什么是防火墙?
防火墙是一种安全系统,它基于一组安全规则来监视和控制网络流量。防火墙通常位于受信任的网络和不受信任的网络之间;通常,不受信任的网络是互联网。例如,办公室网络通常使用防火墙来保护其网络免受在线威胁。
防火墙决定是否允许传入和传出的流量通过。它们可以内置于硬件、软件或两者的组合之中。“防火墙”一词的来源是建筑中的一种做法,即在建筑物之间或建筑物的中间建起一道防护墙以做防火之用。与此相似,网络防火墙用于控制在线威胁。
为什么要使用防火墙?
防火墙的主要作用是保护安全。防火墙可以在传入的恶意流量到达网络之前对其进行拦截,并防止敏感信息从网络流出。
防火墙也可以用于内容过滤。例如,学校可以配置防火墙,以防止其网络上的用户访问成人内容。同样,在某些国家/地区,政府运行防火墙,可以阻止该国家/地区内的人员访问互联网的某些部分。
本文将重点介绍为安全性配置的防火墙,其中有几种。
有哪些不同类型的防火墙?
基于代理的防火墙:
这些代理*位于客户端和服务器之间。客户端连接到防火墙,防火墙检查传出的数据包,之后它将创建与目标收件人(网页服务器)的连接。同样,当网页服务器尝试向客户端发送响应时,防火墙将拦截该请求,检查数据包,然后在防火墙与客户端之间的单独连接中传递该响应。基于代理的防火墙有效地防止了客户端和服务器之间的直接连接。
基于代理的防火墙有点像酒吧的保镖。该保镖可以在客人进入酒吧前将其拦下,以确保他们不是未成年、没有佩戴枪械或任何其他可能威胁到酒吧及其顾客的方式。保镖还可以在顾客出门的时候将其拦下,以确保他们有安全的回家方式,并且不会酒后驾车。
在酒吧设保镖的弊端是,当许多人试图同时进入或离开酒吧时,会大排长龙,并且会有很多人遇到延误。同样,基于代理的防火墙的主要缺点是,它可能导致延迟 ,特别是在流量繁忙期间。
*代理服务器是一台计算机,充当局域网和较大网络(例如互联网)之间的网关。
有状态防火墙:
在计算机科学中,“有状态”的应用表示那些从先前事件和交互中保存了数据的应用。有状态的防火墙会保存关于公开连接的信息,并使用此信息来分析传入和传出的流量,而不是检查每个数据包。由于有状态防火墙不会检查每个数据包,它们比基于代理的防火墙要快。
状态的防火墙在制定决策时依赖于很多上下文。例如,如果防火墙在一个连接上记录了请求某种响应的传出数据包,则防火墙仅会在传入数据包提供了所请求的响应的情况下才会允许该数据包进入。
有状态防火墙还可以通过保持端口*处于关闭状态(仅当传入数据包请求访问特定端口时开启)来保护它们。这可以缓解称为“端口扫描”的攻击。
与有状态防火墙关联的一个已知漏洞是,它们可能会被通过诱使客户端发送的某种信息请求所操纵。一旦客户端请求该响应,攻击者便可以通过防火墙发送符合该条件的恶意数据包。例如,不安全的网站可以使用 JavaScript 代码从网络浏览器创建此类伪造的请求。
*网络端口是发送信息的位置;它不是一个实体场所,而是通信端点。进一步了解端口 >>
下一代防火墙(NGFW):
NGFW 不仅具有传统防火墙的功能,还部署了主机附加功能来解决对 OSI 模型其它层造成的威胁。NGFW 的部分特定功能包括:
深度数据包检测 (DPI) – 与传统防火墙相比,NGFW 会对数据包执行更深入的检查。深度检查可以查看数据包有效负载以及数据包正在访问哪个应用。这让防火墙能够执行更精细的过滤规则。
应用感知 – 启用此功能能让防火墙知晓正在运行的应用和这些应用正在使用的端口。这可以防止那些意图中断正在运行的进程然后接管其端口的某些恶意软件类型。
身份识别 – 它使防火墙可以基于身份实施规则,例如正在使用的计算机、登录的用户等。
沙箱 – 防火墙可以隔离与传入数据包相关联的代码段,并在“沙盒”环境中执行它们,以确保它们没有恶意行为。然后,将此沙盒测试的结果作为决定是否让数据包进入网络的标准。
Web 应用防火墙 (WAF):
传统防火墙有助于保护专用网络免受恶意 Web 应用的侵害,而 WAF 可帮助保护 Web 应用不受恶意用户的侵害。WAF 通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来帮助保护 Web 应用。它通常可以保护 Web 应用,使其免受跨站点伪造、Cross-Site Scripting (XSS)、文件包含、SQL 注入及其他一些攻击的影响。
通过在 Web 应用前端部署 WAF,可在 Web 应用与互联网之间形成一道屏障。虽然代理服务器通过中介保护客户机的身份,但 WAF 是一种反向代理,引导客户端通过 WAF 到达服务器,从而防止暴露服务器。
WAF 通过一组通常称为“策略”的规则进行运作。这些策略旨在过滤恶意流量,防止受到应用漏洞的侵害。WAF 的部分价值在于可以快速简便地修改策略,因而可以更迅速地响应不同的攻击手段。在 DDoS 攻击期间,可通过修改 WAF 策略快速实施速率限制。诸如 Cloudflare Web 应用防火墙之类的商业 WAF 产品每天可以保护数百万个 Web 应用免受攻击。
防火墙即服务 (FWaaS):
防火墙即服务 (FWaaS) 是一种较新的模式,通过云提供防火墙功能。这种服务也可称为“云防火墙”。FWaaS 在云平台、基础设施和应用周围形成一个虚拟屏障,就像传统防火墙在组织的内部网络周围形成一个屏障一样。FWaaS 通常比传统防火墙更适合保护云和多云资产。
什么是“网络防火墙”?
