什么是防火墙?拥有防火墙有什么好处?
在科技界,防火墙是一种安全网络系统,它根据指定的安全规则监控和控制移动的连接流量。防火墙通常在受信任的连接和不受信任的连接(如互联网)之间划出一条界线。
什么是防火墙?
防火墙是一种可以阻止未经批准的连接的修改或固件。它探索使用大量规则来感知和阻止威胁,从而实现更紧密的通信。
防火墙既可用于个人环境,也可用于企业环境,各种设备都使用同一个防火墙,包括 Mac、Windows 和 Linux 电脑。它们通常被视为企业安全的核心部分。
拥有防火墙有什么好处?
防火墙之所以重要,是因为它们影响了现有的安全技术,并且至今仍在广泛使用。它们最近出现在互联网的早期,当时组织需要新的安全技术来管理日益复杂的网络。从那以后,防火墙就成为客户专家模型(现代决策的核心策略)中组织安全的基础。大多数设备使用防火墙(或持久相关的工具)来监视流量并缓解威胁。
容量
防火墙既可用于企业环境,也可用于客户环境。现代组织将它们与其他企业安全设备组合成安全信息和事件管理 (SIEM) 系统。它们可以安装在组织的网络边缘,以防范外部风险,也可以安装在组织内部,以建立隔离并防范内部风险。
无论如何,防火墙都会执行大量日志记录和调查限制。它们跟踪事件,监管机构可以使用这些事件来识别策略并进一步制定规则集。应定期更新规则,以随时关注不断发展的在线保险风险。交易商会发现新的风险并鼓励补丁尽快覆盖它们。
在单个家庭连接中,防火墙可以引导流量并提醒用户注意干扰。它们对于数字用户线路 (DSL) 或有线调制解调器等在线连接尤其重要,因为这些连接类型使用静态 IP 地址。它们通常与防病毒应用程序一起使用。个人防火墙与企业防火墙不同,通常是一个单一的东西,而不是一堆不同的东西。它们可能是嵌入式防火墙固件的修改器或设备。硬件/固件防火墙通常用于在家庭设备之间设置障碍。
防火墙如何发挥作用?
防火墙在外部连接和它监视的连接之间建立一道屏障。它以内联方式安装在连接上,并检测进入和离开监视网络的所有数据包。在检测过程中,它使用大量预先设定的规则来识别无害和恶意数据包。
术语“数据包”是指为网络传输而准备的数据片段。数据包包含实际数据以及有关数据的信息,例如数据来自哪里。防火墙可以使用此数据包信息来确定给定数据包是否遵循标准集。如果不遵循,数据包将被禁止进入受监控的网络。
可以根据包数据显示的几件事来建立规则集,包括:
- 他们的来源。
- 他们的目标。
- 他们的物质。
这些信用可以在组织的不同级别上进行明确处理。当一个包通过组织时,它会被重新格式化几次,以告诉组织将其发送到哪里。存在不同类型的防火墙来检查不同组织级别的包。
防火墙种类
- 状态检测防火墙
状态分析防火墙(也称为动态包筛选防火墙)会随时间监控通信组,并查看接近和动态的包。
此类型会保留一个表来监控每个开放的关联。当出现新包时,它会查看状态表(其实际关联列表)中的组标题信息,并确定该包是否是已建立关联的必需包。如果是,则允许该组通过任何额外检查。如果包与现有关联不兼容,则根据新关联设置的标准对其进行评估。
尽管状态检测防火墙非常有效,但它们在面对拒绝服务 (DoS) 攻击时可能很脆弱。DoS 攻击利用此类通常认为是安全的已建立连接。
2. 数据包分离
当数据包通过数据包分离防火墙时,防火墙会检查其源地址和目标地址、显示和目标端口号。如果数据包不符合防火墙的标准设置,则会被丢弃(这意味着不会将其发送到目的地)。例如,如果防火墙配置了阻止 Telnet 访问的标准,防火墙将丢弃发往传输控制协议 (TCP) 端口号 23 的数据包,而 Telnet 代理应用程序将在此端口上收听。
包分离防火墙主要在 OSI 参考模型的连接层上工作,但使用载体层来获取源和目标端口号。它独立检查每个组,并且不知道任何给定的包是否对当前流量至关重要。
3.下一代防火墙(NGFW)
这种类型是多种类型的组合,并捆绑了额外的安全软件和工具。每种类型都有自己的优点和缺点,有些保护网络位于OSI 模型的不同层。NGFW 的优势在于它结合了每种类型的特性来弥补每种类型的缺点。NGFW 通常是同一名称下的一系列技术,而不是单个组件。
当前网络连接拥有如此多的接入中心和不同类型的用户,因此需要在主机上实施更强大的权限控制和安全性。这种多层方法的先决条件促使了 NGFW 的发展。
NGFW 集三种独特优势于一身:标准防火墙功能、应用程序保护和 IPS。与传统防火墙的状态检测类似,NGFW 为防火墙的动态流程带来了更多设置。
NGFW 结合了传统企业防火墙(包括网络地址转换 (NAT)、统一资源定位器 (URL) 拦截和虚拟专用网络 (VPN))的功能,以及服务质量 (QoS) 功能和其他产品中通常不存在的功能。NGFW 通过添加安全套接字层 (SSL) 和安全外壳 (SSH) 检测以及基于信任的恶意软件检测来支持基于信任的系统保护。NGFW还使用深度数据包检测 (DPI) 来检查数据包的内容并阻止恶意软件。
当 NGFW 或任何防火墙与其他设备一起使用时,它被称为统一威胁管理 (UTM)。
4. NAT 防火墙
完全称为网络地址解析,允许具有独立连接域的多个设备使用单个 IP 地址连接到互联网,从而隐藏各个 IP 地址。因此,查看 IP 地址连接的攻击者无法获得明确的细微差别,从而提供额外的攻击保护。NAT 防火墙类似于中间防火墙,因为它们可以充当计算机组和外部流量之间的仲裁者。
