內(nèi)部防火墻是一種安全解決方案，旨在保護(hù)網(wǎng)絡(luò)免受已經(jīng)越過(guò)邊界的攻擊。一般來(lái)說(shuō)，防火墻是一種設(shè)備或軟件，旨在監(jiān)控流量并防止未經(jīng)授權(quán)的訪問，而內(nèi)部防火墻是該概念的高級(jí)應(yīng)用程序。

在比較內(nèi)部防火墻與外部防火墻時(shí)，有幾個(gè)關(guān)鍵區(qū)別。與傳統(tǒng)的外部防火墻不同 ，內(nèi)部防火墻必須主動(dòng)提供對(duì)內(nèi)部威脅的可見性和保護(hù)，并且必須足夠快以跟上內(nèi)部流量的需求。如今，網(wǎng)絡(luò)攻擊越過(guò)網(wǎng)絡(luò)邊界的可能性越來(lái)越大，而內(nèi)部防火墻將此類攻擊可能造成的破壞降至最低。

雖然所有企業(yè)都應(yīng)該有內(nèi)部防火墻和類似的安全措施，但內(nèi)部防火墻對(duì)于不同部門有多個(gè)網(wǎng)段的超大型企業(yè)，以及由于跨公共和私有運(yùn)行分布式服務(wù)而具有較大攻擊面的網(wǎng)絡(luò)特別有用。

內(nèi)部防火墻如何工作？

內(nèi)部防火墻通過(guò)采用兩個(gè)關(guān)鍵策略來(lái)工作：

• 使用微分段最小化攻擊面，將網(wǎng)絡(luò)劃分為單獨(dú)保護(hù)的顆粒區(qū)域
• 使用智能自動(dòng)化部署和更新基于“已知良好”行為的安全策略

內(nèi)部防火墻不是試圖單獨(dú)識(shí)別和消除每個(gè)威脅，而是利用對(duì)內(nèi)部流量的更深入了解來(lái)識(shí)別不符合管理員期望看到的行為的活動(dòng)。它定義了網(wǎng)絡(luò)和流程級(jí)別的策略，以減輕利用多種攻擊媒介的威脅。內(nèi)部防火墻位于內(nèi)部網(wǎng)絡(luò)中的戰(zhàn)略點(diǎn)，并利用 零信任方法來(lái)隔離威脅并限制潛在損害。換句話說(shuō)，它假設(shè)威脅已經(jīng)進(jìn)入并阻止它們?cè)谡麄€(gè)內(nèi)部網(wǎng)絡(luò)中自由移動(dòng)。

它與外部防火墻有何不同？

內(nèi)部防火墻監(jiān)控和保護(hù)東西（內(nèi)部）網(wǎng)絡(luò)流量，而不是外圍的南北流量。外部防火墻監(jiān)控網(wǎng)絡(luò)周邊并防止來(lái)自外部的未經(jīng)授權(quán)的訪問。這兩種類型的防火墻旨在解決不同的問題：雖然外部防火墻只是防止外部入侵者，但內(nèi)部網(wǎng)絡(luò)需要監(jiān)控網(wǎng)絡(luò)上的所有流量以識(shí)別不良行為者和潛在威脅。因此，內(nèi)部和外部防火墻設(shè)計(jì)在關(guān)鍵方面存在差異：

內(nèi)部防火墻不能依賴傳統(tǒng)的基于端口的方法來(lái)識(shí)別威脅，它需要跟上大量的內(nèi)部流量。因此，它必須比典型的外部防火墻更先進(jìn)，才能智能地識(shí)別惡意活動(dòng)。另一方面，由于內(nèi)部防火墻處理企業(yè)自己的應(yīng)用程序和服務(wù)，它們可以利用對(duì)流量的更深入了解來(lái)自動(dòng)執(zhí)行安全策略并阻止可疑行為。通過(guò)了解什么構(gòu)成“已知良好”行為，智能內(nèi)部防火墻可以識(shí)別和響應(yīng)不符合授權(quán)配置文件的活動(dòng)。

