首先,根据部署方式,防火墙可分为硬件防火墙、软件防火墙和基于云的防火墙。硬件防火墙作为独立的设备,适用于保护多台设备和大型网络,但其成本较高,配置复杂。软件防火墙直接安装在主机上,适合保护单个设备,但会消耗系统资源。基于云的防火墙由服务提供商管理,适合分布式业务和缺乏内部资源的团队,但可能存在隐私和延迟问题。
其次,根据操作方法,防火墙可分为包过滤防火墙、电路级网关、状态检查防火墙、代理防火墙和下一代防火墙。包过滤防火墙通过检查数据包标头信息来过滤流量,成本低廉但安全性有限。电路级网关监视TCP握手,简单高效但无法检查数据内容。状态检查防火墙结合了数据包检查和TCP握手验证,提供更全面的保护,但可能影响网络性能。代理防火墙在应用层运行,进行深度数据包检测,适合保护Web应用程序,但可能导致延迟。下一代防火墙集成了多种功能,提供高级威胁防护,适用于受严格监管的行业,但成本高且部署复杂。
选择防火墙时,需考虑网络规模、资产价值、预算、技术目标、流量类型、团队经验和合规要求等因素。首先进行威胁建模,评估网络弱点。选择与团队经验相符的防火墙类型,避免过度投资。确保防火墙不会显著影响网络速度,特别是在需要应用程序层保护的情况下,不应仅依赖基础防火墙。利用防火墙增强网络分段策略,提升整体安全性。
总之,了解不同类型防火墙的功能和适用场景,结合自身需求进行选择,才能构建有效的网络安全防线。正确的防火墙不仅能抵御外部威胁,还能提升内部安全管理的效率,确保网络环境的安全稳定。
选择正确类型的防火墙来保护您的网络是一项至关重要的安全决策。使用错误的类型比根本没有防火墙更糟糕,因为尽管网络对攻击敞开大门,但您仍然会产生错误的安全感。
那么,您可以部署哪些不同类型的防火墙?更重要的是,哪一个是适合您的用例的正确选择?
本文介绍了 八种不同类型的防火墙,可阻止恶意流量进入网络。我们分析每个解决方案的优缺点,解释它们运行的 OSI 层,并提供选择最能满足您的安全要求的防火墙的提示。
什么是防火墙?
防火墙是一种监视网络流量并检测潜在威胁的安全设备或程序。防火墙的主要目的是充当屏障,允许非威胁流量进入并阻止危险流量进入。
防火墙的保护范围因用例而异。安全团队使用防火墙来:
- 确保网络免受外部流量源(即互联网)的影响。
- 围绕内部子网构建“墙”(例如,阻止 HR 人员访问为DevOps 团队保留的系统的防火墙)。
- 在单个设备上设置流量扫描(例如,保护BYOD笔记本电脑免受传入流量影响的防火墙)。
防火墙是客户端-服务器模型中网络安全的基础之一。这些系统确保传入和传出流量的安全,但它们容易受到以下影响:
- 社会工程攻击(例如,有人窃取密码并试图实施CEO 欺诈)。
- 内部威胁(例如,网络内的某人故意更改防火墙设置)。
- 人为错误(例如,员工忘记打开防火墙或忽略更新通知)。
虽然防火墙是 网络安全的 必备条件,但您需要其他机制来可靠地消除威胁。考虑使用入侵检测系统 (IDS)、 DDoS 防护和会话监控来升级您的防火墙策略 。
防火墙如何工作?
