防火墻是基本但必不可少的安全層，充當(dāng)您的專(zhuān)用網(wǎng)絡(luò)和外部世界之間的屏障。從第一代無(wú)狀態(tài)防火墻到下一代防火墻，防火墻架構(gòu)在過(guò)去四年中發(fā)生了巨大的變化。如今，組織可以在多種類(lèi)型的防火墻之間進(jìn)行選擇——包括應(yīng)用程序級(jí)網(wǎng)關(guān)（代理防火墻）、狀態(tài)檢測(cè)防火墻和電路級(jí)網(wǎng)關(guān)——甚至可以同時(shí)使用多種類(lèi)型的防火墻來(lái)實(shí)現(xiàn)更深層次的綜合安全解決方案。了解有關(guān)各種類(lèi)型防火墻的基礎(chǔ)知識(shí)、它們之間的差異以及每種類(lèi)型如何以不同的方式保護(hù)您的網(wǎng)絡(luò)。

什么是防火墻，它的用途是什么？

防火墻是一種安全工具，可以監(jiān)控傳入和/或傳出的網(wǎng)絡(luò)流量，以根據(jù)預(yù)定義的規(guī)則檢測(cè)和阻止惡意數(shù)據(jù)包，只允許合法流量進(jìn)入您的專(zhuān)用網(wǎng)絡(luò)。作為硬件、軟件或兩者兼而有之，防火墻通常是您抵御惡意軟件、病毒和攻擊者試圖進(jìn)入您組織的內(nèi)部網(wǎng)絡(luò)和系統(tǒng)的第一道防線。

就像建筑物主入口處的金屬探測(cè)器門(mén)一樣，物理或硬件防火墻在允許每個(gè)數(shù)據(jù)包進(jìn)入之前對(duì)其進(jìn)行檢查。它檢查源地址和目標(biāo)地址，并根據(jù)預(yù)定義的規(guī)則確定數(shù)據(jù)包是否應(yīng)該通過(guò)與否。一旦數(shù)據(jù)包進(jìn)入組織的 Intranet，軟件防火墻可以進(jìn)一步過(guò)濾流量，以允許或阻止對(duì)計(jì)算機(jī)系統(tǒng)上特定端口和應(yīng)用程序的訪問(wèn)，從而更好地控制和保護(hù)內(nèi)部威脅。

訪問(wèn)控制列表可以定義不可信的特定 Internet 協(xié)議 (IP) 地址。防火墻將丟棄來(lái)自這些 IP 的任何數(shù)據(jù)包。或者，訪問(wèn)控制列表可以指定受信任的源 IP，而防火墻將只允許來(lái)自這些列出的 IP 的流量。有幾種設(shè)置防火墻的技術(shù)。它們提供的安全范圍通常還取決于防火墻的類(lèi)型及其配置方式。

軟件和硬件防火墻

在結(jié)構(gòu)上，防火墻可以是軟件、硬件或軟件和硬件的組合。

軟件防火墻

軟件防火墻單獨(dú)安裝在各個(gè)設(shè)備上。它們提供更精細(xì)的控制，因?yàn)樗鼈兛梢栽试S訪問(wèn)一個(gè)應(yīng)用程序或功能，同時(shí)阻止其他應(yīng)用程序或功能。但是它們?cè)谫Y源方面可能很昂貴，因?yàn)樗鼈兝昧税惭b它們的設(shè)備的 CPU 和 RAM，并且管理員必須為每個(gè)設(shè)備單獨(dú)配置和管理它們。此外，Intranet 中的所有設(shè)備可能與單個(gè)軟件防火墻不兼容，可能需要多個(gè)不同的防火墻。

