你们好,我的网工朋友。
当我们谈到网络开放性带来的安全挑战时,都会想起黑客、病毒、恶意软件等等。
而正是因为这些威胁,让网络安全变成了网络世界里的重要议题,如果说起怎么保护网络安全,基本上我们都会第一时间想到防火墙吧。
毕竟防火墙是计算机网络安全的基本组件了。
网络威胁的复杂多样,衍生出了不同类型的防火墙,而且每种都有着独特的功能、优点和应用场景。
今天就带你一起探索一下,深入了解这8种类型的防火墙。
今日文章阅读福利:《 思科防火墙白皮书 》
私信我,发送暗号“防火墙”,即可获取该份高清优质电子书资源。
防火墙是一种监视网络流量并检测潜在威胁的安全设备或程序,作为一道保护屏障,它只允许非威胁性流量进入,阻止危险流量进入。
防火墙是client-server模型中网络安全的基础之一,但它们容易受到以下方面的攻击:
企业在网络中设置内联防火墙,作为外部源和受保护系统之间的边界。
管理员创建阻塞点,防火墙在阻塞点检查所有进出网络的数据包,包含:
防火墙根据预设规则分析数据包,以区分良性和恶意流量。这些规则集规定了防火墙如何检查以下内容:
防火墙阻止所有不符合规则的数据包,并将安全数据包路由到预期的接收者。当防火墙阻止流量进入网络时,有两种选择:
这两种选择都可以将危险流量排除在网络之外。
通常,安全团队更喜欢默默放弃请求以限制信息,以防潜在的黑客测试防火墙的漏洞。
根据部署方式,可以将防火墙分为三种类型:软件防火墙、硬件防火墙和基于云的防火墙。
软件防火墙(或主机防火墙)直接安装在主机设备上。这种类型的防火墙只保护一台机器(网络终端、台式机、笔记本电脑、服务器等),因此管理员必须在他们想要保护的每台设备上安装一个版本的软件。
由于管理员将软件防火墙附加到特定设备上,因此这些防火墙不可避免地会占用一些系统 RAM 和 CPU,这在某些情况下是一个问题。
软件防火墙的优点:
软件防火墙的缺点:
硬件防火墙(或设备防火墙)是一个单独的硬件,用于过滤进出网络的流量。
与软件防火墙不同,这些独立设备有自己的资源,不会占用主机设备的任何 CPU 或 RAM。
硬件防火墙相对更适合大型企业,中小型企业可能更多地会选择在每台主机上安装软件防火墙的方式,硬件防火墙对于拥有多个包含大量计算机的子网的大型组织来说是一个极好的选择。
硬件防火墙的优点:
硬件防火墙的缺点:
许多供应商提供基于云的防火墙,它们通过 Internet 按需提供。
这些服务也称为防火墙即服务(FaaS),以IaaS 或 PaaS的形式运行。
基于云的防火墙非常适用于:
与基于硬件的解决方案一样,云防火墙在边界安全方面表现出色,同时也可以在每个主机的基础上设置这些系统。
云防火墙的优点:
云防火墙的缺点:
下面是基于功能和 OSI 模型的五种类型的防火墙。
包过滤防火墙充当网络层的检查点,并将每个数据包的标头信息与一组预先建立的标准进行比较。
这些防火墙检查以下基于标头的信息:
这些类型的防火墙仅分析表面的细节,不会打开数据包来检查其有效负载。
包过滤防火墙在不考虑现有流量的情况下真空检查每个数据包。
包过滤防火墙非常适合只需要基本安全功能来抵御既定威胁的小型组织。
包过滤防火墙的优点:
包过滤防火墙的缺点:
电路级网关在 OSI 会话层运行,并监视本地和远程主机之间的TCP(传输控制协议)握手。
其可以在不消耗大量资源的情况下快速批准或拒绝流量。但是,这些系统不检查数据包,因此如果 TCP 握手通过,即使是感染了恶意软件的请求也可以访问。
电路级网关的优点:
电路级网关的缺点:
状态检测防火墙(或动态包过滤防火墙)在网络层和传输层监控传入和传出的数据包。这类防火墙结合了数据包检测和 TCP 握手验证。
状态检测防火墙维护一个表数据库,该数据库跟踪所有打开的连接使系统能够检查现有的流量流。
该数据库存储所有与关键数据包相关的信息,包括:
当一个新数据包到达时,防火墙检查有效连接表。检测过的数据包无需进一步分析即可通过,而防火墙会根据预设规则集评估不匹配的流量。
状态检测防火墙的优点:
状态检测防火墙的缺点:
代理防火墙(或应用级网关)充当内部和外部系统之间的中介。
这类防火墙会在客户端请求发送到主机之前对其进行屏蔽,从而保护网络。
代理防火墙在应用层运行,具有深度包检测 (DPI)功能,可以检查传入流量的有效负载和标头。
当客户端发送访问网络的请求时,消息首先到达代理服务器。
防火墙会检查以下内容:
然后代理屏蔽该请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送给代理,之后防火墙将信息传递给原始客户端。
代理防火墙是企业保护 Web应用免受恶意用户攻击的首选。
代理防火墙的优点:
代理防火墙的缺点:
下一代防火墙(NGFW)是将其他防火墙的多种功能集成在一起的安全设备或程序。
这样的系统提供:
下一代防火墙还包括额外的网络安全措施,例如:
NGFW 是医疗保健或金融等受到严格监管的行业的常见选择。
下一代防火墙的优点:
下一代防火墙的缺点:
任何一个保护层,无论多么强大,都不足以完全保护你的业务。
企业往往会在同一个网络中设置多个防火墙,选择理想的防火墙首先要了解企业网络的架构和功能,确定这些不同类型的防火墙和防火墙策略哪个最适合自己。
通常情况下,企业网络应该设置多层防火墙,既在外围保护又在网络上分隔不同的资产,从而使你的网络更难破解。
整理:老杨丨10年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部