防火墙是一种计算机网络安全系统,用于限制互联网流量进入、流出或进入专用网络。该软件或专用硬件-软件单元通过选择性地阻止或允许数据包来发挥作用。它通常旨在防止任何人(无论是在专用网络内部还是外部)参与未经授权的 Web 活动,并帮助防止恶意活动。
什么是防火墙?
防火墙可以被视为门控边界或网关,用于管理专用网络中允许和禁止的 Web 活动的传播。该术语来自物理墙的概念,即物理墙是减缓火势蔓延的屏障,直到紧急服务能够将其扑灭。相比之下,网络安全防火墙用于网络流量管理——通常旨在减缓网络威胁的传播。
防火墙创建“阻塞点”来汇集网络流量,然后根据一组编程参数对其进行审查并据此采取行动。一些防火墙还跟踪审计日志中的流量和连接,以参考允许或阻止的内容。
防火墙通常用于封闭专用网络或其主机设备的边界。因此,防火墙是更广泛的用户访问控制类别中的一种安全工具。这些屏障通常设置在两个位置——网络上的专用计算机或用户计算机和其他端点本身(主机)。
谁发明了防火墙?
防火墙的发明应该被视为“正在进行的”。这是因为它在不断发展,并且有多个“创造者”参与了它的发展和发展。从 1980 年代后期到 90 年代中期,每个创建者都扩展了各种与防火墙相关的组件和版本,然后才成为所有现代防火墙的基础产品。
布赖恩·里德、保罗·维西和杰夫·莫古尔
在 1980 年代后期,Mogul、Reid 和 Vixie 各自在 Digital Equipment Corp (DEC) 担任开发包过滤技术的角色,该技术将在未来的防火墙中变得有价值。这导致了在外部连接与内部网络上的计算机联系之前审查外部连接的概念。虽然有些人可能将此数据包过滤器视为第一个防火墙,但它更像是一种组件技术,支持未来的“真正”防火墙系统。
大卫·普雷索托、贾纳丹·夏尔马、Kshitiji Nigam、William Cheswick 和 Steven Bellovin
80 年代末到 90 年代初,AT&T 贝尔实验室的各个工作人员研发了电路级网关防火墙的早期概念。这是第一个审查和允许正在进行的连接而不是在每个数据包后重复重新授权的防火墙。Presotto、Sharma 和 Nigam 从 1989 年到 1990 年开发了电路级网关,随后 Cheswick 和 Bellovin 在 1991 年开发了防火墙技术。
马库斯·拉纳姆
从 1991 年到 1992 年,Ranum 在 DEC 发明了安全代理,它成为第一个应用层防火墙产品的重要组成部分——1991 年基于代理的安全外部访问链路 (SEAL) 产品。这是 Reid、Vixie 和 Mogul 在 DEC 工作的扩展,并且是第一个商业发布的防火墙。
Gil Shwed 和 Nir Zuk
从 1993 年到 1994 年在 Check Point,公司创始人 Gil Shwed 和多产的开发人员 Nir Zuk 在开发第一个被广泛采用、用户友好的防火墙产品 Firewall-1 中发挥了重要作用。Gil Shwed 于 1993 年发明并申请了用于状态检查的美国专利。紧随其后的是 Nir Zuk 为 1994 年的 Firewall-1 开发了易于使用的图形界面,这对于在企业和家庭中更广泛地采用防火墙至关重要。可预见的未来。
这些发展对于塑造我们今天所知的防火墙产品至关重要,每一个都以某种身份用于许多网络安全解决方案。
为什么防火墙很重要
没有保护的网络很容易受到任何试图访问您系统的流量的影响。无论有害与否,都应始终审查网络流量。将个人电脑连接到其他 IT 系统或互联网开辟了一系列积极的可能性。与他人的轻松协作、整合资源和增强创造力的代价是完整的网络和设备保护。黑客、身份盗用、恶意软件和在线欺诈是用户通过将计算机连接到网络或互联网而暴露自己时可能面临的常见威胁。
一旦被恶意行为者发现,您的网络和设备就很容易被找到、快速访问并暴露在重复的威胁之下。全天候的互联网连接会增加这种风险(因为您的网络可以随时访问)。
使用任何类型的网络时,主动保护都至关重要。用户可以通过竖起一堵看不见的墙来过滤这些威胁,从而避免最严重的危险。幸运的是,一堵看不见的墙已经存在——它被称为防火墙。
防火墙是如何工作的?