“网络防火墙”是保护网络的任何防火墙。根据定义,几乎所有安全防火墙都是网络防火墙,尽管防火墙也可以保护单个计算机。
虽然防火墙是网络安全的重要组成部分,但它还涉及许多其他方面,包括访问控制、用户身份验证,以及 DDoS 缓解。进一步了解网络安全解决方案。
防火墙是基于软件还是基于硬件?
最初,防火墙是硬件设备(参见下文“防火墙的历史”部分)。虽然一些硬件防火墙仍在使用,但许多现代防火墙是基于软件的,这意味着它们可以在几种不同类型的硬件上运行。而 FWaaS 则是在云中托管。
防火墙的历史是怎样的?
防火墙可以追溯到 20 世纪 80 年代末。第一个防火墙用于允许或阻止单个数据包。它们通过检查其网络层和传输层标头来查看其源和目标 IP 地址以及端口(例如查看电子邮件的“收件人”和“发件人”部分),从而决定允许哪些数据包以及阻止哪些数据包。这阻止了非法流量通过,并防止了许多恶意软件攻击。
下一代防火墙增加了有状态的功能。更新一代的防火墙(如 NGFW)增加了在应用层检查流量的能力。
正如防火墙功能随着时间的推移而不断演变,防火墙的部署方式也在不断变化。最初,防火墙是接入公司网络基础设施的物理硬件设备。但随着业务流程迁移到云端,通过一个物理设备传输所有网络流量变得低效。如今,防火墙也可以在软件中运行,或在云中虚拟运行。
什么是 Magic Firewall?
Magic Firewall 是从 Cloudflare 网络部署的网络级防火墙。它旨在取代用于内部网络的硬件防火墙。基于硬件的防火墙只能在 IT 部门购买更多防火墙的情况下扩大规模,而 Magic Firewall 更容易扩大规模以处理大量流量。了解有关 Magic Firewall 的更多信息 。
常见问题解答
网络安全中防火墙的主要目的是什么?
防火墙的主要目的是保护网络免受恶意流量和潜在的安全威胁。它们通过监控和管理受信任网络与不受信任网络之间的数据流来实现这一点。
防火墙如何过滤网络流量?
防火墙通过使用预定义的安全规则来过滤网络流量,决定允许或阻止哪些传入和传出的数据包。例如,防火墙可能只允许流量进出某些端口,或者阻止所有用户对指定网站的请求。
防火墙的主要类型有哪些?
防火墙的主要类型包括代理防火墙、状态防火墙、下一代防火墙(NGFW)和 Web 应用防火墙(WAF)。每种类型的防火墙功能略有不同,并用于不同的目的:例如,WAF 保护 Web 应用,而代理型、有状态和下一代防火墙通常保护本地网络。
什么是防火墙中的深度包检测?
深度包检测 (DPI) 是下一代防火墙 (NGFW) 的一项功能,它不仅检查数据包的标头,还检查数据包的内容以及数据包来源的应用。传统防火墙可以根据源或目的地 IP 地址、端口以及数据包头中包含的其他基本信息来阻止数据包,而下一代防火墙可以使用 DPI 更深入地检查数据包,甚至在来自允许来源的数据包中识别威胁。
什么是基于云的防火墙或防火墙即服务 (FWaaS)?
基于云的防火墙 FWaaS 通过云交付,为云资产和基础设施提供防火墙保护,这是传统硬件防火墙所不具备的。
防火墙如何用于内容过滤?
可以将防火墙设置为阻止访问特定类型的内容,例如成人内容或某些网站,帮助组织控制用户可以通过本地网络加载的内容。