企業(yè)是否需要內(nèi)部防火墻？

內(nèi)部防火墻是網(wǎng)絡(luò)防火墻安全的重要組成部分，尤其是隨著網(wǎng)絡(luò)變得更加分散并且將攻擊者擋在網(wǎng)絡(luò)邊界之外變得更加困難。它是對(duì)外部防火墻的補(bǔ)充，并提供額外的安全層來(lái)鎖定東西向流量并防止威脅在您的企業(yè)內(nèi)橫向移動(dòng)。隨著網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜程度不斷增加，幾乎不可避免地會(huì)破壞組織的網(wǎng)絡(luò)邊界。發(fā)生這種情況時(shí)，內(nèi)部防火墻會(huì)將攻擊者可能造成的損害降至最低。

為什么需要內(nèi)部防火墻

外部防火墻提供抵御外部攻擊的第一道防線，但它們已不足以保護(hù)您的企業(yè)免受復(fù)雜威脅的侵害。網(wǎng)絡(luò)上的用戶和設(shè)備比以往任何時(shí)候都多，再加上由于跨公共云和私有云運(yùn)行的分布式服務(wù)的增加，攻擊面更大，假設(shè)保護(hù)邊界就足夠了是有風(fēng)險(xiǎn)的。如果威脅確實(shí)越過(guò)了網(wǎng)絡(luò)邊界，它就可以不受限制地訪問您的內(nèi)部網(wǎng)絡(luò)——除非有像內(nèi)部防火墻這樣的保護(hù)措施。

根據(jù)最近的一份報(bào)告，59% 的攻擊涉及企圖橫向移動(dòng)——因此保護(hù)您的網(wǎng)絡(luò)免受這些威脅的侵害至關(guān)重要。內(nèi)部防火墻可防止攻擊者在您的網(wǎng)絡(luò)中肆虐，并限制他們可能造成的危害。

內(nèi)部防火墻的最佳實(shí)踐

盡管內(nèi)部防火墻在用途和設(shè)計(jì)上不同于外部防火墻，但內(nèi)部防火墻最佳實(shí)踐與標(biāo)準(zhǔn)網(wǎng)絡(luò)防火墻最佳實(shí)踐相似。以下是一些常見的原則：

• 記錄您的防火墻規(guī)則及其目的：很容易忘記最初實(shí)施特定規(guī)則的原因，尤其是在實(shí)施該規(guī)則的 IT 人員已離開組織的情況下。隨著時(shí)間的推移，文檔對(duì)于維護(hù)很重要，因?yàn)樗试S您重新評(píng)估安全策略并刪除任何不再用于目的的策略。
• 定期審核事件日志：這將幫助您確定正在使用和未使用哪些安全規(guī)則，允許您刪除未使用的規(guī)則并調(diào)整其他規(guī)則以加強(qiáng)安全性并避免漏洞。
• 使用自動(dòng)化使規(guī)則保持最新：如果不注意，長(zhǎng)長(zhǎng)的防火墻規(guī)則列表會(huì)導(dǎo)致“規(guī)則膨脹”、開銷增加和安全漏洞。通過(guò)使用自動(dòng)化來(lái)減輕 IT 人員的負(fù)擔(dān)，避免這些問題并跟上快速變化的步伐。
• 實(shí)踐零信任安全：這意味著默認(rèn)情況下不信任網(wǎng)絡(luò)內(nèi)部或外部的任何人，并且是快速遏制攻擊的關(guān)鍵。隨著網(wǎng)絡(luò)攻擊數(shù)量的增加，假設(shè)攻擊者不會(huì)進(jìn)入網(wǎng)絡(luò)已不再安全。一個(gè) 零信任安全的方法是關(guān)鍵限制的威脅做使過(guò)去周邊的影響。