防火墙决定允许哪些网络流量通过以及哪些流量被视为危险。它本质上是通过过滤掉好的坏的,或者从不可信的中过滤掉可信的来工作的。但是,在我们详细介绍之前,我们必须先了解基于 Web 的网络的结构,然后再解释防火墙如何在它们之间进行过滤。
防火墙旨在保护私有网络和其中的端点设备,称为网络主机。网络主机是与网络上的其他主机“对话”的设备。它们在内部网络之间发送和接收,以及在外部网络之间进行出站和入站。您的计算机和其他端点设备使用网络访问互联网 - 以及彼此。然而,为了安全和隐私,互联网被分割成子网或“子网”。
基本子网段如下:
- 外部公共网络通常是指公共/全球互联网或各种外联网。
- 内部专用网络定义了家庭网络、公司内部网和其他“封闭”网络。
- 外围网络详细说明了由堡垒主机组成的边界网络——计算机主机具有强化的安全性,可以承受外部攻击。作为内部和外部网络之间的安全缓冲区,它们也可用于容纳内部网络提供的任何面向外部的服务(即,用于 Web、邮件、FTP、VoIP 等的服务器)。这些比外部网络更安全,但不如内部网络安全。这些并不总是出现在像家庭网络这样的简单网络中,但可能经常用于组织或国家内部网。
筛选路由器是放置在网络上以对其进行分段的专用网关计算机。它们在网络级别被称为家庭防火墙。两种最常见的分段模型是屏蔽主机防火墙和屏蔽子网防火墙。
- 屏蔽主机防火墙在外部和内部网络之间使用单个屏蔽路由器,称为阻塞路由器。这些网络是该模型的两个子网。
- 屏蔽子网防火墙使用两个屏蔽路由器——一个称为外部网络和外围网络之间的访问路由器,另一个标记为外围网络和内部网络之间的阻塞路由器。这将分别创建三个子网。
如前所述,网络外围和主机本身都可以容纳防火墙。为此,它被放置在单台计算机及其与专用网络的连接之间。
- 网络防火墙涉及在外部网络和内部专用网络之间应用一个或多个防火墙。它们调节入站和出站网络流量,将外部公共网络(如全球互联网)与内部网络(如家庭 Wi-Fi 网络、企业 Intranet 或国家 Intranet)分开。网络防火墙可能以下列任何设备类型的形式出现:专用硬件、软件和虚拟。
- 主机防火墙或“软件防火墙”涉及在单个用户设备和其他专用网络端点上使用防火墙作为网络内设备之间的屏障。这些设备或主机接收进出特定计算机应用程序的流量的定制规则。主机防火墙可以作为操作系统服务或端点安全应用程序在本地设备上运行。主机防火墙还可以更深入地研究 Web 流量,基于 HTTP 和其他网络协议进行过滤,允许管理到达您机器的内容,而不仅仅是它来自哪里。
网络防火墙需要针对广泛的连接进行配置,而主机防火墙可以根据每台机器的需要进行定制。然而,主机防火墙需要更多的定制工作,这意味着基于网络的防火墙是全面控制解决方案的理想选择。但是同时在两个位置使用两个防火墙对于多层安全系统来说是理想的。
通过防火墙过滤流量利用预先设置或动态学习的规则来允许和拒绝尝试的连接。这些规则是防火墙如何调节通过您的专用网络和专用计算机设备的网络流量。无论类型如何,所有防火墙都可能通过以下某些混合进行过滤:
- 来源:尝试连接的位置。
- 目的地:尝试连接的目的地。
- 内容:连接尝试发送的内容。
- 数据包协议:尝试连接正在使用什么“语言”来传输其消息。在主机用来相互“交谈”的网络协议中,TCP/IP 是用于跨互联网和内部网/子网进行通信的主要协议。其他标准协议包括 IMCP 和 UDP。
- 应用协议:常用协议有HTTP、Telnet、FTP、DNS、SSH等。
源和目标通过互联网协议 (IP) 地址和端口进行通信。IP 地址是每个主机的唯一设备名称。端口是任何给定源和目标主机设备的子级别,类似于较大建筑物内的办公室。端口通常被分配特定用途,因此使用不常见端口或禁用端口的某些协议和 IP 地址可能是一个问题。
通过使用这些标识符,防火墙可以决定是丢弃尝试连接的数据包(静默丢弃还是将错误回复发送给发送者)或转发。
防火墙安全有什么作用?
