什麼是防火牆,它為什麼重要? [初學者指南]

已發表: 2019-07-17
目錄

  • 什麼是防火牆?

  • 防火牆有什麼作用?

  • 防火牆的類型

  • 下一代防火牆

  • 受歡迎的防火牆供應商

  • 包起來

    • 在我們的社會中,在線隱私和安全都是稀有商品。 統計數據說明了這一點。

    每年都有數十億條記錄被洩露 不僅如此,網絡世界中還有超過 9 億個惡意軟件在運行。 因此,一個合理的問題脫穎而出——我們中的任何人都可以安全嗎?

    值得慶幸的是,VPN 和反惡意軟件可以幫助保護您的流量,但有時它們只能做這麼多。 你需要一些東西來帶領你的防禦部隊對抗在線空間中的大量敵人。

    這就是防火牆的用武之地。

    什麼是防火牆

    在建築中,防火牆是一堵混凝土(在大多數情況下)牆,只有一個目的——阻止最終的火勢蔓延到整個建築物。

    計算中的“防火牆”一詞源自架構中使用的術語。 它的目的是相同的——阻止任何危​​險在網絡中傳播。

    它是網絡安全的關鍵要素之一

    好的,讓我們了解一下什麼是防火牆,它如何工作的,以及為什麼擁有一個防火牆很重要。

    什麼是防火牆?

    定義防火牆,認為中國的長城

    幾個世紀以來,人們一直在築牆以保護自己免受敵人的侵害。 無論是來自蒙古人、異鬼還是網絡犯罪分子。 例如,蒙古帝國的成吉思汗不止一次地攻破了中國的長城,而是數次。 然而,防火牆是不同的。 這是有效的

    所以這是防火牆定義

    防火牆是一種保護系統,它通過過濾傳入和傳出的流量來保護網絡。 防火牆的用戶定義了一組防火牆遵循的規則。 這些規則定義了允許進出系統的流量。 防火牆會阻止其配置中未明確允許的每個數據包。

    防火牆不是靈丹妙藥,但與其他安全解決方案相結合,它可以使系統幾乎不受攻擊。 如果您想要更好的網絡安全防火牆是必須的——它可以阻止大多數源自網絡外部的攻擊

    既然您知道了防火牆是什麼,我們就可以更深入地了解它的實際工作原理。

    防火牆有什麼作用?

    本質上,防火牆的工作比較簡單。 用戶定義哪些流量可以通過,哪些不能通過。 通常,它會強制執行三個簡單的命令 - drop rejectaccept/allow訪問網絡。

    以下是他們所做的:

    • Drop——試圖進入或離開系統的數據包被直接阻止。
    • 拒絕 - 與 drop 命令相同,但數據的發送方將收到錯誤消息。
    • 接受/允許 – 數據包將能夠通過防火牆。

    這三個命令的運行歸功於預定義的規則。 當用戶建立新的防火牆時,他們會配置哪些流量可以到達或離開網絡。

    防火牆不僅可以根據IP 地址,還可以根據域名關鍵字協議端口應用程序來阻止(或允許)訪問。

    例如,您可以將防火牆的設置配置為僅接受來自員工家庭 IP 地址的流量。 這樣,如果同一名員工試圖從咖啡館連接到您的網絡,他將被阻止。

    防火牆根據預定義的規則檢查每個數據包。 如果您添加了 10 個受信任的 IP 地址,防火牆將阻止來自列表外IP 的所有數據包 如果有多個規則,則每個連接都必須成功通過其中每一個

    通常,用戶無法預測每個可能的連接。 因此,為了讓防火牆在特定規則不適用時正常工作,有一個默認策略就位。

    防火牆默認策略

    如果您的防火牆安全解決方案收到用戶生成的規則不適用的數據包,則默認策略將起作用。 在這種情況下,它只執行上述三個命令之一。

    假設防火牆默認策略設置為“允許”。 這意味著除了明確禁止的連接之外,所有連接都被批准。 這實際上是一個糟糕的安全協議,因為在這種情況下,惡意數據包很容易滲透到網絡中。

    如果默認策略設置為“丟棄” ,它將忽略所有不符合規則的連接。

    現在。

    防火牆對流量的反應方式有所不同。 傳入傳出的流量,因此兩者的規則不同。

    通常,始終允許傳出流量,因為它來自可能受信任的來源 - 您的服務器。

    但是,應該有一些限制,因為理論上網絡犯罪分子可以超越服務器。 如果您認為可能是這種情況,那麼您不希望不受信任的通信(例如共享敏感數據)出去。

    以不同的方式網絡防火牆對待的傳入流量-有需要為每個特定的情況下一大堆規則。 最大限度地發揮防火牆的安全優勢可能是一項令人厭煩的工作。

    既然您已經對什麼是防火牆有了相當不錯的了解,那麼讓我們看看各種類型的防火牆之間的區別

    防火牆的類型

    沒有像一個防火牆來統治所有。 防火牆有不同的外殼,並有不同的過濾流量的方式。

    有三種最常見的防火牆類型-包過濾有狀態應用程序級

    包過濾

    包過濾是第一代防火牆

    當防火牆使用這種方法時,它會檢查每個進出網絡的數據包。 防火牆通過根據用戶定義的規則接受或丟棄數據包來提供保護

    數據包過濾是一個不錯的安全選項,但絕對不是最好的。 而且,它需要大量的時間和精力來配置。

    狀態防火牆

    狀態防火牆,也稱為第二代防火牆,可以將數據包與以前的數據包進行比較。 這使得這種類型的防火牆的比包過濾(也被稱為無狀態更加靈活 從本質上講,狀態防火牆以速度換取更好的安全性。

