什么是防火墙,它为什么重要? [初学者指南]

已发表: 2019-07-17
目录

  • 什么是防火墙?

  • 防火墙有什么作用?

  • 防火墙的类型

  • 下一代防火墙

  • 受欢迎的防火墙供应商

  • 包起来

    • 在我们的社会中,在线隐私和安全都是稀有商品。 统计数据说明了这一点。

    每年都有数十亿条记录被泄露 不仅如此,网络世界中还有超过 9 亿个恶意软件在运行。 因此,一个合理的问题脱颖而出——我们中的任何人都可以安全吗?

    值得庆幸的是,VPN 和反恶意软件可以帮助保护您的流量,但有时它们只能做这么多。 你需要一些东西来带领你的防御部队对抗在线空间中的大量敌人。

    这就是防火墙的用武之地。

    什么是防火墙

    在建筑中,防火墙是一堵混凝土(在大多数情况下)墙,只有一个目的——阻止最终的火势蔓延到整个建筑物。

    计算中的“防火墙”一词源自架构中使用的术语。 它的目的是相同的——阻止任何危​​险在网络中传播。

    它是网络安全的关键要素之一

    好的,让我们了解一下什么是防火墙,它如何工作的,以及为什么拥有一个防火墙很重要。

    什么是防火墙?

    定义防火墙,认为中国的长城

    几个世纪以来,人们一直在筑墙以保护自己免受敌人的侵害。 无论是来自蒙古人、异鬼还是网络犯罪分子。 例如,蒙古帝国的成吉思汗不止一次地攻破了中国的长城,而是数次。 然而,防火墙是不同的。 这是有效的

    所以这是防火墙定义

    防火墙是一种保护系统,它通过过滤传入和传出的流量来保护网络。 防火墙的用户定义了一组防火墙遵循的规则。 这些规则定义了允许进出系统的流量。 防火墙会阻止其配置中未明确允许的每个数据包。

    防火墙不是灵丹妙药,但与其他安全解决方案相结合,它可以使系统几乎不受攻击。 如果您想要更好的网络安全防火墙是必须的——它可以阻止大多数源自网络外部的攻击

    既然您知道了防火墙是什么,我们就可以更深入地了解它的实际工作原理。

    防火墙有什么作用?

    本质上,防火墙的工作比较简单。 用户定义哪些流量可以通过,哪些不能通过。 通常,它会强制执行三个简单的命令 - drop rejectaccept/allow访问网络。

    以下是他们所做的:

    • Drop——试图进入或离开系统的数据包被直接阻止。
    • 拒绝 - 与 drop 命令相同,但数据的发送方将收到错误消息。
    • 接受/允许 – 数据包将能够通过防火墙。

    这三个命令的运行归功于预定义的规则。 当用户建立新的防火墙时,他们会配置哪些流量可以到达或离开网络。

    防火墙不仅可以根据IP 地址,还可以根据域名关键字协议端口应用程序来阻止(或允许)访问。

    例如,您可以将防火墙的设置配置为仅接受来自员工家庭 IP 地址的流量。 这样,如果同一名员工试图从咖啡馆连接到您的网络,他将被阻止。

    防火墙根据预定义的规则检查每个数据包。 如果您添加了 10 个受信任的 IP 地址,防火墙将阻止来自列表外IP 的所有数据包 如果有多个规则,则每个连接都必须成功通过其中每一个

    通常,用户无法预测每个可能的连接。 因此,为了让防火墙在特定规则不适用时正常工作,有一个默认策略就位。

    防火墙默认策略

    如果您的防火墙安全解决方案收到用户生成的规则不适用的数据包,则默认策略将起作用。 在这种情况下,它只执行上述三个命令之一。

    假设防火墙默认策略设置为“允许”。 这意味着除了明确禁止的连接之外,所有连接都被批准。 这实际上是一个糟糕的安全协议,因为在这种情况下,恶意数据包很容易渗透到网络中。

    如果默认策略设置为“丢弃” ,它将忽略所有不符合规则的连接。

    现在。

    防火墙对流量的反应方式有所不同。 传入传出的流量,因此两者的规则不同。

    通常,始终允许传出流量,因为它来自可能受信任的来源 - 您的服务器。

    但是,应该有一些限制,因为理论上网络犯罪分子可以超越服务器。 如果您认为可能是这种情况,那么您不希望不受信任的通信(例如共享敏感数据)出去。

    以不同的方式网络防火墙对待的传入流量-有需要为每个特定的情况下一大堆规则。 最大限度地发挥防火墙的安全优势可能是一项令人厌烦的工作。

    既然您已经对什么是防火墙有了相当不错的了解,那么让我们看看各种类型的防火墙之间的区别

    防火墙的类型

    没有像一个防火墙来统治所有。 防火墙有不同的外壳,并有不同的过滤流量的方式。

    有三种最常见的防火墙类型-包过滤有状态应用程序级

    包过滤

    包过滤是第一代防火墙

    当防火墙使用这种方法时,它会检查每个进出网络的数据包。 防火墙通过根据用户定义的规则接受或丢弃数据包来提供保护

    数据包过滤是一个不错的安全选项,但绝对不是最好的。 而且,它需要大量的时间和精力来配置。

    状态防火墙

    状态防火墙,也称为第二代防火墙,可以将数据包与以前的数据包进行比较。 这使得这种类型的防火墙的比包过滤(也被称为无状态更加灵活 从本质上讲,状态防火墙以速度换取更好的安全性。

