整不明(míng)白這些(xiē)!你(nǐ)敢說你(nǐ)真的懂防火(huǒ)牆了?
發布時(shí)間(jiān):2023-05-16 閱讀: 分享

什麽是防火(huǒ)牆?


防火(huǒ)牆是一種監視(shì)網絡流量并檢測潛在威脅的安全設備或程序,作(zuò)為(wèi)一道(dào)保護屏障,它隻允許非威脅性流量進入,阻止危險流量進入。
 
防火(huǒ)牆是client-server模型中網絡安全的基礎之一,但(dàn)它們容易受到以下方面的攻擊:

  • 社會(huì)工程攻擊(例如,有(yǒu)人(rén)竊取密碼并進行(xíng)欺詐)。

  • 內(nèi)部威脅(例如,內(nèi)網中的某人(rén)故意更改防火(huǒ)牆設置)。

  • 人(rén)為(wèi)錯誤(例如,員工忘記打開(kāi)防火(huǒ)牆或忽略更新通(tōng)知)。

QQ截圖20230515072820.jpg



防火(huǒ)牆是如何工作(zuò)的?

企業在網絡中設置內(nèi)聯防火(huǒ)牆,作(zuò)為(wèi)外部源和(hé)受保護系統之間(jiān)的邊界。管理(lǐ)員創建阻塞點,防火(huǒ)牆在阻塞點檢查所有(yǒu)進出網絡的數(shù)據包,包含:
 
  • 有(yǒu)效負載(實際內(nèi)容)。

  • 标頭(有(yǒu)關數(shù)據的信息,例如誰發送了數(shù)據,發給了誰)。

防火(huǒ)牆根據預設規則分析數(shù)據包,以區(qū)分良性和(hé)惡意流量。這些(xiē)規則集規定了防火(huǒ)牆如何檢查以下內(nèi)容:
 
  • 源IP和(hé)目的IP 地址。

  • 有(yǒu)效負載中的內(nèi)容。

  • 數(shù)據包協議(例如,連接是否使用 TCP/IP 協議)。

  • 應用協議(HTTP、Telnet、FTP、DNS、SSH 等)。

  • 表明(míng)特定網絡攻擊的數(shù)據模式。

 
防火(huǒ)牆阻止所有(yǒu)不符合規則的數(shù)據包,并将安全數(shù)據包路由到預期的接收者。當防火(huǒ)牆阻止流量進入網絡時(shí),有(yǒu)兩種選擇:
 
  • 默默地放棄請(qǐng)求。

  • 向發件人(rén)發送error信息。

 
這兩種選擇都可(kě)以将危險流量排除在網絡之外。通(tōng)常,安全團隊更喜歡默默放棄請(qǐng)求以限制(zhì)信息,以防潛在的黑(hēi)客測試防火(huǒ)牆的漏洞。
 
基于部署方式的防火(huǒ)牆類型

根據部署方式,可(kě)以将防火(huǒ)牆分為(wèi)三種類型:硬件防火(huǒ)牆、軟件防火(huǒ)牆和(hé)基于雲的防火(huǒ)牆。

QQ截圖20230515072841.jpg

軟件防火(huǒ)牆

軟件防火(huǒ)牆(或主機防火(huǒ)牆)直接安裝在主機設備上(shàng)。這種類型的防火(huǒ)牆隻保護一台機器(qì)(網絡終端、台式機、筆記本電(diàn)腦(nǎo)、服務器(qì)等),因此管理(lǐ)員必須在他們想要保護的每台設備上(shàng)安裝一個(gè)版本的軟件。
 
由于管理(lǐ)員将軟件防火(huǒ)牆附加到特定設備上(shàng),因此這些(xiē)防火(huǒ)牆不可(kě)避免地會(huì)占用一些(xiē)系統 RAM 和(hé) CPU,這在某些(xiē)情況下是一個(gè)問題。
 
軟件防火(huǒ)牆的優點:
  • 為(wèi)指定設備提供出色的保護。

  • 将各個(gè)網絡端點彼此隔離。

  • 高(gāo)精度的安全性,管理(lǐ)員可(kě)以完全控制(zhì)允許的程序。

  • 随時(shí)可(kě)用。

 
軟件防火(huǒ)牆的缺點:
  • 消耗設備的 CPU、RAM 和(hé)存儲空(kōng)間(jiān)。

  • 需要為(wèi)每個(gè)主機設備配置。

  • 日常維護既困難又耗時(shí)。

  • 并非所有(yǒu)設備都與每個(gè)防火(huǒ)牆兼容,因此可(kě)能必須在同一網絡中使用不同的解決方案。

硬件防火(huǒ)牆

硬件防火(huǒ)牆(或設備防火(huǒ)牆)是一個(gè)單獨的硬件,用于過濾進出網絡的流量。與軟件防火(huǒ)牆不同,這些(xiē)獨立設備有(yǒu)自己的資源,不會(huì)占用主機設備的任何 CPU 或 RAM。
 