    簡而言之,狀態防火牆可以“記住”進出受信任網絡的數據傳輸,從而將防火牆規則應用於整個通信 另一方面,包過濾必鬚根據其規則測量每個數據包。

    應用級網關/代理服務器防火牆

    現在您知道前兩種類型的防火牆控制傳入和傳出流量。 第三代防火牆——應用層,更進一步分析數據,從而允許或拒絕訪問特定應用程序(因此得名)。 它能夠阻止不符合其用戶定義策略的應用程序和服務。

    好的,以上就是三種主要類型的防火牆

    然而,這並不意味著防火牆只使用其中一種技術。 事實上,一個好的網絡防火牆結合了這些方法中的兩種或全部,以提供更高級別的安全性。

    這些方法是每個軟件防火牆的核心 最重要的是,還可以有一個硬件防火牆,以提高防火牆的安全性

    硬件防火牆

    硬件防火牆通常是內置包過濾技術的設備。 它們可以是獨立設備,也可以在寬帶路由器中實現 由於它們是抵禦惡意數據的第一道防線,硬件防火牆旨在通過覆蓋其入口和出口點來保護本地網絡上的所有系統。

    硬件防火牆的好處之一是易於配置。 配置完成後,您可以使用以下任何免費工具對其進行測試: NMap TenablePersonal Firewall

    軟件防火牆

    軟件防火牆,也稱為防火牆,基於主機的,是為個人保護的最常用的方法。 硬件防火牆不同軟件防火牆只保護安裝它的設備,而不是整個網絡。 為了更好的安全性,最好同時使用兩者,這稱為基於網絡的防火牆

    軟件防火牆允許用戶定義他們的一些功能,但不提供硬件防火牆提供的完全定制選項

    大多數軟件防火牆不僅可以保護您免受外部威脅,還可以抵禦一些最常見的惡意應用程序。 GlassWire 是此類安全應用程序的完美示例。

    與大多數安全元素一樣,讓您的防火牆保持最新狀態至關重要。

    下一代防火牆

    2009 年,諮詢公司 Gartner 定義了“下一代防火牆”一詞。 顧名思義,它是傳統防火牆的改進版本

    下一代防火牆 (NGFW) 將其策略應用於應用程序、協議和端口。

    與傳統防火牆不同,NGFW 執行所謂的深度包檢測(DPI)。這種方法不同於傳統的包過濾,後者只檢查包頭。 另一方面,DPI 檢查包內的數據以檢查包是否安全。

    深度包檢測結合了入侵檢測系統(IDS)、入侵防禦系統(IPS) 和傳統的狀態防火牆。

    大多數企業使用下一代網絡防火牆,因為它提供了更好的整體安全性。 這是一個更複雜的解決方案,不僅提供數據包過濾,還提供檢測惡意應用程序。

    一些下一代防火牆甚至可以檢測和阻止勒索軟件攻擊,如 WannaCry、NotPetya 等。它們還可以阻止網絡釣魚電子郵件和其他類型的網絡攻擊

    後者也稱為以威脅為中心的 NGFW 這些防火牆提供了常見的新一代防火牆的所有可能性——以及高級威脅檢測。 思科的 Firepower 模型是以威脅為中心的 NGFW 的典型示例。

    受歡迎的防火牆供應商

    如今的企業非常喜歡將 NGFW 作為其安全框架中的核心元素。

    這些產品的區別與任何其他安全設備一樣。 價格、性能、易用性等屬性——企業在購買 NGFW 解決方案時會考慮所有這些以及更多因素。

    因此,我們將根據他們控制的市場規模來審查防火牆供應商。

    思科 Firepower 下一代防火牆

    思科的下一代防火牆以其全面的威脅防護而自豪。 (意思是——在攻擊之前、之中和之後。)

    他們的硬件解決方案帶有內置的高級惡意軟件保護沙盒和下一代入侵防禦系統。 沙盒意味著防火牆將潛在危險的應用程序置於“沙盒”中,從而將它們隔離在更安全的環境中,使其無法訪問網絡。