团队在网络上设置内联防火墙,作为外部源和受保护系统之间的边界。管理员创建所谓的阻塞点,防火墙在此处检查所有进出网络的数据包。数据包是一段为 Internet 传输而格式化的数据,其中包含:
- 有效负载(实际内容)。
- 标头(有关数据的信息,例如谁发送的以及发送给谁的)。
防火墙根据预设规则分析数据包,以区分良性和恶意流量。这些规则集规定了防火墙如何检查以下内容:
防火墙会阻止所有不遵守规则的数据包,并将安全数据包路由到预期的接收者。当防火墙阻止流量进入网络时,有两种选择:
- 默默地放弃请求。
- 向发件人提供错误回复。
这两种选项都可以将危险流量排除在网络之外,因此从安全角度来看,选择更有意义的选项。通常,安全团队更喜欢默默地丢弃请求,以限制信息,以防潜在的黑客测试防火墙的潜在漏洞。
基于交付方法的防火墙类型
根据您决定部署的方式,防火墙分为三种类型:硬件防火墙、软件防火墙和基于云的防火墙。让我们看看这些策略各自提供了什么。
软件防火墙
软件防火墙(或主机防火墙)直接安装在主机设备上。这种类型的防火墙仅保护一台计算机(网络端点、PC、笔记本电脑、服务器等),因此管理员必须在他们想要保护的每台设备上安装一个版本的软件。
由于管理员将软件防火墙附加到特定设备,因此无法避免某些资源的使用。这些防火墙不可避免地会消耗一些系统 RAM 和 CPU,这对于某些用例来说是一个破坏性的因素。
软件防火墙的优点:
- 为其分配的设备提供出色的保护。
- 将各个网络端点彼此隔离。
- 高度精细的安全性,管理员可以完全控制允许的程序。
- 一应俱全。
软件防火墙的缺点:
硬件防火墙
硬件防火墙(或设备防火墙)是一个单独的硬件,用于过滤进出网络的流量。与软件防火墙不同,这些独立设备拥有自己的资源,不会消耗主机设备的任何 CPU 或 RAM。
对于某些中小型企业来说,硬件防火墙有点大材小用,他们可能会发现每台主机的软件防火墙更有价值。对于拥有多个包含多台计算机的子网的大型组织来说,硬件防火墙是一个绝佳的选择。
硬件防火墙的优点:
- 使用一种解决方案保护多台设备。
- 顶级外围安全,因为恶意流量永远不会到达主机设备。
- 不消耗主机设备资源。
- 管理员仅管理整个网络的一台防火墙。
硬件防火墙的缺点:
- 比软件防火墙更昂贵。
- 内部威胁是一个相当大的弱点。
- 配置和管理比基于软件的防火墙需要更多的技能。
基于云的防火墙
许多提供商提供基于云的防火墙,并通过互联网按需提供。这些服务也称为防火墙即服务,并作为IaaS 或 PaaS运行。
由于 MSP 管理基于云的防火墙,因此此选项非常适合:
- 高度分散的业务。
- 安全资源存在缺口的团队。
- 没有必要的内部专业知识的公司。
与基于硬件的解决方案一样,云防火墙在外围安全方面表现出色,但您也可以在每个主机的基础上设置这些系统。
云防火墙的优点:
- 服务提供商处理所有管理任务(安装、部署、修补、故障排除等)。
- 用户可以自由扩展云资源以满足流量负载。
- 不需要任何内部硬件。
- 高水平的可用性。
云防火墙的缺点:
- 关于提供商如何运行防火墙缺乏透明度。
- 与其他基于云的服务一样,这些防火墙很难迁移到新的提供商。
- 流量通过第三方流动,这引发了延迟和隐私问题。
- 由于运营支出陡峭,从长远来看价格昂贵。
没有理由选择一种部署类型并仅依赖该设置。例如,您可以在网络外围设置硬件或云防火墙,同时在高价值主机上设置软件防火墙。
基于操作方法的防火墙类型
下面根据其功能和 OSI 层深入了解五种类型的防火墙。您可以将它们中的任何一个部署为硬件、软件或云中。
包过滤防火墙
