當我們談到網路開放性帶來的安全挑戰時,都會想起駭客、病毒、惡意軟體等等。 而正是因為這些威脅,讓網路安全變成了網路世界裡的重要議題,如果說起怎麼保護網路安全,基本上我們都會第一時間想到防火牆。 畢竟防火牆是電腦網路安全的基本組件了。
網路威脅的複雜多樣,衍生出了不同類型的防火牆,而且每種都有獨特的功能、優點和應用場景。 今天就帶你一起探索一下,深入了解這8種類型的防火牆。
一、什麼是防火牆?
防火牆是一種監視網路流量並偵測潛在威脅的安全設備或程序,作為一道保護屏障,它只允許非威脅性流量進入,阻止危險流量進入。
防火牆是client-server模型中網路安全的基礎之一,但它們容易受到以下方面的攻擊:
社會工程攻擊(例如,有人竊取密碼並進行詐欺)。
內部威脅(例如,內部網路中的某人故意更改防火牆設定)。
人為錯誤(例如,員工忘記打開防火牆或忽略更新通知)。
二、防火牆是如何運作的?
企業在網路中設置內聯防火牆,作為外部來源和受保護系統之間的邊界。
管理員建立阻塞點,防火牆在阻塞點檢查所有進出網路的資料包,包含:
有效負載(實際內容)。
標頭(有關數據的信息,例如誰發送了數據,發給了誰)。
防火牆根據預設規則分析資料包,以區分良性和惡意流量。 這些規則集規定了防火牆如何檢查以下內容:
來源IP和目的IP 位址。
有效負載中的內容。
封包協定(例如,連線是否使用 TCP/IP 協定)。
應用協定(HTTP、Telnet、FTP、DNS、SSH 等)。
表明特定網路攻擊的資料模式。
防火牆阻止所有不符合規則的資料包,並將安全資料包路由到預期的接收者。 當防火牆阻止流量進入網路時,有兩種選擇:
默默地放棄請求。
向寄件者發送error訊息。
這兩種選擇都可以將危險流量排除在網路之外。
通常,安全團隊更喜歡默默放棄請求以限制訊息,以防潛在的駭客測試防火牆的漏洞。
三、基於部署方式的防火牆類型
根據部署方式,防火牆可以分為三種類型:軟體防火牆、硬體防火牆和基於雲端的防火牆。
01 軟體防火牆
軟體防火牆(或主機防火牆)直接安裝在主機設備上。 這種類型的防火牆只保護一台機器(網路終端、桌上型電腦、筆記型電腦、伺服器等),因此管理員必須在他們想要保護的每台設備上安裝一個版本的軟體。
由於管理員將軟體防火牆附加到特定設備上,因此這些防火牆不可避免地會佔用一些系統 RAM 和 CPU,這在某些情況下是一個問題。
軟體防火牆的優點:
為指定設備提供出色的保護。
將各個網路端點彼此隔離。
高精度的安全性,管理員可以完全控制允許的程式。
隨時可用。
軟體防火牆的缺點:
消耗設備的 CPU、RAM 和儲存空間。
需要為每個主機設備配置。
日常維護既困難又耗時。
並非所有裝置都與每個防火牆相容,因此可能必須在同一網路中使用不同的解決方案。
02 硬體防火牆
硬體防火牆(或設備防火牆)是一個單獨的硬件,用於過濾進出網路的流量。
與軟體防火牆不同,這些獨立設備有自己的資源,不會佔用主機設備的任何 CPU 或 RAM。 硬體防火牆相對更適合大型企業,中小型企業可能會更多地選擇在每台主機上安裝軟體防火牆的方式,硬體防火牆對於擁有多個包含大量電腦的子網路的大型組織來說是一個極好的 選擇。
硬體防火牆的優點:
使用一種解決方案保護多台設備。
頂級邊界安全性,因為惡意流量永遠不會到達主機設備。
不消耗主機設備資源。
管理員只需為整個網路管理一個防火牆。
硬體防火牆的缺點:
比軟體防火牆昂貴。
內部威脅是一個相當大的弱點。
與基於軟體的防火牆相比,配置和管理需要更多的技能。
03 基於雲端的防火牆
許多供應商提供基於雲端的防火牆,它們透過 Internet 按需提供。
這些服務也稱為防火牆即服務(FaaS),以IaaS 或 PaaS的形式運作。
基於雲端的防火牆非常適用於:
高度分散的業務。
在安全資源方面存在缺口的團隊。
不具備必要的內部專業知識的公司。
與基於硬體的解決方案一樣,雲端防火牆在邊界安全方面表現出色,同時也可以在每個主機的基礎上設定這些系統。
雲端防火牆的優點:
服務提供者處理所有管理任務(安裝、部署、修補、故障排除等)。
使用者可以自由擴展雲端資源以滿足流量負載。
無需任何內部硬體。
高可用性。
雲端防火牆的缺點:
供應商究竟如何運作防火牆缺乏透明度。
與其他基於雲端的服務一樣,這些防火牆很難遷移到新的供應商。
流量流經第三方可能會增加延遲和隱私問題。
由於高昂的營運成本,長期來看是比較貴的。
四、基於操作方法的防火牆類型
以下是基於功能和 OSI 模型的五種類型的防火牆。
01 包過濾防火牆
包過濾防火牆充當網路層的檢查點,並將每個資料包的標頭資訊與一組預先建立的標準進行比較。
這些防火牆檢查以下基於標頭的資訊:
目的位址和來源 IP 位址。
資料包類型。
連接埠號。
網路協定。