网络安全防火墙的概念旨在将网络的攻击面缩小到单点接触。不是网络上的每台主机都直接暴露在更大的互联网上,而是所有流量都必须首先联系防火墙。由于这也反向工作,防火墙可以过滤和阻止未经允许的流量,进出。此外,防火墙用于创建尝试的网络连接的审计跟踪,以提高安全意识。
由于流量过滤可以是专用网络所有者建立的规则集,因此这为防火墙创建了自定义用例。流行的用例涉及管理以下内容:
- 来自恶意行为者的渗透:可以阻止来自行为异常的来源的不受欢迎的连接。这可以防止窃听和高级持续威胁 (APT)。
- 家长控制:家长可以阻止孩子查看露骨的网络内容。
- 工作场所网络浏览限制:雇主可以阻止员工使用公司网络访问非生产性服务和内容,例如社交媒体。
- 国家控制的内部网:国家政府可以阻止内部居民访问可能对国家领导层或其价值观持不同政见的网络内容和服务。
值得注意的是,防火墙在以下方面不是很有效:
- 识别合法网络进程的漏洞利用:防火墙不会预测人类意图,因此它们无法确定“合法”连接是否旨在用于恶意目的。例如,IP 地址欺诈(IP 欺骗)的发生是因为防火墙不验证源 IP 和目标 IP。
- 阻止不通过防火墙的连接:单独的网络级防火墙不会阻止恶意的内部活动。除了外围防火墙之外,还需要存在内部防火墙(例如基于主机的防火墙),以分区您的网络并减缓内部“火灾”的移动。
- 提供足够的病毒防护:虽然携带恶意代码的连接如果未列入白名单,可能会被停止,但被认为可接受的连接仍然可以将这些威胁传播到您的网络中。如果防火墙由于配置错误或被利用而忽略了连接,则仍需要防病毒保护套件来清除任何进入的恶意软件或病毒。
防火墙类型
不同类型的防火墙包含不同的过滤方法。虽然每种类型的防火墙都是为了超越前几代防火墙而开发的,但大部分核心技术已经在几代人之间传承了下来。
防火墙类型的区别在于它们的方法:
- 连接跟踪
- 过滤规则
- 审核日志
每种类型都在标准化通信模型的不同级别运行,即开放系统互连模型 (OSI)。该模型可以更好地了解每个防火墙如何与连接交互。
静态包过滤防火墙
静态包过滤防火墙,也称为无状态检测防火墙,在 OSI 网络层(第 3 层)运行。它们通过检查通过网络发送的所有单个数据包,根据它们来自哪里以及它们试图去哪里来提供基本过滤。值得注意的是,以前接受的连接不会被跟踪。这意味着每次发送的每个数据包都必须重新批准每个连接。
过滤基于 IP 地址、端口和数据包协议。这些防火墙至少可以防止两个网络在未经许可的情况下直接连接。
过滤规则是根据手动创建的访问控制列表设置的。这些非常严格,很难在不影响网络可用性的情况下适当地覆盖不需要的流量。静态过滤需要持续手动修改才能有效使用。这在小型网络上是可以管理的,但在大型网络上很难。
审计日志不适用于包过滤防火墙。这会使跟踪过去和正在进行的攻击变得具有挑战性,这对于大型网络来说并不理想。缺乏读取应用程序协议的能力意味着无法读取在数据包中传递的消息的内容。在不阅读内容的情况下,包过滤防火墙的保护质量有限。
电路级网关防火墙
电路级网关在传输层(第 4 层)上运行。这些防火墙在尝试的连接中检查功能数据包,如果运行良好,将允许两个网络之间的持久开放连接。发生这种情况后,防火墙将停止监督连接。
除了连接方法之外,电路级网关可以类似于代理防火墙。正在进行的不受监控的连接是危险的,因为合法的手段可以打开连接,然后允许恶意行为者不间断地进入。
状态检查防火墙
状态检查防火墙,也称为动态数据包过滤防火墙,与静态过滤相比,在监控正在进行的连接并记住过去的连接方面是独一无二的。与电路级防火墙类似,这些防火墙始于在传输层(第 4 层)上运行。如今,这些防火墙可以监控许多层,包括应用层(第 7 层)。
与静态过滤防火墙一样,状态检测防火墙根据技术属性(例如特定的数据包协议、IP 地址或端口)允许或阻止流量。但是,这些防火墙还使用状态表根据连接状态进行唯一跟踪和过滤。
此防火墙根据筛选路由器在状态表中记录的过去连接事件更新筛选规则。通常,过滤决策通常基于管理员在设置计算机和防火墙时的规则。然而,状态表允许这些动态防火墙根据之前“学习”的交互做出自己的决定。例如,过去造成中断的流量类型将在未来被过滤掉。状态检查的灵活性使其成为最普遍的防护类型之一。
代理防火墙