硬件防火(huǒ)牆相對更适合大(dà)型企業,中小(xiǎo)型企業可(kě)能更多(duō)地會(huì)選擇在每台主機上(shàng)安裝軟件防火(huǒ)牆的方式,硬件防火(huǒ)牆對于擁有(yǒu)多(duō)個(gè)包含大(dà)量計(jì)算(suàn)機的子網的大(dà)型組織來(lái)說是一個(gè)極好的選擇。
 
硬件防火(huǒ)牆的優點:
  • 使用一種解決方案保護多(duō)台設備。

  • 頂級邊界安全性,因為(wèi)惡意流量永遠不會(huì)到達主機設備。

  • 不消耗主機設備資源。

  • 管理(lǐ)員隻需為(wèi)整個(gè)網絡管理(lǐ)一個(gè)防火(huǒ)牆。

 
硬件防火(huǒ)牆的缺點:
  • 比軟件防火(huǒ)牆更昂貴。

  • 內(nèi)部威脅是一個(gè)相當大(dà)的弱點。

  • 與基于軟件的防火(huǒ)牆相比,配置和(hé)管理(lǐ)需要更多(duō)的技(jì)能。

基于雲的防火(huǒ)牆

許多(duō)供應商提供基于雲的防火(huǒ)牆,它們通(tōng)過 Internet 按需提供。這些(xiē)服務也稱為(wèi)防火(huǒ)牆即服務(FaaS),以IaaS 或 PaaS的形式運行(xíng)。
 
基于雲的防火(huǒ)牆非常适用于:
  • 高(gāo)度分散的業務。

  • 在安全資源方面存在缺口的團隊。

  • 不具備必要的內(nèi)部專業知識的公司。

 
與基于硬件的解決方案一樣,雲防火(huǒ)牆在邊界安全方面表現出色,同時(shí)也可(kě)以在每個(gè)主機的基礎上(shàng)設置這些(xiē)系統。
 
雲防火(huǒ)牆的優點:
  • 服務提供商處理(lǐ)所有(yǒu)管理(lǐ)任務(安裝、部署、修補、故障排除等)。

  • 用戶可(kě)以自由擴展雲資源以滿足流量負載。

  • 無需任何內(nèi)部硬件。

  • 高(gāo)可(kě)用性。

 
雲防火(huǒ)牆的缺點:
  • 供應商究竟如何運行(xíng)防火(huǒ)牆缺乏透明(míng)度。

  • 與其他基于雲的服務一樣,這些(xiē)防火(huǒ)牆很(hěn)難遷移到新的提供商。

  • 流量流經第三方可(kě)能會(huì)增加延遲和(hé)隐私問題。

  • 由于高(gāo)昂的運營成本,從長遠來(lái)看是比較貴的。

 
基于操作(zuò)方法的防火(huǒ)牆類型

下面是基于功能和(hé) OSI 模型的五種類型的防火(huǒ)牆。
 

包過濾防火(huǒ)牆

包過濾防火(huǒ)牆充當網絡層的檢查點,并将每個(gè)數(shù)據包的标頭信息與一組預先建立的标準進行(xíng)比較。這些(xiē)防火(huǒ)牆檢查以下基于标頭的信息:
 
  • 目的地址和(hé)源 IP 地址。

  • 數(shù)據包類型。

  • 端口号。

  • 網絡協議。

 
這些(xiē)類型的防火(huǒ)牆僅分析表面的細節,不會(huì)打開(kāi)數(shù)據包來(lái)檢查其有(yǒu)效負載。包過濾防火(huǒ)牆在不考慮現有(yǒu)流量的情況下真空(kōng)檢查每個(gè)數(shù)據包。 包過濾防火(huǒ)牆非常适合隻需要基本安全功能來(lái)抵禦既定威脅的小(xiǎo)型組織。
 