数据包过滤防火墙充当网络层的检查点,并将每个数据包的标头信息与一组预先建立的标准进行比较。这些防火墙检查以下基于标头的信息:
- 目标和源 IP 地址。
- 数据包类型。
- 端口号。
- 网络协议。
这些类型的防火墙仅分析表面级细节,不会打开数据包来检查其负载。数据包过滤防火墙在真空中检查每个数据包,而不考虑现有的流量流。
数据包过滤防火墙非常适合需要基本安全级别来抵御既定威胁的小型组织。
包过滤防火墙的优点:
- 一种低成本的解决方案。
- 快速数据包过滤和处理。
- 擅长筛选内部部门之间的流量。
- 资源消耗低。
- 对网络速度和最终用户体验的影响最小。
- 通过对数据包标头进行过滤来启用复杂的安全策略。
- 多层防火墙策略中出色的第一道防线。
包过滤防火墙的缺点:
- 不检查数据包有效负载(实际数据)。
- 对于经验丰富的黑客来说很容易绕过。
- 无法在应用层进行过滤。
- 由于它单独处理每个数据包,因此容易受到 IP 欺骗攻击。
- 没有用户身份验证或日志记录功能。
- 访问控制列表的设置和管理具有挑战性。
电路级网关
电路级网关在会话 OSI 层运行,并监视本地和远程主机之间的TCP(传输控制协议)握手。
这种简单的防火墙类型可以快速批准或拒绝流量,而无需消耗大量资源。然而,这些系统不会检查数据包,因此,如果存在正确的 TCP 握手,即使是受恶意软件感染的请求也可以获得访问权限。
电路级网关的优点:
- 仅处理请求的交易并拒绝所有其他流量。
- 易于设置和管理。
- 资源和成本效益。
- 强有力的保护,防止地址暴露。
- 对最终用户体验的影响最小。
电路级网关的缺点:
- 不是独立的解决方案,因为没有内容过滤。
- 通常需要对软件和网络协议进行调整。
状态检查防火墙
状态检测防火墙(或动态包过滤防火墙)在网络层和传输层监视传入和传出的数据包。这种防火墙类型结合了数据包检查和 TCP 握手验证。
状态检查防火墙维护一个表数据库,用于跟踪所有打开的连接并使系统能够检查现有的流量流。该数据库存储所有与数据包相关的关键信息,包括:
- 源IP。
- 源端口。
- 目的IP。
- 每个连接的目标端口。
当新数据包到达时,防火墙会检查有效连接表。熟悉的数据包无需进一步分析即可通过,而防火墙则根据预先设置的规则集评估不匹配的流量。
状态检查防火墙的优点:
- 在过滤流量时考虑之前检查过的数据包。
- 擅长阻止旨在利用协议缺陷的攻击。
- 不要打开大量端口来允许流量进出,这会缩小攻击面。
- 有助于数字取证的详细记录功能。
- 减少端口扫描仪的暴露。
状态检查防火墙的缺点:
- 比包过滤防火墙更昂贵。
- 需要高度的技能才能正确设置。
- 通常会影响性能并导致网络延迟。
- 不支持验证欺骗流量源的身份验证。
- 容易受到利用预先建立的连接的 TCP 洪水攻击。
代理防火墙
代理防火墙(或应用程序级网关)充当内部和外部系统之间的中间媒介。这些防火墙通过在将客户端请求发送到主机之前屏蔽客户端请求来保护网络。
代理防火墙在应用程序层运行,即 OSI 模型的最高级别。这些系统具有深度数据包检测 (DPI)功能,可检查传入流量的有效负载和标头。
当客户端发送访问网络的请求时,消息首先发送到代理服务器。防火墙检查以下内容:
- 客户端与防火墙后面的设备之间的先前通信(如果有)。
- 标头信息。
- 内容本身。
然后代理屏蔽请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送到代理,之后防火墙将信息传递给原始客户端。