硬件防火墻

另一方面，硬件防火墻是物理設(shè)備，每個(gè)設(shè)備都有自己的計(jì)算資源。它們充當(dāng)內(nèi)部網(wǎng)絡(luò)和 Internet 之間的網(wǎng)關(guān)，將數(shù)據(jù)包和來(lái)自私有網(wǎng)絡(luò)外部不受信任來(lái)源的流量請(qǐng)求保留。物理防火墻對(duì)于在同一網(wǎng)絡(luò)上擁有許多設(shè)備的組織來(lái)說(shuō)很方便。雖然它們?cè)趷阂饬髁康竭_(dá)任何端點(diǎn)之前就阻止了它，但它們不提供針對(duì)內(nèi)部攻擊的安全性。因此，軟件和硬件防火墻的組合可以為您組織的網(wǎng)絡(luò)提供最佳的安全性。

四種類(lèi)型的防火墻

防火墻還根據(jù)其操作方式進(jìn)行分類(lèi)，每種類(lèi)型都可以設(shè)置為軟件或物理設(shè)備。根據(jù)它們的操作方法，有四種不同類(lèi)型的防火墻。

1.包過(guò)濾防火墻

包過(guò)濾防火墻是最古老、最基本的防火墻類(lèi)型。在網(wǎng)絡(luò)層操作，他們只需根據(jù)預(yù)定義的規(guī)則檢查數(shù)據(jù)包的源 IP 和目標(biāo) IP、協(xié)議、源端口和目標(biāo)端口，以確定是通過(guò)還是丟棄數(shù)據(jù)包。包過(guò)濾防火墻本質(zhì)上是無(wú)狀態(tài)的，獨(dú)立監(jiān)控每個(gè)數(shù)據(jù)包，而不需要跟蹤已建立的連接或之前通過(guò)該連接的數(shù)據(jù)包。這使得這些防火墻在防御高級(jí)威脅和攻擊方面的能力非常有限。

包過(guò)濾防火墻快速、便宜且有效。但是他們提供的安全性是非常基本的。由于這些防火墻無(wú)法檢查數(shù)據(jù)包的內(nèi)容，因此它們無(wú)法防止來(lái)自受信任源 IP 的惡意數(shù)據(jù)包。由于是無(wú)狀態(tài)的，它們也容易受到源路由攻擊和小片段攻擊。但是，盡管包過(guò)濾防火墻的功能極少，但它們?yōu)楝F(xiàn)代防火墻鋪平了道路，以提供更強(qiáng)大和更深入的安全性。

2.電路級(jí)網(wǎng)關(guān)

在會(huì)話層工作，電路級(jí)網(wǎng)關(guān)驗(yàn)證已建立的傳輸控制協(xié)議 (TCP) 連接并跟蹤活動(dòng)會(huì)話。它們與包過(guò)濾防火墻非常相似，因?yàn)樗鼈儓?zhí)行單一檢查并使用最少的資源。但是，它們?cè)陂_(kāi)放系統(tǒng)互連 (OSI) 模型的更高層運(yùn)行。首先，它們確定已建立連接的安全性。當(dāng)內(nèi)部設(shè)備發(fā)起與遠(yuǎn)程主機(jī)的連接時(shí)，電路級(jí)網(wǎng)關(guān)代表內(nèi)部設(shè)備建立虛擬連接，以隱藏內(nèi)部用戶的身份和 IP 地址。

電路級(jí)網(wǎng)關(guān)具有成本效益、簡(jiǎn)單化并且對(duì)網(wǎng)絡(luò)性能幾乎沒(méi)有任何影響。然而，它們無(wú)法檢查數(shù)據(jù)包的內(nèi)容，這使得它們本身就成為一個(gè)不完整的安全解決方案。如果包含惡意軟件的數(shù)據(jù)包具有合法的 TCP 握手，則可以輕松繞過(guò)電路級(jí)網(wǎng)關(guān)。這就是為什么通常在電路級(jí)網(wǎng)關(guān)之上配置另一種類(lèi)型的防火墻以提供額外保護(hù)的原因。

