30 多年前，防火墻的概念進(jìn)入了 IT 安全對(duì)話。即使在今天，該技術(shù)仍然在企業(yè)安全中發(fā)揮著至關(guān)重要的作用，促進(jìn)不同網(wǎng)絡(luò)之間的安全連接。作為一種在惡意流量從公共網(wǎng)絡(luò)進(jìn)入專用網(wǎng)絡(luò)之前過濾掉惡意流量的機(jī)制，外圍防火墻在過去幾十年中已經(jīng)確定了它的優(yōu)點(diǎn)。與任何持久性技術(shù)一樣，它顯然催生了許多迭代。在這篇文章中了解外圍防火墻如何防止網(wǎng)絡(luò)入侵。

什么是外圍防火墻？

外圍防火墻是一種安全應(yīng)用程序，用于保護(hù)組織的專用網(wǎng)絡(luò)與 Internet 等公共網(wǎng)絡(luò)之間的邊界。您可以將外圍防火墻作為軟件、硬件或兩者兼而有之，作為企業(yè)安全的第一道防線。實(shí)施后，外圍防火墻會(huì)檢查進(jìn)出專用網(wǎng)絡(luò)的數(shù)據(jù)包，并根據(jù)預(yù)先確定的規(guī)則允許或阻止它們。

這些規(guī)則（在訪問控制列表 (ACL) 中定義）指定允許的網(wǎng)絡(luò)名稱、互聯(lián)網(wǎng)協(xié)議 (IP) 地址和端口號(hào)。您可以配置這些規(guī)則來(lái)控制入站和出站流量，如下所示：

安裝外圍防火墻的主要目的是防范外部攻擊。您還可以將它們安裝在組織的網(wǎng)絡(luò)中，以創(chuàng)建分段并阻止內(nèi)部威脅。除了提供抵御攻擊的第一道防線外，外圍防火墻還可以記錄日志記錄和審計(jì)事件。網(wǎng)絡(luò)管理員可以使用這些記錄來(lái)識(shí)別用戶模式并增強(qiáng)規(guī)則集。

什么是網(wǎng)絡(luò)邊界？

術(shù)語(yǔ)網(wǎng)絡(luò)邊界和防火墻有時(shí)可以互換使用，盡管含義不同。網(wǎng)絡(luò)邊界是組織內(nèi)部網(wǎng)絡(luò)的邊緣。它是公司內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)或任何不受控制的外部網(wǎng)絡(luò)之間的邊界。

相比之下，防火墻是網(wǎng)絡(luò)邊界的一部分，其目標(biāo)是在惡意流量從公共網(wǎng)絡(luò)跨越邊界進(jìn)入組織的內(nèi)部網(wǎng)絡(luò)之前將其過濾掉。除防火墻外，網(wǎng)絡(luò)外圍的其他組件包括：

• 邊界路由器。邊界路由器是在兩個(gè)網(wǎng)絡(luò)中有腳的任何路由器：一個(gè)進(jìn)入公共網(wǎng)絡(luò)，另一個(gè)進(jìn)入公司的內(nèi)部網(wǎng)絡(luò)。邊界路由器引導(dǎo)流量進(jìn)出公司的內(nèi)部網(wǎng)絡(luò)。它是網(wǎng)絡(luò)管理員在流量離開組織網(wǎng)絡(luò)之前可以訪問和管理的最后一個(gè)路由器。
• 入侵檢測(cè)系統(tǒng) (IDS)。IDS 是一種被動(dòng)監(jiān)控組件（以硬件或軟件的形式實(shí)現(xiàn)），用于監(jiān)控網(wǎng)絡(luò)中的可疑活動(dòng)、已知威脅或違反策略的行為。IDS 通過在發(fā)現(xiàn)此類活動(dòng)時(shí)發(fā)送警報(bào)來(lái)自動(dòng)報(bào)告此類活動(dòng)。
• 入侵防御系統(tǒng) (IPS)。IPS 的運(yùn)行方式與 IDS 非常相似，因?yàn)樗€監(jiān)視網(wǎng)絡(luò)中的惡意活動(dòng)和違反策略的行為。然而，與被動(dòng)的傳統(tǒng) IDS 不同，IPS 可以在發(fā)現(xiàn)任何惡意活動(dòng)或違反規(guī)則的情況下自動(dòng)保護(hù)目標(biāo)而無(wú)需任何網(wǎng)絡(luò)管理員干預(yù)。
• 非軍事區(qū) (DMZ)。DMZ 是位于公司內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的任何子網(wǎng)。它允許組織訪問不受信任的公共網(wǎng)絡(luò)，同時(shí)確保內(nèi)部網(wǎng)絡(luò)保持安全。

外圍防火墻如何工作？

作為抵御攻擊的主要防線，外圍防火墻采用不同的技術(shù)來(lái)控制組織網(wǎng)絡(luò)和不受信任的網(wǎng)絡(luò)之間的流量。讓我們討論其中的幾個(gè)。

