整不明(míng)白(bái)這(zhè)些(xiē)！你(nǐ)敢說你(nǐ)真的懂防火牆了(le)？

媒體報(bào)道(dào): 公司動态行業資訊媒體報(bào)道(dào) 技術服務

整不明(míng)白(bái)這(zhè)些(xiē)！你(nǐ)敢說你(nǐ)真的懂防火牆了(le)？

發布時(shí)間：2023-05-16 閱讀：分享

什(shén)麽是防火牆？

防火牆是一種監視(shì)網絡流量并檢測潛在威脅的安全設備或程序，作(zuò)爲一道(dào)保護屏障，它隻允許非威脅性流量進入，阻止危險流量進入。

防火牆是client-server模型中網絡安全的基礎之一，但(dàn)它們容易受到(dào)以下(xià)方面的攻擊:

社會(huì)工(gōng)程攻擊（例如，有人竊取密碼并進行欺詐）。
内部威脅（例如，内網中的某人故意更改防火牆設置）。
人爲錯誤（例如，員工(gōng)忘記打開(kāi)防火牆或忽略更新通知(zhī)）。

QQ截圖20230515072820.jpg

防火牆是如何工(gōng)作(zuò)的？

企業在網絡中設置内聯防火牆，作(zuò)爲外(wài)部源和(hé)受保護系統之間的邊界。管理(lǐ)員創建阻塞點，防火牆在阻塞點檢查所有進出網絡的數據包，包含:

有效負載（實際内容）。
标頭（有關數據的信息，例如誰發送了(le)數據，發給了(le)誰）。

防火牆根據預設規則分析數據包，以區(qū)分良性和(hé)惡意流量。這(zhè)些(xiē)規則集規定了(le)防火牆如何檢查以下(xià)内容：

源IP和(hé)目的IP 地址。
有效負載中的内容。
數據包協議(yì)（例如，連接是否使用(yòng) TCP/IP 協議(yì)）。
應用(yòng)協議(yì)（HTTP、Telnet、FTP、DNS、SSH 等）。
表明(míng)特定網絡攻擊的數據模式。

防火牆阻止所有不符合規則的數據包，并将安全數據包路由到(dào)預期的接收者。當防火牆阻止流量進入網絡時(shí)，有兩種選擇：

默默地放(fàng)棄請(qǐng)求。
向發件人發送error信息。

這(zhè)兩種選擇都可以将危險流量排除在網絡之外(wài)。通常，安全團隊更喜歡默默放(fàng)棄請(qǐng)求以限制信息，以防潛在的黑客測試防火牆的漏洞。

基于部署方式的防火牆類型

根據部署方式，可以将防火牆分爲三種類型：硬件防火牆、軟件防火牆和(hé)基于雲的防火牆。

QQ截圖20230515072841.jpg

軟件防火牆

軟件防火牆（或主機防火牆）直接安裝在主機設備上(shàng)。這(zhè)種類型的防火牆隻保護一台機器（網絡終端、台式機、筆(bǐ)記本電腦(nǎo)、服務器等），因此管理(lǐ)員必須在他(tā)們想要保護的每台設備上(shàng)安裝一個版本的軟件。

由于管理(lǐ)員将軟件防火牆附加到(dào)特定設備上(shàng)，因此這(zhè)些(xiē)防火牆不可避免地會(huì)占用(yòng)一些(xiē)系統 RAM 和(hé) CPU，這(zhè)在某些(xiē)情況下(xià)是一個問題。

軟件防火牆的優點：

爲指定設備提供出色的保護。
将各個網絡端點彼此隔離。
高(gāo)精度的安全性，管理(lǐ)員可以完全控制允許的程序。
随時(shí)可用(yòng)。

軟件防火牆的缺點：

消耗設備的 CPU、RAM 和(hé)存儲空(kōng)間。
需要爲每個主機設備配置。
日常維護既困難又耗時(shí)。
并非所有設備都與每個防火牆兼容，因此可能(néng)必須在同一網絡中使用(yòng)不同的解決方案。