    简而言之,状态防火墙可以“记住”进出受信任网络的数据传输,从而将防火墙规则应用于整个通信 另一方面,包过滤必须根据其规则测量每个数据包。

    应用级网关/代理服务器防火墙

    现在您知道前两种类型的防火墙控制传入和传出流量。 第三代防火墙——应用层,更进一步分析数据,从而允许或拒绝访问特定应用程序(因此得名)。 它能够阻止不符合其用户定义策略的应用程序和服务。

    好的,以上就是三种主要类型的防火墙

    然而,这并不意味着防火墙只使用其中一种技术。 事实上,一个好的网络防火墙结合了这些方法中的两种或全部,以提供更高级别的安全性。

    这些方法是每个软件防火墙的核心 最重要的是,还可以有一个硬件防火墙,以提高防火墙的安全性

    硬件防火墙

    硬件防火墙通常是内置包过滤技术的设备。 它们可以是独立设备,也可以在宽带路由器中实现 由于它们是抵御恶意数据的第一道防线,硬件防火墙旨在通过覆盖其入口和出口点来保护本地网络上的所有系统。

    硬件防火墙的好处之一是易于配置。 配置完成后,您可以使用以下任何免费工具对其进行测试: NMap TenablePersonal Firewall

    软件防火墙

    软件防火墙,也称为防火墙,基于主机的,是为个人保护的最常用的方法。 硬件防火墙不同软件防火墙只保护安装它的设备,而不是整个网络。 为了更好的安全性,最好同时使用两者,这称为基于网络的防火墙

    软件防火墙允许用户定义他们的一些功能,但不提供硬件防火墙提供的完全定制选项

    大多数软件防火墙不仅可以保护您免受外部威胁,还可以抵御一些最常见的恶意应用程序。 GlassWire 是此类安全应用程序的完美示例。

    与大多数安全元素一样,让您的防火墙保持最新状态至关重要。

    下一代防火墙

    2009 年,咨询公司 Gartner 定义了“下一代防火墙”一词。 顾名思义,它是传统防火墙的改进版本

    下一代防火墙 (NGFW) 将其策略应用于应用程序、协议和端口。

    与传统防火墙不同,NGFW 执行所谓的深度包检测(DPI)。这种方法不同于传统的包过滤,后者只检查包头。 另一方面,DPI 检查包内的数据以检查包是否安全。

    深度包检测结合了入侵检测系统(IDS)、入侵防御系统(IPS) 和传统的状态防火墙。

    大多数企业使用下一代网络防火墙,因为它提供了更好的整体安全性。 这是一个更复杂的解决方案,不仅提供数据包过滤,还提供检测恶意应用程序。

    一些下一代防火墙甚至可以检测和阻止勒索软件攻击,如 WannaCry、NotPetya 等。它们还可以阻止网络钓鱼电子邮件和其他类型的网络攻击

    后者也称为以威胁为中心的 NGFW 这些防火墙提供了常见的新一代防火墙的所有可能性——以及高级威胁检测。 思科的 Firepower 模型是以威胁为中心的 NGFW 的典型示例。

    受欢迎的防火墙供应商

    如今的企业非常喜欢将 NGFW 作为其安全框架中的核心元素。

    这些产品的区别与任何其他安全设备一样。 价格、性能、易用性等属性——企业在购买 NGFW 解决方案时会考虑所有这些以及更多因素。

    因此,我们将根据他们控制的市场规模来审查防火墙供应商。

    思科 Firepower 下一代防火墙

    思科的下一代防火墙以其全面的威胁防护而自豪。 (意思是——在攻击之前、之中和之后。)

    他们的硬件解决方案带有内置的高级恶意软件保护沙盒和下一代入侵防御系统。 沙盒意味着防火墙将潜在危险的应用程序置于“沙盒”中,从而将它们隔离在更安全的环境中,使其无法访问网络。