靜態(tài)包過濾

靜態(tài)數(shù)據(jù)包過濾是防火墻根據(jù)數(shù)據(jù)包字段和網(wǎng)絡(luò)管理員的規(guī)則過濾流量的一種技術(shù)。靜態(tài)數(shù)據(jù)包過濾器檢查它收到的每個(gè)數(shù)據(jù)包并將其與 ACL 進(jìn)行比較。然后，它根據(jù)規(guī)則指定的內(nèi)容接受或阻止進(jìn)入組織網(wǎng)絡(luò)的流量。

靜態(tài)數(shù)據(jù)包過濾是最古老的防火墻技術(shù)之一，在開放系統(tǒng)互連 (OSI) 模型的第 3 層和第 4 層運(yùn)行。因此，它無(wú)法區(qū)分應(yīng)用層協(xié)議。它也無(wú)法防止欺騙攻擊。

基于代理的防火墻

基于代理的防火墻充當(dāng)最終用戶和公共網(wǎng)絡(luò)之間的網(wǎng)關(guān)。主機(jī)連接到代理服務(wù)器，該代理服務(wù)器與公共網(wǎng)絡(luò)建立單獨(dú)的連接。在將數(shù)據(jù)包傳輸?shù)焦簿W(wǎng)絡(luò)之前，代理服務(wù)器可以過濾它們以強(qiáng)制執(zhí)行網(wǎng)絡(luò)策略。它還可以屏蔽最終用戶的 IP 地址，以保護(hù)其免受不受信任的網(wǎng)絡(luò)的影響。

狀態(tài)包檢測(cè)

狀態(tài)數(shù)據(jù)包檢測(cè)也稱為動(dòng)態(tài)數(shù)據(jù)包過濾，它主動(dòng)監(jiān)控網(wǎng)絡(luò)中的連接狀態(tài)。例如，通過維護(hù)活動(dòng)連接的狀態(tài)，如果數(shù)據(jù)包已經(jīng)過檢查，這些防火墻可以放棄對(duì)傳入流量的監(jiān)控。這樣，狀態(tài)數(shù)據(jù)包檢查器可以防止欺騙并提高網(wǎng)絡(luò)性能。

下一代防火墻 (NGFW)

典型的NGFW同時(shí)利用靜態(tài)數(shù)據(jù)包過濾和狀態(tài)檢測(cè)，并具有一些功能，包括深度數(shù)據(jù)包檢測(cè) (DPI)，以實(shí)現(xiàn)企業(yè)范圍的安全性。它還可能包含高級(jí)安全功能，例如網(wǎng)絡(luò)安全系統(tǒng)（IDS 和 IPS）、防病毒過濾和惡意軟件過濾，以進(jìn)一步增強(qiáng)安全性。

使用防火墻有什么好處？

實(shí)施防火墻可以通過以下方式幫助組織：

• 監(jiān)控網(wǎng)絡(luò)流量。進(jìn)出您的網(wǎng)絡(luò)的流量為可能危及您的運(yùn)營(yíng)的威脅創(chuàng)造了機(jī)會(huì)。監(jiān)控和分析網(wǎng)絡(luò)可以幫助您保護(hù)您的系統(tǒng)。
• 防止黑客攻擊。網(wǎng)絡(luò)犯罪分子繼續(xù)發(fā)動(dòng)更復(fù)雜的攻擊和威脅。根據(jù) Internet 安全中心的數(shù)據(jù)，2020 年大約70% 的違規(guī)事件是由外部黑客造成的。隨著報(bào)告的黑客事件急劇增加，外圍防火墻在防止外部黑客進(jìn)入組織網(wǎng)絡(luò)方面變得比以往任何時(shí)候都更加重要。
• 防止病毒攻擊。惡意開發(fā)人員每天會(huì)制造數(shù)十萬(wàn)個(gè)新病毒，其損害成本對(duì)組織來(lái)說(shuō)非常高昂。外圍防火墻是有益的，因?yàn)樗梢钥刂凭W(wǎng)絡(luò)的入口點(diǎn)并防止病毒攻擊。
• 防止間諜軟件。自從世界變成數(shù)據(jù)驅(qū)動(dòng)以來(lái)，惡意個(gè)人已經(jīng)編寫了數(shù)十萬(wàn)個(gè)間諜軟件來(lái)訪問網(wǎng)絡(luò)。實(shí)施外圍防火墻是阻止間諜軟件的第一步。
• 促進(jìn)隱私。沒有組織喜歡其數(shù)據(jù)被盜，尤其是當(dāng)它顯然可以采取措施防止入侵時(shí)。當(dāng)您主動(dòng)努力確保客戶數(shù)據(jù)的安全時(shí)，您就構(gòu)建了一個(gè)客戶可以信任的環(huán)境。