包過濾防火(huǒ)牆的優點:
  • 低(dī)成本。

  • 快速包過濾和(hé)處理(lǐ)。

  • 擅長篩選內(nèi)部部門(mén)之間(jiān)的流量。

  • 低(dī)資源消耗。

  • 對網絡速度和(hé)最終用戶體(tǐ)驗的影(yǐng)響最小(xiǎo)。

  • 多(duō)層防火(huǒ)牆策略中出色的第一道(dào)防線。

 
包過濾防火(huǒ)牆的缺點:
  • 不檢查數(shù)據包有(yǒu)效負載(實際數(shù)據)。

  • 對于有(yǒu)經驗的黑(hēi)客來(lái)說很(hěn)容易繞過。

  • 無法在應用層進行(xíng)過濾。

  • 容易受到 IP 欺騙攻擊,因為(wèi)它單獨處理(lǐ)每個(gè)數(shù)據包。

  • 沒有(yǒu)用戶身份驗證或日志(zhì)記錄功能。       

  • 訪問控制(zhì)列表的設置和(hé)管理(lǐ)具有(yǒu)挑戰性。

電(diàn)路級網關

電(diàn)路級網關在 OSI 會(huì)話(huà)層運行(xíng),并監視(shì)本地和(hé)遠程主機之間(jiān)的TCP(傳輸控制(zhì)協議)握手。其可(kě)以在不消耗大(dà)量資源的情況下快速批準或拒絕流量。但(dàn)是,這些(xiē)系統不檢查數(shù)據包,因此如果 TCP 握手通(tōng)過,即使是感染了惡意軟件的請(qǐng)求也可(kě)以訪問。
 
電(diàn)路級網關的優點:
  • 僅處理(lǐ)請(qǐng)求的事務,并拒絕所有(yǒu)其他流量。

  • 易于設置和(hé)管理(lǐ)。

  • 資源和(hé)成本效益。

  • 強大(dà)的地址暴露保護。

  • 對最終用戶體(tǐ)驗的影(yǐng)響最小(xiǎo)。

 
電(diàn)路級網關的缺點:
  • 不是一個(gè)獨立的解決方案,因為(wèi)沒有(yǒu)內(nèi)容過濾。

  • 通(tōng)常需要對軟件和(hé)網絡協議進行(xíng)調整。

狀态檢測防火(huǒ)牆

狀态檢測防火(huǒ)牆(或動态包過濾防火(huǒ)牆)在網絡層和(hé)傳輸層監控傳入和(hé)傳出的數(shù)據包。這類防火(huǒ)牆結合了數(shù)據包檢測和(hé) TCP 握手驗證。
 
狀态檢測防火(huǒ)牆維護一個(gè)表數(shù)據庫,該數(shù)據庫跟蹤所有(yǒu)打開(kāi)的連接使系統能夠檢查現有(yǒu)的流量流。該數(shù)據庫存儲所有(yǒu)與關鍵數(shù)據包相關的信息,包括:
 
  • 源IP。

  • 源端口。

  • 目的 IP。

  • 每個(gè)連接的目标端口。

 
當一個(gè)新數(shù)據包到達時(shí),防火(huǒ)牆檢查有(yǒu)效連接表。檢測過的數(shù)據包無需進一步分析即可(kě)通(tōng)過,而防火(huǒ)牆會(huì)根據預設規則集評估不匹配的流量。
 
狀态檢測防火(huǒ)牆的優點:
  • 過濾流量時(shí)會(huì)自動通(tōng)過以前檢查過的數(shù)據包。

  • 在阻止利用協議缺陷的攻擊方面表現出色。

  • 無需打開(kāi)大(dà)量端口來(lái)讓流量進出,這可(kě)以縮小(xiǎo)攻擊面。

  • 詳細的日志(zhì)記錄功能,有(yǒu)助于數(shù)字取證。

  • 減少(shǎo)對端口掃描器(qì)的暴露。

 
狀态檢測防火(huǒ)牆的缺點:
  • 比包過濾防火(huǒ)牆更昂貴。

  • 需要高(gāo)水(shuǐ)平的技(jì)能才能正确設置。

  • 通(tōng)常會(huì)影(yǐng)響性能并導緻網絡延遲。

  • 不支持驗證欺騙流量源的身份驗證。

  • 容易受到利用預先建立連接的 TCP Flood攻擊。

代理(lǐ)防火(huǒ)牆

代理(lǐ)防火(huǒ)牆(或應用級網關)充當內(nèi)部和(hé)外部系統之間(jiān)的中介。這類防火(huǒ)牆會(huì)在客戶端請(qǐng)求發送到主機之前對其進行(xíng)屏蔽,從而保護網絡。
 