這些類型的防火牆僅分析表面的細節,不會開啟資料包來檢查其有效負載。
包過濾防火牆在不考慮現有流量的情況下真空檢查每個資料包。
包過濾防火牆非常適合只需要基本安全功能來抵禦既定威脅的小型組織。
包過濾防火牆的優點:
低成本。
快速包過濾和處理。
擅長篩選內部部門之間的流量。
低資源消耗。
對網路速度和最終用戶體驗的影響最小。
多層防火牆策略中優異的第一道防線。
包過濾防火牆的缺點:
不檢查資料包有效負載(實際資料)。
對於有經驗的駭客來說很容易繞過。
無法在應用層進行過濾。
容易受到 IP 欺騙攻擊,因為它單獨處理每個資料包。
沒有使用者身份驗證或日誌記錄功能。
存取控制清單的設定和管理具有挑戰性。
02 電路級網關
電路級網關在 OSI 會話層運行,並監視本地和遠端主機之間的TCP(傳輸控制協定)握手。
其可以在不消耗大量資源的情況下快速批准或拒絕流量。 但是,這些系統不會檢查資料包,因此如果 TCP 握手通過,即使是感染了惡意軟體的請求也可以存取。
電路級網關的優點:
僅處理請求的事務,並拒絕所有其他流量。
易於設定和管理。
資源和成本效益。
強大的地址暴露保護。
對最終使用者體驗的影響最小。
電路級網關的缺點:
不是一個獨立的解決方案,因為沒有內容過濾。
通常需要對軟體和網路協定進行調整。
03 狀態偵測防火牆
狀態偵測防火牆(或動態封包過濾防火牆)在網路層和傳輸層監控傳入和傳出的封包。 這類防火牆結合了封包偵測和 TCP 握手驗證。
狀態偵測防火牆維護一個表格資料庫,追蹤所有開啟的連線使系統能夠檢查現有的流量流。
該資料庫儲存所有與關鍵資料包相關的信息,包括:
源IP。
來源連接埠。
目的 IP。
每個連接的目標連接埠。
當一個新資料包到達時,防火牆檢查有效連接表。 偵測過的資料包無需進一步分析即可通過,而防火牆會根據預設規則集評估不匹配的流量。
狀態檢測防火牆的優點:
過濾流量時會自動通過先前檢查過的資料包。
在阻止利用協定缺陷的攻擊方面表現出色。
無需打開大量連接埠來讓流量進出,這可以縮小攻擊面。
詳細的日誌記錄功能,有助於數位鑑識。
減少對連接埠掃描器的暴露。
狀態偵測防火牆的缺點:
比包過濾防火牆更昂貴。
需要高水準的技能才能正確設定。
通常會影響效能並導致網路延遲。
不支援驗證欺騙流量來源的身份驗證。
容易受到利用預先建立連線的 TCP Flood攻擊。
04 代理防火牆
代理防火牆(或應用級網關)充當內部和外部系統之間的中介。
這類防火牆會在客戶端要求傳送到主機之前先屏蔽,從而保護網路。
代理防火牆在應用層運行,具有深度包檢測 (DPI)功能,可檢查傳入流量的有效負載和標頭。
當客戶端發送存取網路的請求時,訊息首先到達代理伺服器。
防火牆會檢查以下內容:
客戶端和防火牆後面的設備之間的先前通訊(如果有的話)。
標頭資訊。
內容本身。
然後代理封鎖該請求並將訊息轉送到Web 伺服器。 此過程隱藏了客戶端的 ID。 伺服器回應並將請求的資料傳送給代理,之後防火牆將訊息傳遞給原始客戶端。
代理防火牆是企業保護 Web應用程式免受惡意使用者攻擊的首選。
代理防火牆的優點:
DPI檢查封包標頭和有效負載 。
在客戶端和網路之間新增了一個額外的隔離層。
對潛在威脅行為者隱藏內部 IP 位址。
偵測並阻止網路層不可見的攻擊。
對網路流量進行細粒度的安全控制。
解除地理位置限制。
代理防火牆的缺點:
由於徹底的資料包檢查和額外的通訊步驟,會導致延遲增加。
由於處理開銷高,不如其他類型的防火牆成本低。
設置和管理具有挑戰性。
不相容於所有網路協定。
05 新一代防火牆
新一代防火牆(NGFW)是將其他防火牆的多種功能整合在一起的安全設備或程式。
這樣的系統提供:
分析流量內容的深度資料包偵測(DPI)。
TCP 握手檢查。
表層資料包檢測。
新一代防火牆還包括額外的網路安全措施,例如:
IDS 和 IPS。
惡意軟體掃描和過濾。
高階威脅情報(模式匹配、基於協定的偵測、基於異常的偵測等)
防病毒程式。
網路位址轉換 (NAT)。
服務品質 (QoS)功能。
SSH檢查。
NGFW 是醫療保健或金融等受到嚴格監管的行業的常見選擇。
下一代防火牆的優點:
將傳統防火牆功能與進階網路安全功能結合。
檢查從資料鏈結層到應用層的網路流量。
日誌記錄功能。
下一代防火牆的缺點:
比其他防火牆更昂貴。
存在單點故障。
部署時間緩慢。
需要高度的專業知識才能設定和運作。
影響網路效能。
任何一個保護層,無論多麼強大,都不足以完全保護你的業務。 企業往往會在同一個網路中設置多個防火牆,選擇理想的防火牆首先要了解企業網路的架構和功能,確定這些不同類型的防火牆和防火牆策略哪個最適合自己。 通常情況下,企業網路應該設置多層防火牆,既在外圍保護又在網路上分隔不同的資產,從而使你的網路更難破解。