代理防火墙是试图保护 Web应用程序免受恶意用户侵害的企业的首选。当用例需要网络匿名时,这些系统也很受欢迎。
代理防火墙的优点:
- 检查数据包标头和有效负载的 DPI。
- 在客户端和网络之间添加额外的隔离层。
- 对潜在威胁参与者隐藏内部 IP 地址。
- 检测并阻止 OSI 模型网络层不可见的攻击。
- 对网络流量的细粒度安全控制。
- 解锁地理位置限制。
代理防火墙的缺点:
- 由于彻底的数据包检查和额外的通信步骤而导致延迟增加。
- 由于处理开销较高,其成本效益不如其他类型的防火墙。
- 设置和管理具有挑战性。
- 不兼容所有网络协议。
下一代防火墙
下一代防火墙(NGFW)是一种结合了其他防火墙多种功能的安全设备或程序。这样的系统提供:
- 分析流量内容的深度数据包检查。
- TCP 握手检查。
- 表面级数据包检查。
下一代防火墙还包括额外的网络安全措施,例如:
- IDS 和 IP。
- 恶意软件扫描和过滤。
- 高级威胁情报(模式匹配、基于协议的检测、基于信誉的恶意软件检测、基于异常的检测等)
- 防病毒程序。
- 网络地址转换 (NAT)。
- 服务质量 (QoS)功能。
- 安全外壳 (SSH)检查。
NGFW 是医疗保健或金融等受到严格监管的行业的常见选择。必须遵守HIPAA和PCI 的公司是通常的采用者。
下一代防火墙的优点:
下一代防火墙的缺点:
- 比其他防火墙更贵。
- 巨大的单点故障。
- 部署时间慢。
- 需要高度的专业知识来设置和运行。
- 阻碍网络性能。
与交付模型一样,没有什么可以阻止您同时使用多种类型的防火墙。公司经常在同一网络中设置多个防火墙并部署在不同级别。
哪种防火墙类型适合您的企业?
没有两个企业具有相同的资产、网络和风险承受能力,因此每个公司都有独特的防火墙需求。选择防火墙类型时要回答的主要问题是:
- 您想保证哪种网络的安全?
- 您想要保护的资产有多有价值?有什么关键任务吗?
- 该项目的分配预算是多少?
- 防火墙的技术目标是什么?
- 网络有多大?主机有多少个?
- 防火墙将面对什么样的流量?负载会一致吗?
- 您是否需要在每个主机设备上安装防火墙?
- 您的团队是否有设置和使用特定防火墙类型的实践经验?
- 需要什么样的交通检查?
- 不同类型的防火墙如何适应您当前的应用程序架构?
- 您准备好在必要时进行基础架构更改了吗?
- 您可以承受新防火墙引入多少(如果有)延迟?
- 您有任何与合规性相关的规则需要考虑吗?数据隐私或保护法怎么样?
- 您的团队可以留出多少时间用于防火墙管理?
这些问题的答案有助于确定正确的防火墙选项。以下是一些可以帮助您的额外提示:
- 在决定正确的防火墙类型之前执行深入的威胁建模。
- 尝试使您的选择与团队的经验保持一致。
- 首先考虑更具成本效益的选择(即,如果简单的数据包过滤防火墙就可以完成这项工作,则不要选择成熟的 NGFW)。
- 确保新防火墙不会使网络速度减慢到影响最终用户体验的程度。
- 如果您需要应用程序层的保护,请不要仅仅依赖数据包过滤和状态检查防火墙。
- 使用防火墙来增强您的网络分段策略。
选择防火墙时的明智策略是从分析您的弱点开始。了解如何执行网络安全审核以彻底检查网络的当前状态。
了解不同类型的防火墙提供什么
如果有人或某事试图破坏您的公司,防火墙是第一道防线。这些系统有可能制定或破坏安全策略,因此请相应地对待它们的选择和设置。在全力采用解决方案之前,请了解不同类型的防火墙提供哪些功能以及它们如何保证资产安全。
本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
