防火墙是重要的安全层,充当专用网络与外部世界之间的屏障。从第一代无状态防火墙到下一代防火墙,防火墙架构在过去四十年中发生了巨大的变化。如今,组织可以在多种类型的防火墙之间进行选择,包括应用程序级网关(代理防火墙)、状态检测防火墙和电路级网关,甚至可以同时使用多种类型的防火墙来实现深层、全面的安全解决方案。了解有关各种类型防火墙的基础知识、它们之间的区别以及每种类型如何以不同方式保护您的网络。
什么是防火墙,它的用途是什么?
防火墙是一种安全工具,可监控传入和/或传出网络流量,以根据预定义规则检测和阻止恶意数据包,只允许合法流量进入您的专用网络。作为硬件、软件或两者实施的防火墙通常是您抵御恶意软件、病毒和试图进入您组织的内部网络和系统的攻击者的第一道防线。
就像建筑物主入口处的金属探测器门一样,物理或硬件防火墙会在让每个数据包进入之前对其进行检查。它会检查源地址和目标地址,并根据预定义的规则确定数据包是否应该进入通过与否。一旦数据包进入您组织的内部网,软件防火墙可以进一步过滤流量以允许或阻止访问计算机系统上的特定端口和应用程序,从而更好地控制和保护内部威胁。
访问控制列表可以定义不可信任的特定互联网协议 (IP) 地址。防火墙将丢弃来自这些 IP 的任何数据包。或者,访问控制列表可以指定可信源 IP,防火墙将只允许来自那些列出的 IP 的流量。设置防火墙的技术有多种。它们提供的安全范围通常还取决于防火墙的类型及其配置。
软件和硬件防火墙
在结构上,防火墙可以是软件、硬件或两者的组合。
软件防火墙
软件防火墙单独安装在各个设备上。它们提供更精细的控制,允许访问一个应用程序或功能,同时阻止其他应用程序或功能。但它们在资源方面可能很昂贵,因为它们会利用安装它们的设备的 CPU 和 RAM,并且管理员必须为每台设备单独配置和管理它们。此外,Intranet 中的所有设备可能不与单个软件防火墙兼容,并且可能需要多个不同的防火墙。
硬件防火墙
另一方面,硬件防火墙是物理设备,每个都有自己的计算资源。它们充当内部网络和 Internet 之间的网关,将数据包和流量请求从私有网络之外的不受信任的来源保留下来。物理防火墙对于同一网络上有许多设备的组织来说很方便。虽然它们在恶意流量到达任何端点之前就将其阻止,但它们不提供针对内部攻击的安全性。因此,软件和硬件防火墙的组合可以为您组织的网络提供最佳保护。
四种类型的防火墙
防火墙也根据它们的操作方式进行分类,每种类型都可以设置为软件或物理设备。根据它们的操作方法,有四种不同类型的防火墙。
1. 包过滤防火墙
包过滤防火墙是最古老、最基本的防火墙类型。它们在网络层运行,根据预定义的规则检查数据包的源 IP 和目标 IP、协议、源端口和目标端口,以确定是通过还是丢弃数据包。数据包过滤防火墙本质上是无状态的,独立监控每个数据包,而不会对已建立的连接或之前通过该连接的数据包进行任何跟踪。这使得这些防火墙抵御高级威胁和攻击的能力非常有限。
包过滤防火墙快速、便宜且有效。但是它们提供的安全性非常基本。由于这些防火墙无法检查数据包的内容,因此它们无法防范来自可信源 IP 的恶意数据包。由于是无状态的,它们也容易受到源路由攻击和微小碎片攻击。但是,尽管功能最少,但包过滤防火墙为提供更强大和更深入安全性的现代防火墙铺平了道路。
2. 电路级网关
在会话层工作,电路级网关验证已建立的传输控制协议 (TCP) 连接并跟踪活动会话。它们与数据包过滤防火墙非常相似,因为它们执行单一检查并使用最少的资源。但是,它们在开放系统互连 (OSI) 模型的更高层起作用。首先,它们确定已建立连接的安全性。当内部设备发起与远程主机的连接时,电路级网关代表内部设备建立虚拟连接,以隐藏内部用户的身份和 IP 地址。
电路级网关具有成本效益、简单、几乎不影响网络性能。然而,它们无法检查数据包的内容,这使得它们本身就是一个不完整的安全解决方案。包含恶意软件的数据包如果具有合法的 TCP 握手,则可以轻松绕过电路级网关。这就是为什么另一种类型的防火墙通常配置在电路级网关之上以提供额外保护的原因。
