

  • 消耗設備的(de) CPU、RAM 和(hé)存儲空間。

  • 需要為(wèi)每個主機設備配置。

  • 日常維護既困難又耗時。

  • 并非所有設備都與每個防火牆兼容,因此可(kě)能必須在同一(yī)網絡中使用不同的(de)解決方案。

硬件防火牆

硬件防火牆(或設備防火牆)是一(yī)個單獨的(de)硬件,用于過濾進出網絡的(de)流量。與軟件防火牆不同,這些獨立設備有自(zì)己的(de)資源,不會占用主機設備的(de)任何 CPU 或 RAM。
 
硬件防火牆相對更适合大型企業,中小型企業可(kě)能更多地(dì)會選擇在每台主機上安裝軟件防火牆的(de)方式,硬件防火牆對于擁有多個包含大量計算機的(de)子(zǐ)網的(de)大型組織來說是一(yī)個極好的(de)選擇。
 
硬件防火牆的(de)優點:

  • 使用一(yī)種解決方案保護多台設備。

  • 頂級邊界安全性,因為(wèi)惡意流量永遠不會到達主機設備。

  • 不消耗主機設備資源。

  • 管理(lǐ)員隻需為(wèi)整個網絡管理(lǐ)一(yī)個防火牆。

 
硬件防火牆的(de)缺點:

  • 比軟件防火牆更昂貴。

  • 內(nèi)部威脅是一(yī)個相當大的(de)弱點。

  • 與基于軟件的(de)防火牆相比,配置和(hé)管理(lǐ)需要更多的(de)技能。

基于雲的(de)防火牆

許多供應商提供基于雲的(de)防火牆,它們通過 Internet 按需提供。這些服務也稱為(wèi)防火牆即服務(FaaS),以IaaS 或 PaaS的(de)形式運行。
 
基于雲的(de)防火牆非常适用于:

  • 高(gāo)度分散的(de)業務。

  • 在安全資源方面存在缺口的(de)團隊。

  • 不具備必要的(de)內(nèi)部專業知識的(de)公司。

 
與基于硬件的(de)解決方案一(yī)樣,雲防火牆在邊界安全方面表現出色,同時也可(kě)以在每個主機的(de)基礎上設置這些系統。
 
雲防火牆的(de)優點:

  • 服務提供商處理(lǐ)所有管理(lǐ)任務(安裝、部署、修補、故障排除等)。

  • 用戶可(kě)以自(zì)由擴展雲資源以滿足流量負載。

  • 無需任何內(nèi)部硬件。

  • 高(gāo)可(kě)用性。

 
雲防火牆的(de)缺點:

  • 供應商究竟如(rú)何運行防火牆缺乏透明度。

  • 與其他基于雲的(de)服務一(yī)樣,這些防火牆很難遷移到新的(de)提供商。

  • 流量流經第三方可(kě)能會增加延遲和(hé)隐私問題。

  • 由于高(gāo)昂的(de)運營成本,從長(cháng)遠來看是比較貴的(de)。

 
基于操作方法的(de)防火牆類型

下面是基于功能和(hé) OSI 模型的(de)五種類型的(de)防火牆。
 

包過濾防火牆

包過濾防火牆充當網絡層的(de)檢查點,并将每個數據包的(de)标頭信息與一(yī)組預先建立的(de)标準進行比較。這些防火牆檢查以下基于标頭的(de)信息:
 

  • 目的(de)地(dì)址和(hé)源 IP 地(dì)址。

  • 數據包類型。

  • 端口号。

  • 網絡協議。

 
這些類型的(de)防火牆僅分析表面的(de)細節,不會打開數據包來檢查其有效負載。包過濾防火牆在不考慮現有流量的(de)情況下真空檢查每個數據包。 包過濾防火牆非常适合隻需要基本安全功能來抵禦既定威脅的(de)小型組織。
 
包過濾防火牆的(de)優點:

  • 低(dī)成本。

  • 快速包過濾和(hé)處理(lǐ)。

  • 擅長(cháng)篩選內(nèi)部部門之間的(de)流量。

  • 低(dī)資源消耗。

  • 對網絡速度和(hé)最終用戶體驗的(de)影響最小。

  • 多層防火牆策略中出色的(de)第一(yī)道(dào)防線。

 
包過濾防火牆的(de)缺點:

  • 不檢查數據包有效負載(實際數據)。

  • 對于有經驗的(de)黑客來說很容易繞過。

  • 無法在應用層進行過濾。

  • 容易受到 IP 欺騙攻擊,因為(wèi)它單獨處理(lǐ)每個數據包。

  • 沒有用戶身份驗證或日志記錄功能。       

  • 訪問控制列表的(de)設置和(hé)管理(lǐ)具有挑戰性。

電路級網關

電路級網關在 OSI 會話層運行,并監視(shì)本地(dì)和(hé)遠程主機之間的(de)TCP(傳輸控制協議)握手。其可(kě)以在不消耗大量資源的(de)情況下快速批準或拒絕流量。但是,這些系統不檢查數據包,因此如(rú)果 TCP 握手通過,即使是感染了惡意軟件的(de)請求也可(kě)以訪問。
 
電路級網關的(de)優點:

  • 僅處理(lǐ)請求的(de)事務,并拒絕所有其他流量。

  • 易于設置和(hé)管理(lǐ)。

  • 資源和(hé)成本效益。

  • 強大的(de)地(dì)址暴露保護。

  • 對最終用戶體驗的(de)影響最小。

 
電路級網關的(de)缺點:

  • 不是一(yī)個獨立的(de)解決方案,因為(wèi)沒有內(nèi)容過濾。

  • 通常需要對軟件和(hé)網絡協議進行調整。

狀态檢測防火牆

狀态檢測防火牆(或動态包過濾防火牆)在網絡層和(hé)傳輸層監控傳入和(hé)傳出的(de)數據包。這類防火牆結合了數據包檢測和(hé) TCP 握手驗證。
 
狀态檢測防火牆維護一(yī)個表數據庫,該數據庫跟蹤所有打開的(de)連接使系統能夠檢查現有的(de)流量流。該數據庫存儲所有與關鍵數據包相關的(de)信息,包括:
 

  • 源IP。

  • 源端口。

  • 目的(de) IP。

  • 每個連接的(de)目标端口。

 
當一(yī)個新數據包到達時,防火牆檢查有效連接表。檢測過的(de)數據包無需進一(yī)步分析即可(kě)通過,而防火牆會根據預設規則集評估不匹配的(de)流量。
 
狀态檢測防火牆的(de)優點:

  • 過濾流量時會自(zì)動通過以前檢查過的(de)數據包。

  • 在阻止利用協議缺陷的(de)攻擊方面表現出色。

  • 無需打開大量端口來讓流量進出,這可(kě)以縮小攻擊面。

  • 詳細的(de)日志記錄功能,有助于數字取證。

  • 減少對端口掃描器的(de)暴露。

 
狀态檢測防火牆的(de)缺點:

  • 比包過濾防火牆更昂貴。

  • 需要高(gāo)水平的(de)技能才能正确設置。

  • 通常會影響性能并導緻網絡延遲。

  • 不支持驗證欺騙流量源的(de)身份驗證。

  • 容易受到利用預先建立連接的(de) TCP Flood攻擊。

代理(lǐ)防火牆

代理(lǐ)防火牆(或應用級網關)充當內(nèi)部和(hé)外部系統之間的(de)中介。這類防火牆會在客戶端請求發送到主機之前對其進行屏蔽,從而保護網絡。
 
代理(lǐ)防火牆在應用層運行,具有深度包檢測 (DPI)功能,可(kě)以檢查傳入流量的(de)有效負載和(hé)标頭。
 
當客戶端發送訪問網絡的(de)請求時,消息首先到達代理(lǐ)服務器。

防火牆會檢查以下內(nèi)容:

  • 客戶端和(hé)防火牆後面的(de)設備之間的(de)先前通信(如(rú)果有的(de)話)。

  • 标頭信息。

  • 內(nèi)容本身。

 
然後代理(lǐ)屏蔽該請求并将消息轉發到Web 服務器。此過程隐藏了客戶端的(de) ID。服務器響應并将請求的(de)數據發送給代理(lǐ),之後防火牆将信息傳遞給原始客戶端。
 
代理(lǐ)防火牆是企業保護 Web應用免受惡意用戶攻擊的(de)首選。
 
代理(lǐ)防火牆的(de)優點:

  • DPI檢查數據包标頭和(hé)有效負載 。

  • 在客戶端和(hé)網絡之間添加了一(yī)個額外的(de)隔離(lí)層。

  • 對潛在威脅行為(wèi)者隐藏內(nèi)部 IP 地(dì)址。

  • 檢測并阻止網絡層不可(kě)見的(de)攻擊。

  • 對網絡流量進行細粒度的(de)安全控制。

  • 解除地(dì)理(lǐ)位置限制。

 
代理(lǐ)防火牆的(de)缺點:

  • 由于徹底的(de)數據包檢查和(hé)額外的(de)通信步驟,會導緻延遲增加。

  • 由于處理(lǐ)開銷高(gāo),不如(rú)其他類型的(de)防火牆成本低(dī)。

  • 設置和(hé)管理(lǐ)具有挑戰性。

  • 不兼容所有網絡協議。

下一(yī)代防火牆

下一(yī)代防火牆(NGFW)是将其他防火牆的(de)多種功能集成在一(yī)起的(de)安全設備或程序。這樣的(de)系統提供:
 

  • 分析流量內(nèi)容的(de)深度數據包檢測(DPI)。

  • TCP 握手檢查。

  • 表層數據包檢測。

 
下一(yī)代防火牆還包括額外的(de)網絡安全措施,例如(rú):

  • IDS 和(hé) IPS。

  • 惡意軟件掃描和(hé)過濾。

  • 高(gāo)級威脅情報(模式匹配、基于協議的(de)檢測、基于異常的(de)檢測等)

  • 防病毒程序。

  • 網絡地(dì)址轉換 (NAT)。

  • 服務質量 (QoS)功能。

  • SSH檢查。

 
NGFW 是醫療保健或金融等受到嚴格監管的(de)行業的(de)常見選擇。
 
下一(yī)代防火牆的(de)優點:

  • 将傳統防火牆功能與高(gāo)級網絡安全功能相結合。

  • 檢查從數據鏈路層到應用層的(de)網絡流量。

  • 日志記錄功能。

 
下一(yī)代防火牆的(de)缺點:

  • 比其他防火牆更昂貴。

  • 存在單點故障。

  • 部署時間緩慢。

  • 需要高(gāo)度的(de)專業知識才能設置和(hé)運行。

  • 影響網絡性能。

 
任何一(yī)個保護層,無論多麽強大,都不足以完全保護你的(de)業務。企業往往會在同一(yī)個網絡中設置多個防火牆,選擇理(lǐ)想的(de)防火牆首先要了解企業網絡的(de)架構和(hé)功能,确定這些不同類型的(de)防火牆和(hé)防火牆策略哪個最适合自(zì)己。通常情況下,企業網絡應該設置多層防火牆,既在外圍保護又在網絡上分隔不同的(de)資産,從而使你的(de)網絡更難破解。



上一(yī)篇:湖州安全新模式亮(liàng)相2023年(nián)西湖論劍·網絡安全大會 上一(yī)篇:最全的(de)網絡運營推廣方案,趕快點贊收藏 返回列表
13905190502 南京市玄武區洪武北路188号長(cháng)發數碼大廈11樓E座
友情鏈接
百度 網絡安全和(hé)信息化委員會 FreeBuf網絡安全行業門戶

分享:
Copyright © 2020-2022 南京明科網絡科技有限公司 版權所有  
技術支持:飛(fēi)酷網絡