3. 狀態(tài)檢測(cè)防火墻

領(lǐng)先于電路級(jí)網(wǎng)關(guān)的狀態(tài)檢測(cè)防火墻除了驗(yàn)證和跟蹤已建立的連接外，還執(zhí)行數(shù)據(jù)包檢測(cè)以提供更好、更全面的安全性。它們通過(guò)在建立連接后創(chuàng)建包含源 IP、目標(biāo) IP、源端口和目標(biāo)端口的狀態(tài)表來(lái)工作。他們動(dòng)態(tài)創(chuàng)建自己的規(guī)則以允許預(yù)期的傳入網(wǎng)絡(luò)流量，而不是依賴基于此信息的硬編碼規(guī)則集。它們方便地丟棄不屬于經(jīng)過(guò)驗(yàn)證的活動(dòng)連接的數(shù)據(jù)包。

狀態(tài)檢查防火墻檢查合法連接以及源和目標(biāo) IP 以確定哪些數(shù)據(jù)包可以通過(guò)。盡管這些額外檢查提供了高級(jí)安全性，但它們會(huì)消耗大量系統(tǒng)資源并且會(huì)顯著降低流量。因此，它們?nèi)菀资艿?DDoS（分布式拒絕服務(wù)攻擊）的影響。

4. 應(yīng)用級(jí)網(wǎng)關(guān)（代理防火墻）

應(yīng)用層網(wǎng)關(guān)，也稱(chēng)為代理防火墻，是通過(guò)代理設(shè)備在應(yīng)用層實(shí)現(xiàn)的。不是外部人員直接訪問(wèn)您的內(nèi)部網(wǎng)絡(luò)，而是通過(guò)代理防火墻建立連接。外部客戶端向代理防火墻發(fā)送請(qǐng)求。在驗(yàn)證請(qǐng)求的真實(shí)性后，代理防火墻代表客戶端將其轉(zhuǎn)發(fā)到內(nèi)部設(shè)備或服務(wù)器之一。或者，內(nèi)部設(shè)備可以請(qǐng)求訪問(wèn)網(wǎng)頁(yè)，并且代理設(shè)備將轉(zhuǎn)發(fā)該請(qǐng)求，同時(shí)隱藏內(nèi)部設(shè)備和網(wǎng)絡(luò)的身份和位置。

與包過(guò)濾防火墻不同，代理防火墻執(zhí)行狀態(tài)和深度包檢查，以根據(jù)一組用戶定義的規(guī)則分析數(shù)據(jù)包的上下文和內(nèi)容。根據(jù)結(jié)果??，它們要么允許要么丟棄數(shù)據(jù)包。它們通過(guò)阻止內(nèi)部系統(tǒng)和外部網(wǎng)絡(luò)之間的直接連接來(lái)保護(hù)敏感資源的身份和位置。但是，配置它們以實(shí)現(xiàn)最佳網(wǎng)絡(luò)保護(hù)可能有點(diǎn)困難。您還必須記住權(quán)衡 - 代理防火墻本質(zhì)上是主機(jī)和客戶端之間的額外屏障，導(dǎo)致相當(dāng)大的減速。

哪種類(lèi)型的防火墻最適合我的組織？

沒(méi)有一種萬(wàn)能的解決方案可以滿足每個(gè)組織的獨(dú)特安全要求。事實(shí)上，每一種不同類(lèi)型的防火墻都有其自身的優(yōu)點(diǎn)和局限性。包過(guò)濾防火墻簡(jiǎn)單但提供有限的安全性，而狀態(tài)檢查和代理防火墻可能會(huì)損害網(wǎng)絡(luò)性能。下一代防火墻似乎是一個(gè)完整的軟件包，但并非所有組織都有預(yù)算或資源來(lái)成功配置和管理它們。

隨著攻擊變得更加復(fù)雜，您的組織的安全防御必須迎頭趕上。保護(hù)內(nèi)部網(wǎng)絡(luò)外圍免受外部威脅的單一防火墻是不夠的。專(zhuān)用網(wǎng)絡(luò)中的每項(xiàng)資產(chǎn)也需要自己的個(gè)人保護(hù)。最好采用分層的安全方法，而不是依賴單個(gè)防火墻的功能。當(dāng)您可以在專(zhuān)為您組織的安全需求而優(yōu)化的架構(gòu)中利用多個(gè)防火墻的優(yōu)勢(shì)時(shí)，為什么還要選擇一個(gè)呢？