1什么是防火墻？

防火墻是一種監(jiān)視網(wǎng)絡(luò)流量并檢測潛在威脅的安全設(shè)備或程序，作為一道保護(hù)屏障，它只允許非威脅性流量進(jìn)入，阻止危險流量進(jìn)入。

防火墻是client-server模型中網(wǎng)絡(luò)安全的基礎(chǔ)之一，但它們?nèi)菀资艿揭韵路矫娴墓?

社會工程攻擊（例如，有人竊取密碼并進(jìn)行欺詐）。

內(nèi)部威脅（例如，內(nèi)網(wǎng)中的某人故意更改防火墻設(shè)置）。

人為錯誤（例如，員工忘記打開防火墻或忽略更新通知）。

2防火墻是如何工作的？

企業(yè)在網(wǎng)絡(luò)中設(shè)置內(nèi)聯(lián)防火墻，作為外部源和受保護(hù)系統(tǒng)之間的邊界。 管理員創(chuàng)建阻塞點，防火墻在阻塞點檢查所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，包含:

有效負(fù)載（實際內(nèi)容）。

標(biāo)頭（有關(guān)數(shù)據(jù)的信息，例如誰發(fā)送了數(shù)據(jù)，發(fā)給了誰）。

防火墻根據(jù)預(yù)設(shè)規(guī)則分析數(shù)據(jù)包，以區(qū)分良性和惡意流量。 這些規(guī)則集規(guī)定了防火墻如何檢查以下內(nèi)容：

源IP和目的IP 地址。

有效負(fù)載中的內(nèi)容。

數(shù)據(jù)包協(xié)議（例如，連接是否使用 TCP/IP 協(xié)議）。

應(yīng)用協(xié)議（HTTP、Telnet、FTP、DNS、SSH 等）。

表明特定網(wǎng)絡(luò)攻擊的數(shù)據(jù)模式。

防火墻阻止所有不符合規(guī)則的數(shù)據(jù)包，并將安全數(shù)據(jù)包路由到預(yù)期的接收者。 當(dāng)防火墻阻止流量進(jìn)入網(wǎng)絡(luò)時，有兩種選擇：

默默地放棄請求。

向發(fā)件人發(fā)送error信息。

這兩種選擇都可以將危險流量排除在網(wǎng)絡(luò)之外。 通常，安全團隊更喜歡默默放棄請求以限制信息，以防潛在的黑客測試防火墻的漏洞。

3基于部署方式的防火墻類型

根據(jù)部署方式，可以將防火墻分為三種類型：硬件防火墻、軟件防火墻和基于云的防火墻。

軟件防火墻

軟件防火墻（或主機防火墻）直接安裝在主機設(shè)備上。 這種類型的防火墻只保護(hù)一臺機器（網(wǎng)絡(luò)終端、臺式機、筆記本電腦、服務(wù)器等），因此管理員必須在他們想要保護(hù)的每臺設(shè)備上安裝一個版本的軟件。

由于管理員將軟件防火墻附加到特定設(shè)備上，因此這些防火墻不可避免地會占用一些系統(tǒng) RAM 和 CPU，這在某些情況下是一個問題。

軟件防火墻的優(yōu)點：

為指定設(shè)備提供出色的保護(hù)。

將各個網(wǎng)絡(luò)端點彼此隔離。

高精度的安全性，管理員可以完全控制允許的程序。

隨時可用。

軟件防火墻的缺點：

消耗設(shè)備的 CPU、RAM 和存儲空間。

需要為每個主機設(shè)備配置。

日常維護(hù)既困難又耗時。

并非所有設(shè)備都與每個防火墻兼容，因此可能必須在同一網(wǎng)絡(luò)中使用不同的解決方案。

硬件防火墻

硬件防火墻（或設(shè)備防火墻）是一個單獨的硬件，用于過濾進(jìn)出網(wǎng)絡(luò)的流量。與軟件防火墻不同，這些獨立設(shè)備有自己的資源，不會占用主機設(shè)備的任何 CPU 或 RAM。

硬件防火墻相對更適合大型企業(yè)，中小型企業(yè)可能更多地會選擇在每臺主機上安裝軟件防火墻的方式，硬件防火墻對于擁有多個包含大量計算機的子網(wǎng)的大型組織來說是一個極好的選擇。

硬件防火墻的優(yōu)點：

使用一種解決方案保護(hù)多臺設(shè)備。

頂級邊界安全性，因為惡意流量永遠(yuǎn)不會到達(dá)主機設(shè)備。

不消耗主機設(shè)備資源。

管理員只需為整個網(wǎng)絡(luò)管理一個防火墻。

硬件防火墻的缺點：

比軟件防火墻更昂貴。

內(nèi)部威脅是一個相當(dāng)大的弱點。

與基于軟件的防火墻相比，配置和管理需要更多的技能。

基于云的防火墻

許多供應(yīng)商提供基于云的防火墻，它們通過 Internet 按需提供。這些服務(wù)也稱為防火墻即服務(wù)（FaaS），以IaaS 或 PaaS的形式運行。