5.代理防火墙
这种类型也可以称为基于代理或反向代理的防火墙。它们提供应用层保护,可以分析网络的有效负载,以识别隐藏在大量数据销售中的恶意代码的真实请求。随着针对网络工作者的攻击变得越来越普遍,显然防火墙需要保护网络免受应用层攻击。包过滤和状态分析防火墙无法在应用层做到这一点。
由于此类型会剖析有效负载的内容,因此它为安全计划提供了对网络流量的更精细的控制。例如,它可以允许或拒绝来自特定用户的特定迁移 Telnet 请求,而其他类型只能控制来自特定主机的一般迁移流量。
当这种类型存在于代理服务器上时(使其成为代理防火墙),攻击者很难发现连接的真实位置,并增加了另一层安全性。用户和服务器都必须通过中间人(具有应用层防火墙的代理服务器)来引导会话。每当外部用户请求与内部服务器建立连接或反之时,用户都会根据情况与代理建立连接。如果连接请求符合防火墙规则库中的步骤,则代理防火墙将与引用的服务器建立连接。
6. WAF
传统防火墙有助于保护私人组织免受恶意 Web 应用程序的攻击,而Web 应用程序防火墙则有助于保护 Web 应用程序免受恶意用户的攻击。WAF 通过分离和监控 Web 应用程序与 Internet 之间的 HTTP 流量来保护 Web 应用程序。它通常保护 Web 应用程序免受跨网站欺诈、跨页面设置 (XSS)、记录连接和 SQL 注入等攻击。
通过在 Web 应用程序之前部署 WAF,可在 Web 应用程序和 Internet 之间建立一道屏障。基于中间人的防火墙通过中间人来拦截客户端计算机的用户,而 WAF 则是一种聊天中介,通过让客户端在到达服务器之前先通过 WAF 来保护服务器免受攻击。
7. SMLI 防火墙
状态多层检查在连接层、传输层和应用层对数据包进行分离,将它们与已知的可信方隔离开来。与 NGFW 防火墙一样,SMLI 还会检查整个数据包,如果它们顺利通过每一层,则可能允许它们通过。这些防火墙会检查数据包以确定通信的状态(即名称),以确保所有发起的通信都真正通过可信来源进行。
我们为什么需要防火墙?
防火墙,尤其是下一代防火墙,主要针对阻止恶意软件和应用层攻击。借助融合入侵防御系统 (IPS),这些下一代防火墙可以快速可靠地做出反应,以识别和抵御整个网络中的攻击。防火墙可以返回新设置的策略,以更快速地保护您的网络,并可以进行快速测试以识别恶意软件等突出或可疑的攻击并将其关闭。通过为您的安全系统使用防火墙,您可以为网络设置明确的策略,以允许或阻止网络流量和动态流量。
防火墙容易存在哪些弱点?
较不先进的防火墙(例如网络过滤)无法抵御更严重的攻击,因为它们不使用 DPI 来全面分析数据包。NGFW 已习惯于解决这一问题。然而,NGFW 确实面临挑战,并且无法抵御威胁。因此,组织应将它们与其他安全组件(如干扰检测系统和干扰防范系统)结合起来。防火墙可能面临的一些当前威胁示例如下:
- 内部攻击
联盟可以在边缘防火墙之上使用内部防火墙来阻断攻击并提供内部保护。如果怀疑有攻击,联盟可以使用 NGFW 功能进行敏感审计。所有审计都应查看联盟内部的基准文档,这些文档为使用联盟的联盟制定了最佳实践。以下是可能显示内部威胁的几个直接事件:
- 以纯文本形式传输敏感数据。
- 在营业时间以外访问资产。
- 敏感资源访问受到客户不满。
- 外部客户的网络资源访问。
2. DDos 攻击
DDoS攻击是一种危险的行为,它通过用大量流量淹没目标或其外围设施来扰乱指定组织的常规流量。它利用不同的受感染计算机系统作为攻击流量的来源。被利用的设备可以融合计算机和其他协调资源,例如物联网 (IoT) 设备。DDoS 攻击就像一个僵局,阻止常规流量到达其最佳目标。缓解 DDoS 攻击的关键问题是区分攻击流量和常规流量。通常,这种攻击类型的流量可能来自明显真实的来源,需要从多个安全部分进行交叉检查和评估。
3.恶意软件
恶意软件威胁是多变的、复杂的,并且随着安全发展和它所保障的网络连接而不断增长。随着物联网的兴起,网络连接变得越来越复杂和动态,防火墙保护它们的难度也越来越大。
什么是 API 防火墙?
API 防火墙意味着您无需开发单独的方法来保护您的 API,也无需让 AI 尝试确定哪些流量是真实的,哪些不是。如果您的 OpenAPI 定义在API 安全审计中获得了良好的分数,则意味着您在创建 API 时已成功完成了保护 API 所需的工作。此外,您的 API 周围的安全性也会增强。
API 防火墙根据 API 定义创建合法任务和数据的允许列表,API 防火墙会对所有客户端执行此策略,以进行请求和动态响应。因此,包含 API 定义中未描述内容的客户端将被阻止:
- 数据或产量数据不符合 JSON 图表的消息
- 未记录的系统(POST、PUT、PATCH……)
- 未记录的错误代码
- 非法组织
- 未记录的请求或路径限制
API 防火墙通常会执行 API 定义中指定的 API 协议。它会过滤掉不合适的请求,仅允许根据所接收API 的OpenAPI含义允许的请求通过。API 防火墙还会阻止任何未声明或不符合 API 定义的 API 请求。