30 多年前,防火墙的概念进入了 IT 安全对话。即使在今天,该技术仍然在企业安全中发挥着至关重要的作用,促进不同网络之间的安全连接。作为一种在恶意流量从公共网络进入专用网络之前过滤掉恶意流量的机制,外围防火墙在过去几十年中已经确定了它的优点。与任何持久性技术一样,它显然催生了许多迭代。在这篇文章中了解外围防火墙如何防止网络入侵。
什么是外围防火墙?
外围防火墙是一种安全应用程序,用于保护组织的专用网络与 Internet 等公共网络之间的边界。您可以将外围防火墙作为软件、硬件或两者兼而有之,作为企业安全的第一道防线。实施后,外围防火墙会检查进出专用网络的数据包,并根据预先确定的规则允许或阻止它们。
这些规则(在访问控制列表 (ACL) 中定义)指定允许的网络名称、互联网协议 (IP) 地址和端口号。您可以配置这些规则来控制入站和出站流量,如下所示:
安装外围防火墙的主要目的是防范外部攻击。您还可以将它们安装在组织的网络中,以创建分段并阻止内部威胁。除了提供抵御攻击的第一道防线外,外围防火墙还可以记录日志记录和审计事件。网络管理员可以使用这些记录来识别用户模式并增强规则集。
什么是网络边界?
术语网络边界和防火墙有时可以互换使用,尽管含义不同。网络边界是组织内部网络的边缘。它是公司内部网络与互联网等公共网络或任何不受控制的外部网络之间的边界。
相比之下,防火墙是网络边界的一部分,其目标是在恶意流量从公共网络跨越边界进入组织的内部网络之前将其过滤掉。除防火墙外,网络外围的其他组件包括:
- 边界路由器。边界路由器是在两个网络中有脚的任何路由器:一个进入公共网络,另一个进入公司的内部网络。边界路由器引导流量进出公司的内部网络。它是网络管理员在流量离开组织网络之前可以访问和管理的最后一个路由器。
- 入侵检测系统 (IDS)。IDS 是一种被动监控组件(以硬件或软件的形式实现),用于监控网络中的可疑活动、已知威胁或违反策略的行为。IDS 通过在发现此类活动时发送警报来自动报告此类活动。
- 入侵防御系统 (IPS)。IPS 的运行方式与 IDS 非常相似,因为它还监视网络中的恶意活动和违反策略的行为。然而,与被动的传统 IDS 不同,IPS 可以在发现任何恶意活动或违反规则的情况下自动保护目标而无需任何网络管理员干预。
- 非军事区 (DMZ)。DMZ 是位于公司内部网络和公共网络之间的任何子网。它允许组织访问不受信任的公共网络,同时确保内部网络保持安全。
外围防火墙如何工作?
作为抵御攻击的主要防线,外围防火墙采用不同的技术来控制组织网络和不受信任的网络之间的流量。让我们讨论其中的几个。
静态包过滤
静态数据包过滤是防火墙根据数据包字段和网络管理员的规则过滤流量的一种技术。静态数据包过滤器检查它收到的每个数据包并将其与 ACL 进行比较。然后,它根据规则指定的内容接受或阻止进入组织网络的流量。
静态数据包过滤是最古老的防火墙技术之一,在开放系统互连 (OSI) 模型的第 3 层和第 4 层运行。因此,它无法区分应用层协议。它也无法防止欺骗攻击。
基于代理的防火墙
基于代理的防火墙充当最终用户和公共网络之间的网关。主机连接到代理服务器,该代理服务器与公共网络建立单独的连接。在将数据包传输到公共网络之前,代理服务器可以过滤它们以强制执行网络策略。它还可以屏蔽最终用户的 IP 地址,以保护其免受不受信任的网络的影响。
状态包检测
状态数据包检测也称为动态数据包过滤,它主动监控网络中的连接状态。例如,通过维护活动连接的状态,如果数据包已经过检查,这些防火墙可以放弃对传入流量的监控。这样,状态数据包检查器可以防止欺骗并提高网络性能。
下一代防火墙 (NGFW)
典型的NGFW同时利用静态数据包过滤和状态检测,并具有一些功能,包括深度数据包检测 (DPI),以实现企业范围的安全性。它还可能包含高级安全功能,例如网络安全系统(IDS 和 IPS)、防病毒过滤和恶意软件过滤,以进一步增强安全性。
使用防火墙有什么好处?
实施防火墙可以通过以下方式帮助组织:
- 监控网络流量。进出您的网络的流量为可能危及您的运营的威胁创造了机会。监控和分析网络可以帮助您保护您的系统。
- 防止黑客攻击。网络犯罪分子继续发动更复杂的攻击和威胁。根据 Internet 安全中心的数据,2020 年大约70% 的违规事件是由外部黑客造成的。随着报告的黑客事件急剧增加,外围防火墙在防止外部黑客进入组织网络方面变得比以往任何时候都更加重要。
- 防止病毒攻击。恶意开发人员每天会制造数十万个新病毒,其损害成本对组织来说非常高昂。外围防火墙是有益的,因为它可以控制网络的入口点并防止病毒攻击。
- 防止间谍软件。自从世界变成数据驱动以来,恶意个人已经编写了数十万个间谍软件来访问网络。实施外围防火墙是阻止间谍软件的第一步。
- 促进隐私。没有组织喜欢其数据被盗,尤其是当它显然可以采取措施防止入侵时。当您主动努力确保客户数据的安全时,您就构建了一个客户可以信任的环境。