代理(lǐ)防火(huǒ)牆在應用層運行(xíng),具有(yǒu)深度包檢測 (DPI)功能,可(kě)以檢查傳入流量的有(yǒu)效負載和(hé)标頭。
 
當客戶端發送訪問網絡的請(qǐng)求時(shí),消息首先到達代理(lǐ)服務器(qì)。

防火(huǒ)牆會(huì)檢查以下內(nèi)容:
  • 客戶端和(hé)防火(huǒ)牆後面的設備之間(jiān)的先前通(tōng)信(如果有(yǒu)的話(huà))。

  • 标頭信息。

  • 內(nèi)容本身。

 
然後代理(lǐ)屏蔽該請(qǐng)求并将消息轉發到Web 服務器(qì)。此過程隐藏了客戶端的 ID。服務器(qì)響應并将請(qǐng)求的數(shù)據發送給代理(lǐ),之後防火(huǒ)牆将信息傳遞給原始客戶端。
 
代理(lǐ)防火(huǒ)牆是企業保護 Web應用免受惡意用戶攻擊的首選。
 
代理(lǐ)防火(huǒ)牆的優點:
  • DPI檢查數(shù)據包标頭和(hé)有(yǒu)效負載 。

  • 在客戶端和(hé)網絡之間(jiān)添加了一個(gè)額外的隔離層。

  • 對潛在威脅行(xíng)為(wèi)者隐藏內(nèi)部 IP 地址。

  • 檢測并阻止網絡層不可(kě)見的攻擊。

  • 對網絡流量進行(xíng)細粒度的安全控制(zhì)。

  • 解除地理(lǐ)位置限制(zhì)。

 
代理(lǐ)防火(huǒ)牆的缺點:
  • 由于徹底的數(shù)據包檢查和(hé)額外的通(tōng)信步驟,會(huì)導緻延遲增加。

  • 由于處理(lǐ)開(kāi)銷高(gāo),不如其他類型的防火(huǒ)牆成本低(dī)。

  • 設置和(hé)管理(lǐ)具有(yǒu)挑戰性。

  • 不兼容所有(yǒu)網絡協議。

下一代防火(huǒ)牆

下一代防火(huǒ)牆(NGFW)是将其他防火(huǒ)牆的多(duō)種功能集成在一起的安全設備或程序。這樣的系統提供:
 
  • 分析流量內(nèi)容的深度數(shù)據包檢測(DPI)。

  • TCP 握手檢查。

  • 表層數(shù)據包檢測。

 
下一代防火(huǒ)牆還(hái)包括額外的網絡安全措施,例如:
  • IDS 和(hé) IPS。

  • 惡意軟件掃描和(hé)過濾。

  • 高(gāo)級威脅情報(模式匹配、基于協議的檢測、基于異常的檢測等)

  • 防病毒程序。

  • 網絡地址轉換 (NAT)。

  • 服務質量 (QoS)功能。

  • SSH檢查。

 
NGFW 是醫(yī)療保健或金融等受到嚴格監管的行(xíng)業的常見選擇。
 
下一代防火(huǒ)牆的優點:
  • 将傳統防火(huǒ)牆功能與高(gāo)級網絡安全功能相結合。

  • 檢查從數(shù)據鏈路層到應用層的網絡流量。

  • 日志(zhì)記錄功能。

 
下一代防火(huǒ)牆的缺點:
  • 比其他防火(huǒ)牆更昂貴。

  • 存在單點故障。

  • 部署時(shí)間(jiān)緩慢。

  • 需要高(gāo)度的專業知識才能設置和(hé)運行(xíng)。

  • 影(yǐng)響網絡性能。

 
任何一個(gè)保護層,無論多(duō)麽強大(dà),都不足以完全保護你(nǐ)的業務。企業往往會(huì)在同一個(gè)網絡中設置多(duō)個(gè)防火(huǒ)牆,選擇理(lǐ)想的防火(huǒ)牆首先要了解企業網絡的架構和(hé)功能,确定這些(xiē)不同類型的防火(huǒ)牆和(hé)防火(huǒ)牆策略哪個(gè)最适合自己。通(tōng)常情況下,企業網絡應該設置多(duō)層防火(huǒ)牆,既在外圍保護又在網絡上(shàng)分隔不同的資産,從而使你(nǐ)的網絡更難破解。



13905190502 南京市玄武區(qū)洪武北路188号長發數(shù)碼大(dà)廈11樓E座
友(yǒu)情鏈接
百度 網絡安全和(hé)信息化委員會(huì) FreeBuf網絡安全行(xíng)業門(mén)戶

分享:
Copyright © 2020-2022 南京斯萊克斯網絡科技有限公司 版權所有(yǒu)  
技(jì)術(shù)支持:飛酷網絡