什麽是防火(huǒ)牆? 社會(huì)工程攻擊(例如,有(yǒu)人(rén)竊取密碼并進行(xíng)欺詐)。 內(nèi)部威脅(例如,內(nèi)網中的某人(rén)故意更改防火(huǒ)牆設置)。 人(rén)為(wèi)錯誤(例如,員工忘記打開(kāi)防火(huǒ)牆或忽略更新通(tōng)知)。 有(yǒu)效負載(實際內(nèi)容)。 标頭(有(yǒu)關數(shù)據的信息,例如誰發送了數(shù)據,發給了誰)。 源IP和(hé)目的IP 地址。 有(yǒu)效負載中的內(nèi)容。 數(shù)據包協議(例如,連接是否使用 TCP/IP 協議)。 應用協議(HTTP、Telnet、FTP、DNS、SSH 等)。 表明(míng)特定網絡攻擊的數(shù)據模式。 默默地放棄請(qǐng)求。 向發件人(rén)發送error信息。 根據部署方式,可(kě)以将防火(huǒ)牆分為(wèi)三種類型:硬件防火(huǒ)牆、軟件防火(huǒ)牆和(hé)基于雲的防火(huǒ)牆。 軟件防火(huǒ)牆 為(wèi)指定設備提供出色的保護。 将各個(gè)網絡端點彼此隔離。 高(gāo)精度的安全性,管理(lǐ)員可(kě)以完全控制(zhì)允許的程序。 随時(shí)可(kě)用。 消耗設備的 CPU、RAM 和(hé)存儲空(kōng)間(jiān)。 需要為(wèi)每個(gè)主機設備配置。 日常維護既困難又耗時(shí)。 并非所有(yǒu)設備都與每個(gè)防火(huǒ)牆兼容,因此可(kě)能必須在同一網絡中使用不同的解決方案。 硬件防火(huǒ)牆 使用一種解決方案保護多(duō)台設備。 頂級邊界安全性,因為(wèi)惡意流量永遠不會(huì)到達主機設備。 不消耗主機設備資源。 管理(lǐ)員隻需為(wèi)整個(gè)網絡管理(lǐ)一個(gè)防火(huǒ)牆。 比軟件防火(huǒ)牆更昂貴。 內(nèi)部威脅是一個(gè)相當大(dà)的弱點。 與基于軟件的防火(huǒ)牆相比,配置和(hé)管理(lǐ)需要更多(duō)的技(jì)能。 基于雲的防火(huǒ)牆 高(gāo)度分散的業務。 在安全資源方面存在缺口的團隊。 不具備必要的內(nèi)部專業知識的公司。 服務提供商處理(lǐ)所有(yǒu)管理(lǐ)任務(安裝、部署、修補、故障排除等)。 用戶可(kě)以自由擴展雲資源以滿足流量負載。 無需任何內(nèi)部硬件。 高(gāo)可(kě)用性。 供應商究竟如何運行(xíng)防火(huǒ)牆缺乏透明(míng)度。 與其他基于雲的服務一樣,這些(xiē)防火(huǒ)牆很(hěn)難遷移到新的提供商。 流量流經第三方可(kě)能會(huì)增加延遲和(hé)隐私問題。 由于高(gāo)昂的運營成本,從長遠來(lái)看是比較貴的。 包過濾防火(huǒ)牆 目的地址和(hé)源 IP 地址。 數(shù)據包類型。 端口号。 網絡協議。 低(dī)成本。 快速包過濾和(hé)處理(lǐ)。 擅長篩選內(nèi)部部門(mén)之間(jiān)的流量。 低(dī)資源消耗。 對網絡速度和(hé)最終用戶體(tǐ)驗的影(yǐng)響最小(xiǎo)。 多(duō)層防火(huǒ)牆策略中出色的第一道(dào)防線。 不檢查數(shù)據包有(yǒu)效負載(實際數(shù)據)。 