硬件防火牆

硬件防火牆（或設備防火牆）是一個單獨的硬件，用(yòng)于過濾進出網絡的流量。與軟件防火牆不同，這(zhè)些(xiē)獨立設備有自(zì)己的資源，不會(huì)占用(yòng)主機設備的任何 CPU 或 RAM。

硬件防火牆相對(duì)更适合大(dà)型企業，中小(xiǎo)型企業可能(néng)更多地會(huì)選擇在每台主機上(shàng)安裝軟件防火牆的方式，硬件防火牆對(duì)于擁有多個包含大(dà)量計(jì)算(suàn)機的子網的大(dà)型組織來(lái)說是一個極好(hǎo)的選擇。

硬件防火牆的優點：

使用(yòng)一種解決方案保護多台設備。
頂級邊界安全性，因爲惡意流量永遠不會(huì)到(dào)達主機設備。
不消耗主機設備資源。
管理(lǐ)員隻需爲整個網絡管理(lǐ)一個防火牆。

硬件防火牆的缺點：

比軟件防火牆更昂貴。
内部威脅是一個相當大(dà)的弱點。
與基于軟件的防火牆相比，配置和(hé)管理(lǐ)需要更多的技能(néng)。

基于雲的防火牆

許多供應商提供基于雲的防火牆，它們通過 Internet 按需提供。這(zhè)些(xiē)服務也(yě)稱爲防火牆即服務（FaaS），以IaaS 或 PaaS的形式運行。

基于雲的防火牆非常适用(yòng)于：

高(gāo)度分散的業務。
在安全資源方面存在缺口的團隊。
不具備必要的内部專業知(zhī)識的公司。

與基于硬件的解決方案一樣，雲防火牆在邊界安全方面表現(xiàn)出色，同時(shí)也(yě)可以在每個主機的基礎上(shàng)設置這(zhè)些(xiē)系統。

雲防火牆的優點：

服務提供商處理(lǐ)所有管理(lǐ)任務（安裝、部署、修補、故障排除等）。
用(yòng)戶可以自(zì)由擴展雲資源以滿足流量負載。
無需任何内部硬件。
高(gāo)可用(yòng)性。

雲防火牆的缺點：

供應商究竟如何運行防火牆缺乏透明(míng)度。
與其他(tā)基于雲的服務一樣，這(zhè)些(xiē)防火牆很(hěn)難遷移到(dào)新的提供商。
流量流經第三方可能(néng)會(huì)增加延遲和(hé)隐私問題。
由于高(gāo)昂的運營成本，從(cóng)長遠來(lái)看(kàn)是比較貴的。

基于操作(zuò)方法的防火牆類型

下(xià)面是基于功能(néng)和(hé) OSI 模型的五種類型的防火牆。

包過濾防火牆

包過濾防火牆充當網絡層的檢查點，并将每個數據包的标頭信息與一組預先建立的标準進行比較。這(zhè)些(xiē)防火牆檢查以下(xià)基于标頭的信息：

目的地址和(hé)源 IP 地址。
數據包類型。
端口号。
網絡協議(yì)。

這(zhè)些(xiē)類型的防火牆僅分析表面的細節，不會(huì)打開(kāi)數據包來(lái)檢查其有效負載。包過濾防火牆在不考慮現(xiàn)有流量的情況下(xià)真空(kōng)檢查每個數據包。包過濾防火牆非常适合隻需要基本安全功能(néng)來(lái)抵禦既定威脅的小(xiǎo)型組織。

包過濾防火牆的優點：

低(dī)成本。
快(kuài)速包過濾和(hé)處理(lǐ)。
擅長篩選内部部門(mén)之間的流量。
低(dī)資源消耗。
對(duì)網絡速度和(hé)最終用(yòng)戶體驗的影響最小(xiǎo)。
多層防火牆策略中出色的第一道(dào)防線。