代理防火墙,也称为应用级防火墙(第 7 层),在读取和过滤应用协议方面是独一无二的。它们结合了应用程序级检查或“深度数据包检查 (DPI)”和状态检查。
代理防火墙尽可能接近实际的物理屏障。与其他类型的防火墙不同,它充当外部网络和内部主机计算机之间的另外两台主机,其中一台作为每个网络的代表(或“代理”)。
过滤基于应用程序级数据,而不仅仅是 IP 地址、端口和基本数据包协议(UDP、ICMP),如基于数据包的防火墙。阅读和理解 FTP、HTTP、DNS 和其他命令可以对许多不同的数据特征进行更深入的调查和交叉过滤。
作为门口的守卫,它本质上是查看和评估传入的数据。如果没有检测到问题,则允许数据传递给用户。这种高安全性的缺点是它有时会干扰不构成威胁的传入数据,从而导致功能延迟。
下一代防火墙 (NGFW)
不断演变的威胁继续需要更强大的解决方案,而下一代防火墙通过将传统防火墙的功能与网络入侵防御系统相结合来解决这个问题。
针对特定威胁的下一代防火墙旨在更精细地检查和识别特定危险,例如高级恶意软件。它们更常被企业和复杂的网络使用,它们提供了过滤危险的整体解决方案。
混合防火墙
顾名思义,混合防火墙在单个专用网络中使用两种或多种防火墙类型。
防火墙示例
在实践中,防火墙因其在现实世界中的应用而成为褒贬不一的话题。虽然防火墙成就历史悠久,但必须正确实施这种安全类型以避免漏洞利用。此外,众所周知,防火墙以有道德问题的方式使用。
中国防火墙,互联网审查
自 1998 年以来,中国已经建立了内部防火墙框架来创建其严密监控的内部网。从本质上讲,防火墙允许在一个国家内创建定制版本的全球互联网。他们通过阻止选择的服务和信息在这个国家内部网中被使用或访问来实现这一点。
国家监视和审查允许在保持政府形象的同时持续压制言论自由。此外,中国的防火墙允许其政府将互联网服务限制为本地公司。这使得对搜索引擎和电子邮件服务等事物的控制更容易监管,有利于政府的目标。自然地,中国内部一直在抗议这种审查制度。使用虚拟专用网络和代理来越过国家防火墙让许多人表达了他们的不满。
COVID-19 美国联邦机构因远程工作弱点而受到损害
2020 年,配置错误的防火墙只是导致匿名美国联邦机构违规的众多安全漏洞之一。
据信,一个民族国家行为者利用了美国机构网络安全中的一系列漏洞。在许多引用的安全问题中,正在使用的防火墙有许多不恰当地向流量开放的出站端口。除了维护不善之外,该机构的网络可能还面临远程工作的新挑战。一旦进入网络,攻击者的行为方式就表明了通过任何其他开放路径到达其他机构的明确意图。这种类型的努力不仅使被渗透的机构面临安全漏洞的风险,而且还使许多其他机构面临安全漏洞的风险。
美国电网运营商未打补丁的防火墙被利用
2019 年,一家美国电网运营提供商受到黑客利用的拒绝服务 (DoS) 漏洞的影响。外围网络上的防火墙在重启漏洞利用循环中卡住了大约十个小时。
它后来被认为是防火墙中已知但未修补的固件漏洞的结果。尚未实施在实施前检查更新的标准操作程序,但会导致更新延迟和不可避免的安全问题。幸运的是,安全问题并没有导致任何重大的网络渗透。这些事件是定期软件更新重要性的另一个有力指标。没有它们,防火墙是另一个可以被利用的网络安全系统。
如何使用防火墙保护
正确设置和维护防火墙对于保护网络和设备至关重要。
以下是一些指导您的防火墙安全实践的提示:
- 始终尽快更新您的防火墙:固件补丁可让您的防火墙针对任何新发现的漏洞进行更新。个人和家庭防火墙用户通常可以立即安全更新。较大的组织可能需要首先检查其网络的配置和兼容性。但是,每个人都应该有适当的流程来及时更新。
- 使用防病毒保护:防火墙本身并不能阻止病毒和其他感染。这些可能会通过防火墙保护,您需要一个旨在禁用和删除它们的安全解决方案。卡巴斯基全方位安全软件可以在您的个人设备上保护您,我们的众多企业安全解决方案可以保护您想要保持清洁的任何网络主机。
- 使用白名单限制可访问端口和主机:默认为入站流量拒绝连接。将入站和出站连接限制为受信任 IP 地址的严格白名单。减少用户对必需品的访问权限。通过在需要时启用访问来保持安全比在事件发生后撤销和减轻损害更容易。
- 分段网络:恶意行为者的横向移动显然是一种危险,可以通过限制内部交叉通信来减缓这种危险。
- 拥有活跃的网络冗余以避免停机:网络主机和其他基本系统的数据备份可以防止事件期间的数据丢失和生产力。