基于云的防火墻非常適用于：

高度分散的業(yè)務(wù)。

在安全資源方面存在缺口的團隊。

不具備必要的內(nèi)部專業(yè)知識的公司。

與基于硬件的解決方案一樣，云防火墻在邊界安全方面表現(xiàn)出色，同時也可以在每個主機的基礎(chǔ)上設(shè)置這些系統(tǒng)。

云防火墻的優(yōu)點：

服務(wù)提供商處理所有管理任務(wù)（安裝、部署、修補、故障排除等）。

用戶可以自由擴展云資源以滿足流量負(fù)載。

無需任何內(nèi)部硬件。

高可用性。

云防火墻的缺點：

供應(yīng)商究竟如何運行防火墻缺乏透明度。

與其他基于云的服務(wù)一樣，這些防火墻很難遷移到新的提供商。

流量流經(jīng)第三方可能會增加延遲和隱私問題。

由于高昂的運營成本，從長遠(yuǎn)來看是比較貴的。

4基于操作方法的防火墻類型

下面是基于功能和 OSI 模型的五種類型的防火墻。

包過濾防火墻

包過濾防火墻充當(dāng)網(wǎng)絡(luò)層的檢查點，并將每個數(shù)據(jù)包的標(biāo)頭信息與一組預(yù)先建立的標(biāo)準(zhǔn)進(jìn)行比較。這些防火墻檢查以下基于標(biāo)頭的信息：

目的地址和源 IP 地址。

數(shù)據(jù)包類型。

端口號。

網(wǎng)絡(luò)協(xié)議。

這些類型的防火墻僅分析表面的細(xì)節(jié)，不會打開數(shù)據(jù)包來檢查其有效負(fù)載。 包過濾防火墻在不考慮現(xiàn)有流量的情況下真空檢查每個數(shù)據(jù)包。 包過濾防火墻非常適合只需要基本安全功能來抵御既定威脅的小型組織。

包過濾防火墻的優(yōu)點：

低成本。

快速包過濾和處理。

擅長篩選內(nèi)部部門之間的流量。

低資源消耗。

對網(wǎng)絡(luò)速度和最終用戶體驗的影響最小。

多層防火墻策略中出色的第一道防線。

包過濾防火墻的缺點：

不檢查數(shù)據(jù)包有效負(fù)載（實際數(shù)據(jù)）。

對于有經(jīng)驗的黑客來說很容易繞過。

無法在應(yīng)用層進(jìn)行過濾。

容易受到 IP 欺騙攻擊，因為它單獨處理每個數(shù)據(jù)包。

沒有用戶身份驗證或日志記錄功能。

訪問控制列表的設(shè)置和管理具有挑戰(zhàn)性。

電路級網(wǎng)關(guān)

電路級網(wǎng)關(guān)在 OSI 會話層運行，并監(jiān)視本地和遠(yuǎn)程主機之間的TCP（傳輸控制協(xié)議）握手。 其可以在不消耗大量資源的情況下快速批準(zhǔn)或拒絕流量。 但是，這些系統(tǒng)不檢查數(shù)據(jù)包，因此如果 TCP 握手通過，即使是感染了惡意軟件的請求也可以訪問。

電路級網(wǎng)關(guān)的優(yōu)點：

僅處理請求的事務(wù)，并拒絕所有其他流量。

易于設(shè)置和管理。

資源和成本效益。

強大的地址暴露保護(hù)。

對最終用戶體驗的影響最小。

電路級網(wǎng)關(guān)的缺點：

不是一個獨立的解決方案，因為沒有內(nèi)容過濾。

通常需要對軟件和網(wǎng)絡(luò)協(xié)議進(jìn)行調(diào)整。

狀態(tài)檢測防火墻

狀態(tài)檢測防火墻（或動態(tài)包過濾防火墻）在網(wǎng)絡(luò)層和傳輸層監(jiān)控傳入和傳出的數(shù)據(jù)包。 這類防火墻結(jié)合了數(shù)據(jù)包檢測和 TCP 握手驗證。

狀態(tài)檢測防火墻維護(hù)一個表數(shù)據(jù)庫，該數(shù)據(jù)庫跟蹤所有打開的連接使系統(tǒng)能夠檢查現(xiàn)有的流量流。 該數(shù)據(jù)庫存儲所有與關(guān)鍵數(shù)據(jù)包相關(guān)的信息，包括：

源IP。

源端口。

目的 IP。

每個連接的目標(biāo)端口。

當(dāng)一個新數(shù)據(jù)包到達(dá)時，防火墻檢查有效連接表。 檢測過的數(shù)據(jù)包無需進(jìn)一步分析即可通過，而防火墻會根據(jù)預(yù)設(shè)規(guī)則集評估不匹配的流量。