包過濾防火牆的缺點：

不檢查數據包有效負載（實際數據）。
對(duì)于有經驗的黑客來(lái)說很(hěn)容易繞過。
無法在應用(yòng)層進行過濾。
容易受到(dào) IP 欺騙攻擊，因爲它單獨處理(lǐ)每個數據包。
沒有用(yòng)戶身份驗證或日志記錄功能(néng)。
訪問控制列表的設置和(hé)管理(lǐ)具有挑戰性。

電路級網關

電路級網關在 OSI 會(huì)話(huà)層運行，并監視(shì)本地和(hé)遠程主機之間的TCP（傳輸控制協議(yì)）握手。其可以在不消耗大(dà)量資源的情況下(xià)快(kuài)速批準或拒絕流量。但(dàn)是，這(zhè)些(xiē)系統不檢查數據包，因此如果 TCP 握手通過，即使是感染了(le)惡意軟件的請(qǐng)求也(yě)可以訪問。

電路級網關的優點：

僅處理(lǐ)請(qǐng)求的事(shì)務，并拒絕所有其他(tā)流量。
易于設置和(hé)管理(lǐ)。
資源和(hé)成本效益。
強大(dà)的地址暴露保護。
對(duì)最終用(yòng)戶體驗的影響最小(xiǎo)。

電路級網關的缺點：

不是一個獨立的解決方案，因爲沒有内容過濾。
通常需要對(duì)軟件和(hé)網絡協議(yì)進行調整。

狀态檢測防火牆

狀态檢測防火牆（或動态包過濾防火牆）在網絡層和(hé)傳輸層監控傳入和(hé)傳出的數據包。這(zhè)類防火牆結合了(le)數據包檢測和(hé) TCP 握手驗證。

狀态檢測防火牆維護一個表數據庫，該數據庫跟蹤所有打開(kāi)的連接使系統能(néng)夠檢查現(xiàn)有的流量流。該數據庫存儲所有與關鍵數據包相關的信息，包括：

源IP。
源端口。
目的 IP。
每個連接的目标端口。

當一個新數據包到(dào)達時(shí)，防火牆檢查有效連接表。檢測過的數據包無需進一步分析即可通過，而防火牆會(huì)根據預設規則集評估不匹配的流量。

狀态檢測防火牆的優點：

過濾流量時(shí)會(huì)自(zì)動通過以前檢查過的數據包。
在阻止利用(yòng)協議(yì)缺陷的攻擊方面表現(xiàn)出色。
無需打開(kāi)大(dà)量端口來(lái)讓流量進出，這(zhè)可以縮小(xiǎo)攻擊面。
詳細的日志記錄功能(néng)，有助于數字取證。
減少對(duì)端口掃描器的暴露。

狀态檢測防火牆的缺點：

比包過濾防火牆更昂貴。
需要高(gāo)水(shuǐ)平的技能(néng)才能(néng)正确設置。
通常會(huì)影響性能(néng)并導緻網絡延遲。
不支持驗證欺騙流量源的身份驗證。
容易受到(dào)利用(yòng)預先建立連接的 TCP Flood攻擊。

代理(lǐ)防火牆

代理(lǐ)防火牆（或應用(yòng)級網關）充當内部和(hé)外(wài)部系統之間的中介。這(zhè)類防火牆會(huì)在客戶端請(qǐng)求發送到(dào)主機之前對(duì)其進行屏蔽，從(cóng)而保護網絡。

代理(lǐ)防火牆在應用(yòng)層運行，具有深度包檢測 (DPI)功能(néng)，可以檢查傳入流量的有效負載和(hé)标頭。

當客戶端發送訪問網絡的請(qǐng)求時(shí)，消息首先到(dào)達代理(lǐ)服務器。

防火牆會(huì)檢查以下(xià)内容：

客戶端和(hé)防火牆後面的設備之間的先前通信（如果有的話(huà)）。
标頭信息。
内容本身。

然後代理(lǐ)屏蔽該請(qǐng)求并将消息轉發到(dào)Web 服務器。此過程隐藏了(le)客戶端的 ID。服務器響應并将請(qǐng)求的數據發送給代理(lǐ)，之後防火牆将信息傳遞給原始客戶端。