    更酷的是該公司聲稱他們的 NGFW 可以在不到一天的時間內檢測到感染。

    這是一個方便的功能,因為他們的研究顯示從感染到檢測的中位數為 100 天

    不過,所有這些額外的東西都不便宜。 思科 Firepower 4150 的價格可能超過 175,000 美元。

    帕洛阿爾托網絡

    Palo Alto Networks NGFW 為其用戶提供了一個“對網絡延遲影響很小或沒有影響”的快速網絡。 由於他們的 GlobalProtect 系統,他們的網絡防火牆可以保護從全球任何地方登錄網絡的所有設備。

    自然,它可以抵禦病毒、蠕蟲和其他惡意應用程序。

    他們產品的價格處於上層,但您獲得的安全質量也是如此。

    Fortinet 的 FortiGate

    Fortinet NGFW 是一個更實惠的選擇,但又不影響安全性,是一個很好的選擇。 這個名為 FortiGate 的網絡防火牆具有自動化功能,可以減少對實際安全人員的需求。

    FortiGate 還聲稱提供“超低”延遲和獨立認證的威脅情報更新。

    他們的型號比競爭對手的便宜一點,儘管有些型號每年仍要花費高達 500,000 美元。

    Check Point 軟件技術

    Check Point 的 NGFW 以其統一的管理控制台脫穎而出。 它提供對所有網絡(包括基於雲的)的集中管理控制 這樣可以更輕鬆地管理網絡的安全性。

    網絡防火牆防止勒索,零日攻擊,和許多其他的網絡攻擊。 Checkpoint 的下一代防火牆建立在傳統的 NGFW 功能之上,例如 IPS、VPN 和應用程序控制。 最重要的是,Checkpoint 添加了關鍵改進,例如公共雲和私有云上的虛擬防火牆

    Fortinet 的其他好處之一是他們的產品更實惠

    這四家公司脫穎而出,成為防火牆行業的“領頭羊”,

    包起來

    我們已經介紹了防火牆是什麼、它如何工作的以及不同類型的防火牆的基礎知識 無論您選擇哪種類型的網絡防火牆——它都是您系統入口和出口點的防火牆

    無論您是負責企業、SMB 所有者,還是只是一個普通的 Joe,都必須擁有防火牆。 如果沒有,您的網絡很容易受到各種網絡攻擊。

    值得慶幸的是,您有很多選項可供選擇——無論是軟件、硬件,還是兩者兼而有之。

    保持在線安全,我們下次再見。

    常問問題

    什麼是計算機上的防火牆?

    防火牆是一種軟件解決方案,可保護您的計算機免受不需要的流量和惡意應用程序的侵害。 它充當數據包的過濾器,並根據用戶定義的規則允許或拒絕訪問連接。 防火牆以兩種方式工作 - 用於傳入和傳出流量。

    防火牆的作用是什麼?

    網絡防火牆有一個主要功能——拒絕任何惡意數據包訪問網絡。 儘管如此,大多數防火牆還有許多其他用途——例如反惡意軟件保護、統一所有安全管理等。

    今天,大多數企業使用下一代防火牆 (NGFW),它是多用途網絡安全解決方案。 除了典型的防火牆功能外,它們還具有其他工具,例如防病毒軟件和反惡意軟件。 這創建了企業和中小型企業可以利用的通用安全層。

    也就是說,普通人也可以從防火牆中受益。 個人防火牆沒有提供那麼多的安全工具——主要是因為它們不需要它們。 企業是更具吸引力的目標,這保證了大多數人永遠不需要的防火牆安全方面的額外優勢。

    防火牆的三種類型是什麼?

    實際上有五種不同類型的防火牆:

    包過濾防火牆
    狀態防火牆
    應用級網關(或代理服務器防火牆)
    電路級網關
    下一代防火牆 (NGFW)

    企業大多使用下一代防火牆,它是兩種或多種類型防火牆的組合,再加上一些額外的安全功能。

    下面是每種類型的防火牆的工作原理:

    包過濾防火牆:

    它們通過將每個傳入和傳出數據包與一組規則進行比較來控制對網絡的訪問。 這些規則是用戶定義的,與允許進入或離開網絡的 IP、端口和協議相關。

    狀態防火牆:

    狀態防火牆比數據包過濾更安全、更快,在整個通信過程中檢查數據包的狀態。 與我們剛剛提到的不太複雜的表兄弟不同,這些防火牆檢查傳入或傳出數據的標頭和代理,從而使過程更快、更安全。

    電路級網關

    這些防火牆在應用層(稍後會詳細介紹)和傳輸層之間工作。 他們觀察 TCP 握手以驗證是否允許會話到達網絡。 它們在代理和客戶端之間創建了一個虛擬電路。 這是電路級網關和應用級網關之間的區別之一,它們使用代理服務器來隱藏和保護網絡。

    但是,電路級網關不會過濾單個數據包。

    應用層網關

    該防火牆是基本類型防火牆中最安全的。 它分析數據,不僅可以阻止通信,還可以阻止惡意應用程序。 通過使用代理服務器,該防火牆屏蔽了用戶的 IP 地址,從而進一步提高了網絡的整體安全性。 畢竟,這就是防火牆的全部意義所在。