    更酷的是该公司声称他们的 NGFW 可以在不到一天的时间内检测到感染。

    这是一个方便的功能,因为他们的研究显示从感染到检测的中位数为 100 天

    不过,所有这些额外的东西都不便宜。 思科 Firepower 4150 的价格可能超过 175,000 美元。

    帕洛阿尔托网络

    Palo Alto Networks NGFW 为其用户提供了一个“对网络延迟影响很小或没有影响”的快速网络。 由于他们的 GlobalProtect 系统,他们的网络防火墙可以保护从全球任何地方登录网络的所有设备。

    自然,它可以抵御病毒、蠕虫和其他恶意应用程序。

    他们产品的价格处于上层,但您获得的安全质量也是如此。

    Fortinet 的 FortiGate

    Fortinet NGFW 是一个更实惠的选择,但又不影响安全性,是一个很好的选择。 这个名为 FortiGate 的网络防火墙具有自动化功能,可以减少对实际安全人员的需求。

    FortiGate 还声称提供“超低”延迟和独立认证的威胁情报更新。

    他们的型号比竞争对手的便宜一点,尽管有些型号每年仍要花费高达 500,000 美元。

    Check Point 软件技术

    Check Point 的 NGFW 以其统一的管理控制台脱颖而出。 它提供对所有网络(包括基于云的)的集中管理控制 这样可以更轻松地管理网络的安全性。

    网络防火墙防止勒索,零日攻击,和许多其他的网络攻击。 Checkpoint 的下一代防火墙建立在传统的 NGFW 功能之上,例如 IPS、VPN 和应用程序控制。 最重要的是,Checkpoint 添加了关键改进,例如公共云和私有云上的虚拟防火墙

    Fortinet 的其他好处之一是他们的产品更实惠

    这四家公司脱颖而出,成为防火墙行业的“领头羊”,

    包起来

    我们已经介绍了防火墙是什么、它如何工作的以及不同类型的防火墙的基础知识 无论您选择哪种类型的网络防火墙——它都是您系统入口和出口点的防火墙

    无论您是负责企业、SMB 所有者,还是只是一个普通的 Joe,都必须拥有防火墙。 如果没有,您的网络很容易受到各种网络攻击。

    值得庆幸的是,您有很多选择 - 无论是软件、硬件,还是两者兼而有之。

    保持在线安全,我们下次再见。

    常问问题

    什么是计算机上的防火墙?

    防火墙是一种软件解决方案,可保护您的计算机免受不需要的流量和恶意应用程序的侵害。 它充当数据包的过滤器,并根据用户定义的规则允许或拒绝访问连接。 防火墙以两种方式工作 - 用于传入和传出流量。

    防火墙的作用是什么?

    网络防火墙有一个主要功能——拒绝任何恶意数据包访问网络。 尽管如此,大多数防火墙还有许多其他用途——例如反恶意软件保护、统一所有安全管理等。

    今天,大多数企业使用下一代防火墙 (NGFW),它是多用途网络安全解决方案。 除了典型的防火墙功能外,它们还具有其他工具,例如防病毒软件和反恶意软件。 这创建了企业和中小型企业可以利用的通用安全层。

    也就是说,普通人也可以从防火墙中受益。 个人防火墙没有提供那么多的安全工具——主要是因为它们不需要它们。 企业是更具吸引力的目标,这保证了大多数人永远不需要的防火墙安全方面的额外优势。

    防火墙的三种类型是什么?

    实际上有五种不同类型的防火墙:

    包过滤防火墙
    状态防火墙
    应用级网关(或代理服务器防火墙)
    电路级网关
    下一代防火墙 (NGFW)

    企业大多使用下一代防火墙,它是两种或多种类型防火墙的组合,再加上一些额外的安全功能。

    下面是每种类型的防火墙的工作原理:

    包过滤防火墙:

    它们通过将每个传入和传出数据包与一组规则进行比较来控制对网络的访问。 这些规则是用户定义的,与允许进入或离开网络的 IP、端口和协议相关。

    状态防火墙:

    状态防火墙比数据包过滤更安全、更快,在整个通信过程中检查数据包的状态。 与我们刚刚提到的不太复杂的表兄弟不同,这些防火墙检查传入或传出数据的标头和代理,从而使过程更快、更安全。

    电路级网关

    这些防火墙在应用层(稍后会详细介绍)和传输层之间工作。 他们观察 TCP 握手以验证是否允许会话到达网络。 它们在代理和客户端之间创建了一个虚拟电路。 这是电路级网关和应用级网关之间的区别之一,它们使用代理服务器来隐藏和保护网络。

    但是,电路级网关不会过滤单个数据包。

    应用层网关

    该防火墙是基本类型防火墙中最安全的。 它分析数据,不仅可以阻止通信,还可以阻止恶意应用程序。 通过使用代理服务器,该防火墙屏蔽了用户的 IP 地址,从而进一步提高了网络的整体安全性。 毕竟,这就是防火墙的全部意义所在。