代理(lǐ)防火牆是企業保護 Web應用(yòng)免受惡意用(yòng)戶攻擊的首選。

代理(lǐ)防火牆的優點：

DPI檢查數據包标頭和(hé)有效負載。
在客戶端和(hé)網絡之間添加了(le)一個額外(wài)的隔離層。
對(duì)潛在威脅行爲者隐藏内部 IP 地址。
檢測并阻止網絡層不可見的攻擊。
對(duì)網絡流量進行細粒度的安全控制。
解除地理(lǐ)位置限制。

代理(lǐ)防火牆的缺點：

由于徹底的數據包檢查和(hé)額外(wài)的通信步驟，會(huì)導緻延遲增加。
由于處理(lǐ)開(kāi)銷高(gāo)，不如其他(tā)類型的防火牆成本低(dī)。
設置和(hé)管理(lǐ)具有挑戰性。
不兼容所有網絡協議(yì)。

下(xià)一代防火牆

下(xià)一代防火牆(NGFW)是将其他(tā)防火牆的多種功能(néng)集成在一起的安全設備或程序。這(zhè)樣的系統提供：

分析流量内容的深度數據包檢測（DPI）。
TCP 握手檢查。
表層數據包檢測。

下(xià)一代防火牆還包括額外(wài)的網絡安全措施，例如：

IDS 和(hé) IPS。
惡意軟件掃描和(hé)過濾。
高(gāo)級威脅情報(bào)（模式匹配、基于協議(yì)的檢測、基于異常的檢測等）
防病毒程序。
網絡地址轉換 (NAT)。
服務質量 (QoS)功能(néng)。
SSH檢查。

NGFW 是醫(yī)療保健或金(jīn)融等受到(dào)嚴格監管的行業的常見選擇。

下(xià)一代防火牆的優點：

将傳統防火牆功能(néng)與高(gāo)級網絡安全功能(néng)相結合。
檢查從(cóng)數據鏈路層到(dào)應用(yòng)層的網絡流量。
日志記錄功能(néng)。

下(xià)一代防火牆的缺點：

比其他(tā)防火牆更昂貴。
存在單點故障。
部署時(shí)間緩慢。
需要高(gāo)度的專業知(zhī)識才能(néng)設置和(hé)運行。
影響網絡性能(néng)。

任何一個保護層，無論多麽強大(dà)，都不足以完全保護你(nǐ)的業務。企業往往會(huì)在同一個網絡中設置多個防火牆，選擇理(lǐ)想的防火牆首先要了(le)解企業網絡的架構和(hé)功能(néng)，确定這(zhè)些(xiē)不同類型的防火牆和(hé)防火牆策略哪個最适合自(zì)己。通常情況下(xià)，企業網絡應該設置多層防火牆，既在外(wài)圍保護又在網絡上(shàng)分隔不同的資産，從(cóng)而使你(nǐ)的網絡更難破解。

上(shàng)一篇：湖州安全新模式亮(liàng)相2023年西湖論劍·網絡安全大(dà)會(huì) 上(shàng)一篇：最全的網絡運營推廣方案，趕快(kuài)點贊收藏返回列表

News center

整不明(míng)白(bái)這(zhè)些(xiē)！你(nǐ)敢說你(nǐ)真的懂防火牆了(le)？

Copyright © 2020-2022 南京明(míng)科網絡科技有限公司版權所有

News center

整不明(míng)白(bái)這(zhè)些(xiē)！你(nǐ)敢說你(nǐ)真的懂防火牆了(le)？

Copyright © 2020-2022 南京明(míng)科網絡科技有限公司 版權所有

Copyright © 2020-2022 南京明(míng)科網絡科技有限公司版權所有