每个人都了解防火墙的基本功能 - 保护您的网络免受恶意软件和未经授权的访问。但防火墙工作原理的具体细节却鲜为人知。
防火墙 到底是什么?不同类型的防火墙如何工作?也许最重要的是 - 哪种类型的防火墙最好?
防火墙101
简单地说,防火墙只是另一个网络端点。它的特别之处在于它能够在传入流量进入内部网络之前拦截和扫描传入流量,从而阻止恶意行为者获得访问权限。
验证每个连接的身份验证,向黑客隐藏目标 IP,甚至扫描每个数据包的内容 - 防火墙可以完成这一切。防火墙充当某种检查点,仔细控制允许进入的通信类型。
数据包过滤防火墙
数据包过滤防火墙是最简单、占用资源最少的防火墙技术。虽然现在它不再受欢迎,但它们是旧计算机网络保护的主要内容。
数据包过滤防火墙在数据包级别运行,扫描来自网络路由器的每个传入数据包。但它实际上并不扫描数据包的内容 - 只是扫描它们的标头。这允许防火墙验证元数据,例如源地址和目标地址、港口 数字等。
正如您可能怀疑的那样,这种类型的防火墙不是很有效。包过滤防火墙所能做的就是根据访问控制列表减少不必要的网络流量。由于数据包的内容本身没有经过检查,恶意软件仍然可以通过。
电路级网关
验证网络连接合法性的另一种资源有效方式是电路级网关。电路级网关不会检查各个数据包的标头,而是验证会话本身。
同样,像这样的防火墙本身不会检查传输内容,因此很容易受到大量恶意攻击。也就是说,从 OSI 模型的会话层验证传输控制协议 (TCP) 连接只需很少的资源,并且可以有效地关闭不需要的网络连接。.
这就是大多数网络安全解决方案(尤其是软件防火墙)中通常内置电路级网关的原因。这些网关还通过为每个会话创建虚拟连接来帮助屏蔽用户的 IP 地址。
状态检查防火墙
数据包过滤防火墙和电路级网关都是无状态防火墙实现。这意味着它们在静态规则集上运行,限制了它们的有效性。每个数据包(或会话)都被单独处理,这仅允许执行非常基本的检查。
另一方面,状态检测防火墙会跟踪连接的状态以及通过它传输的每个数据包的详细信息。通过在整个连接期间监控 TCP 握手,状态检测防火墙能够编译包含源和目标的 IP 地址和端口号的表,并将传入数据包与此动态规则集进行匹配。
因此,恶意数据包很难通过状态检查防火墙。另一方面,这种防火墙的资源成本较高,降低了性能,并为黑客对系统使用分布式拒绝服务 (DDoS) 攻击创造了机会。
代理防火墙
代理防火墙更广为人知的名称是应用程序级网关,它在 OSI 模型的前端层(应用程序层)运行。作为将用户与网络分开的最后一层,该层允许对数据包进行最彻底、最昂贵的检查,但会牺牲性能。
与电路级网关类似,代理防火墙通过在主机和客户端之间进行调解来工作,混淆目标端口的内部 IP 地址。此外,应用级网关还执行深度数据包检查,以确保恶意流量无法通过。
虽然所有这些措施都显着提高了网络的安全性,但同时也减慢了传入流量的速度。由于像这样的状态防火墙进行资源密集型检查,网络性能受到影响,使其不适合性能敏感的应用程序。.
NAT 防火墙
在许多计算设置中,网络安全的关键是确保私有网络,向黑客和服务提供商隐藏客户端设备的单独 IP 地址。正如我们已经看到的,这可以使用代理防火墙或电路级网关来完成。
隐藏 IP 地址的一种更简单的方法是使用网络地址转换 (NAT) 防火墙。 网络地址转换 防火墙不需要太多系统资源即可运行,使其成为服务器和内部网络之间的首选。
Web 应用程序防火墙
只有在应用程序层运行的网络防火墙才能对数据包执行深度扫描,例如代理防火墙,或者更好的是 Web 应用程序防火墙 (WAF)。
WAF 在网络或主机内部运行,会检查各种 Web 应用程序传输的所有数据,确保没有恶意代码通过。这种类型的防火墙架构专门用于数据包检查,并提供比表面级防火墙更好的安全性。
云防火墙
传统防火墙,无论是硬件防火墙还是软件防火墙,都无法很好地扩展。安装它们时必须考虑到系统的需求,要么关注高流量性能,要么关注低网络流量安全性。
但是云防火墙要灵活得多。这种类型的防火墙作为代理服务器从云端部署,在网络流量进入内部网络之前拦截网络流量,对每个会话进行授权并在允许其进入之前验证每个数据包。
最好的部分是,此类防火墙可以根据需要扩大或缩小容量,以适应不同级别的传入流量。它作为基于云的服务提供,不需要任何硬件,并且由服务提供商自行维护。
下一代防火墙
“下一代”可能是一个误导性术语。所有以科技为基础的行业都喜欢抛出这样的流行语,但它的真正含义是什么?哪些类型的功能使防火墙有资格被视为下一代防火墙?
事实上,没有严格的定义。一般来说,您可以将不同类型的防火墙组合成单个高效安全系统的解决方案视为下一代防火墙(NGFW)。这样的防火墙能够进行深度数据包检查,同时还能抵御 分布式拒绝服务 攻击,提供针对黑客的多层防御。.
大多数下一代防火墙通常会将多种网络解决方案(例如 VPN )、入侵防御系统 (IPS) 甚至防病毒软件整合到一个功能强大的软件包中。我们的想法是提供一个完整的解决方案,解决所有类型的网络漏洞,提供绝对的网络安全。为此,一些 NGFW 还可以解密安全套接字层 (SSL) 通信,从而使它们也能够注意到加密的攻击。</p>
哪种类型的防火墙最能保护您的网络?
关于防火墙的问题是,不同类型的防火墙使用不同的方法来保护网络 。
最简单的防火墙仅对会话和数据包进行身份验证,而不对内容执行任何操作。网关防火墙的作用就是创建虚拟连接并阻止对私有 IP 地址的访问。状态防火墙通过 TCP 握手来跟踪连接,并使用该信息构建状态表。
还有下一代防火墙,它将上述所有流程与深度数据包检查和一系列其他网络保护功能相结合。显然,NGFW 将为您的系统提供尽可能最好的安全性,但这并不总是正确的答案。
根据网络的复杂性和正在运行的应用程序的类型,您的系统可能会更好地使用更简单的解决方案来防范最常见的攻击。最好的想法可能是只使用 third-party Cloud 防火墙 服务,将防火墙的微调和维护工作交给服务提供商。
.