3. 状态检测防火墙
领先于电路级网关、状态检查防火墙以及验证和跟踪已建立连接的步骤还执行数据包检查,以提供更好、更全面的安全性。它们的工作方式是在建立连接后创建一个包含源 IP、目标 IP、源端口和目标端口的状态表。他们动态创建自己的规则以允许预期的传入网络流量,而不是依赖基于此信息的一组硬编码规则。它们可以方便地丢弃不属于经过验证的活动连接的数据包。
状态检测防火墙检查合法连接以及源和目标 IP 以确定哪些数据包可以通过。尽管这些额外的检查提供了高级安全性,但它们会消耗大量系统资源并且会大大降低流量。因此,它们很容易受到 DDoS(分布式拒绝服务攻击)。
4. 应用级网关(代理防火墙)
应用层网关,又称代理防火墙,是通过代理设备在应用层实现的。连接是通过代理防火墙建立的,而不是外部人员直接访问您的内部网络。外部客户端向代理防火墙发送请求。在验证请求的真实性后,代理防火墙代表客户端将其转发到其中一个内部设备或服务器。或者,内部设备可以请求访问网页,代理设备将转发该请求,同时隐藏内部设备和网络的身份和位置。
与数据包过滤防火墙不同,代理防火墙执行状态和深度数据包检查,以根据一组用户定义的规则分析数据包的上下文和内容。根据结果??,他们要么允许要么丢弃数据包。它们通过阻止内部系统和外部网络之间的直接连接来保护敏感资源的身份和位置。但是,配置它们以实现最佳网络保护可能很棘手。您还必须牢记权衡——代理防火墙本质上是主机和客户端之间的额外屏障,会导致相当大的速度下降。
哪种类型的防火墙最适合我的组织?
没有一种万能的解决方案可以满足每个组织的独特安全需求。每种不同类型的防火墙都有其优点和局限性。数据包过滤防火墙简单但提供有限的安全性,而状态检查和代理防火墙可能会损害网络性能。下一代防火墙似乎是一个完整的包,但并非所有组织都有预算或资源来成功配置和管理它们。
随着攻击变得越来越复杂,您的组织的安全防御必须迎头赶上。保护内部网络外围免受外部威胁的单个防火墙是不够的。专用网络中的每项资产也需要自己的个人保护。最好采用分层的安全方法,而不是依赖单个防火墙的功能。当您可以在专为您组织的安全需求优化的架构中利用多个防火墙的优势时,为什么还要选择一个。
什么是下一代防火墙?
下一代防火墙 (NGFW) 旨在克服传统防火墙的局限性,同时提供一些额外的安全功能。尽管具有灵活的功能和体系结构,真正使防火墙成为下一代的是除了端口/协议和表面层数据包检测之外,它还能够执行深度数据包检测。根据Gartner的说法,虽然没有具体的、公认的定义,但下一代防火墙是“一种深度数据包检测防火墙,它超越了端口/协议检测和阻止,增加了应用程序级检测、入侵防御,并带来情报从防火墙外。”
下一代防火墙在不影响网络性能的情况下将其他类型防火墙的功能组合到一个解决方案中。它们比它们的任何前辈都更强大,并提供更广泛和更深入的安全性。除了执行深度数据包检查以检测异常和恶意软件之外,NGFW 还具有用于智能流量和资源分析的应用程序感知功能。这些防火墙完全能够阻止 DDoS 攻击。它们具有安全套接字层 (SSL) 解密功能,以获得跨应用程序的完全可见性,使它们能够识别和阻止来自加密应用程序的数据泄露企图。
下一代防火墙可以识别用户和用户角色,但它们的前身主要依赖于系统的 IP 地址。这一突破性功能使用户能够利用无线便携式设备,同时在灵活的工作环境和自带设备 (BYOD) 策略中提供广谱安全性。它们还可能结合其他技术,例如防病毒和入侵防御系统 (IPS),以提供更全面的安全方法。
下一代防火墙适用于需要遵守健康保险流通与责任法案 (HIPAA) 或支付卡行业 (PCI) 规则的企业,或者需要将多种安全功能集成到单一解决方案中的企业。但它们的价格确实高于其他类型的防火墙,并且根据您选择的防火墙,您的管理员可能需要为它们配置其他安全系统。