對于有(yǒu)經驗的黑(hēi)客來(lái)說很(hěn)容易繞過。 無法在應用層進行(xíng)過濾。 容易受到 IP 欺騙攻擊,因為(wèi)它單獨處理(lǐ)每個(gè)數(shù)據包。 沒有(yǒu)用戶身份驗證或日志(zhì)記錄功能。 訪問控制(zhì)列表的設置和(hé)管理(lǐ)具有(yǒu)挑戰性。 電(diàn)路級網關 僅處理(lǐ)請(qǐng)求的事務,并拒絕所有(yǒu)其他流量。 易于設置和(hé)管理(lǐ)。 資源和(hé)成本效益。 強大(dà)的地址暴露保護。 對最終用戶體(tǐ)驗的影(yǐng)響最小(xiǎo)。 不是一個(gè)獨立的解決方案,因為(wèi)沒有(yǒu)內(nèi)容過濾。 通(tōng)常需要對軟件和(hé)網絡協議進行(xíng)調整。 狀态檢測防火(huǒ)牆 源IP。 源端口。 目的 IP。 每個(gè)連接的目标端口。 過濾流量時(shí)會(huì)自動通(tōng)過以前檢查過的數(shù)據包。 在阻止利用協議缺陷的攻擊方面表現出色。 無需打開(kāi)大(dà)量端口來(lái)讓流量進出,這可(kě)以縮小(xiǎo)攻擊面。 詳細的日志(zhì)記錄功能,有(yǒu)助于數(shù)字取證。 減少(shǎo)對端口掃描器(qì)的暴露。 比包過濾防火(huǒ)牆更昂貴。 需要高(gāo)水(shuǐ)平的技(jì)能才能正确設置。 通(tōng)常會(huì)影(yǐng)響性能并導緻網絡延遲。 不支持驗證欺騙流量源的身份驗證。 容易受到利用預先建立連接的 TCP Flood攻擊。 代理(lǐ)防火(huǒ)牆 客戶端和(hé)防火(huǒ)牆後面的設備之間(jiān)的先前通(tōng)信(如果有(yǒu)的話(huà))。 标頭信息。 內(nèi)容本身。 DPI檢查數(shù)據包标頭和(hé)有(yǒu)效負載 。 在客戶端和(hé)網絡之間(jiān)添加了一個(gè)額外的隔離層。 對潛在威脅行(xíng)為(wèi)者隐藏內(nèi)部 IP 地址。 檢測并阻止網絡層不可(kě)見的攻擊。 對網絡流量進行(xíng)細粒度的安全控制(zhì)。 解除地理(lǐ)位置限制(zhì)。 由于徹底的數(shù)據包檢查和(hé)額外的通(tōng)信步驟,會(huì)導緻延遲增加。 由于處理(lǐ)開(kāi)銷高(gāo),不如其他類型的防火(huǒ)牆成本低(dī)。 設置和(hé)管理(lǐ)具有(yǒu)挑戰性。 不兼容所有(yǒu)網絡協議。 下一代防火(huǒ)牆 分析流量內(nèi)容的深度數(shù)據包檢測(DPI)。 TCP 握手檢查。 表層數(shù)據包檢測。 IDS 和(hé) IPS。 惡意軟件掃描和(hé)過濾。 高(gāo)級威脅情報(模式匹配、基于協議的檢測、基于異常的檢測等) 防病毒程序。 網絡地址轉換 (NAT)。 服務質量 (QoS)功能。 SSH檢查。 将傳統防火(huǒ)牆功能與高(gāo)級網絡安全功能相結合。 檢查從數(shù)據鏈路層到應用層的網絡流量。 日志(zhì)記錄功能。 比其他防火(huǒ)牆更昂貴。 存在單點故障。 部署時(shí)間(jiān)緩慢。 需要高(gāo)度的專業知識才能設置和(hé)運行(xíng)。 影(yǐng)響網絡性能。