狀態(tài)檢測防火墻的優(yōu)點：

過濾流量時會自動通過以前檢查過的數(shù)據(jù)包。

在阻止利用協(xié)議缺陷的攻擊方面表現(xiàn)出色。

無需打開大量端口來讓流量進(jìn)出，這可以縮小攻擊面。

詳細(xì)的日志記錄功能，有助于數(shù)字取證。

減少對端口掃描器的暴露。

狀態(tài)檢測防火墻的缺點：

比包過濾防火墻更昂貴。

需要高水平的技能才能正確設(shè)置。

通常會影響性能并導(dǎo)致網(wǎng)絡(luò)延遲。

不支持驗證欺騙流量源的身份驗證。

容易受到利用預(yù)先建立連接的 TCP Flood攻擊。

代理防火墻

代理防火墻（或應(yīng)用級網(wǎng)關(guān)）充當(dāng)內(nèi)部和外部系統(tǒng)之間的中介。 這類防火墻會在客戶端請求發(fā)送到主機之前對其進(jìn)行屏蔽，從而保護(hù)網(wǎng)絡(luò)。

代理防火墻在應(yīng)用層運行，具有深度包檢測 (DPI)功能，可以檢查傳入流量的有效負(fù)載和標(biāo)頭。

當(dāng)客戶端發(fā)送訪問網(wǎng)絡(luò)的請求時，消息首先到達(dá)代理服務(wù)器。

防火墻會檢查以下內(nèi)容：

客戶端和防火墻后面的設(shè)備之間的先前通信（如果有的話）。

標(biāo)頭信息。

內(nèi)容本身。

然后代理屏蔽該請求并將消息轉(zhuǎn)發(fā)到Web 服務(wù)器。 此過程隱藏了客戶端的 ID。 服務(wù)器響應(yīng)并將請求的數(shù)據(jù)發(fā)送給代理，之后防火墻將信息傳遞給原始客戶端。

代理防火墻是企業(yè)保護(hù) Web應(yīng)用免受惡意用戶攻擊的首選。

代理防火墻的優(yōu)點：

DPI檢查數(shù)據(jù)包標(biāo)頭和有效負(fù)載 。

在客戶端和網(wǎng)絡(luò)之間添加了一個額外的隔離層。

對潛在威脅行為者隱藏內(nèi)部 IP 地址。

檢測并阻止網(wǎng)絡(luò)層不可見的攻擊。

對網(wǎng)絡(luò)流量進(jìn)行細(xì)粒度的安全控制。

解除地理位置限制。

代理防火墻的缺點：

由于徹底的數(shù)據(jù)包檢查和額外的通信步驟，會導(dǎo)致延遲增加。

由于處理開銷高，不如其他類型的防火墻成本低。

設(shè)置和管理具有挑戰(zhàn)性。

不兼容所有網(wǎng)絡(luò)協(xié)議。

下一代防火墻

下一代防火墻(NGFW)是將其他防火墻的多種功能集成在一起的安全設(shè)備或程序。 這樣的系統(tǒng)提供：

分析流量內(nèi)容的深度數(shù)據(jù)包檢測（DPI）。

TCP 握手檢查。

表層數(shù)據(jù)包檢測。

下一代防火墻還包括額外的網(wǎng)絡(luò)安全措施，例如：

IDS 和 IPS。

惡意軟件掃描和過濾。

高級威脅情報（模式匹配、基于協(xié)議的檢測、基于異常的檢測等）

防病毒程序。

網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)。

服務(wù)質(zhì)量 (QoS)功能。

SSH檢查。

NGFW 是醫(yī)療保健或金融等受到嚴(yán)格監(jiān)管的行業(yè)的常見選擇。

下一代防火墻的優(yōu)點：

將傳統(tǒng)防火墻功能與高級網(wǎng)絡(luò)安全功能相結(jié)合。

檢查從數(shù)據(jù)鏈路層到應(yīng)用層的網(wǎng)絡(luò)流量。

日志記錄功能。

下一代防火墻的缺點：

比其他防火墻更昂貴。

存在單點故障。

部署時間緩慢。

需要高度的專業(yè)知識才能設(shè)置和運行。

影響網(wǎng)絡(luò)性能。

任何一個保護(hù)層，無論多么強大，都不足以完全保護(hù)你的業(yè)務(wù)。 企業(yè)往往會在同一個網(wǎng)絡(luò)中設(shè)置多個防火墻，選擇理想的防火墻首先要了解企業(yè)網(wǎng)絡(luò)的架構(gòu)和功能，確定這些不同類型的防火墻和防火墻策略哪個最適合自己。 通常情況下，企業(yè)網(wǎng)絡(luò)應(yīng)該設(shè)置多層防火墻，既在外圍保護(hù)又在網(wǎng)絡(luò)上分隔不同的資產(chǎn)，從而使你的網(wǎng)絡(luò)更難破解。

本文編譯自：phoenixnap