8種不同類型的防火墻

1什么是防火墻？

防火墻是一種監(jiān)視網(wǎng)絡(luò)流量并檢測(cè)潛在威脅的安全設(shè)備或程序，作為一道保護(hù)屏障，它只允許非威脅性流量進(jìn)入，阻止危險(xiǎn)流量進(jìn)入。

防火墻是client-server模型中網(wǎng)絡(luò)安全的基礎(chǔ)之一，但它們?nèi)菀资艿揭韵路矫娴墓?

社會(huì)工程攻擊（例如，有人竊取密碼并進(jìn)行欺詐）。

內(nèi)部威脅（例如，內(nèi)網(wǎng)中的某人故意更改防火墻設(shè)置）。

人為錯(cuò)誤（例如，員工忘記打開防火墻或忽略更新通知）。

2防火墻是如何工作的？

企業(yè)在網(wǎng)絡(luò)中設(shè)置內(nèi)聯(lián)防火墻，作為外部源和受保護(hù)系統(tǒng)之間的邊界。 管理員創(chuàng)建阻塞點(diǎn)，防火墻在阻塞點(diǎn)檢查所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，包含:

有效負(fù)載（實(shí)際內(nèi)容）。

標(biāo)頭（有關(guān)數(shù)據(jù)的信息，例如誰(shuí)發(fā)送了數(shù)據(jù)，發(fā)給了誰(shuí)）。

防火墻根據(jù)預(yù)設(shè)規(guī)則分析數(shù)據(jù)包，以區(qū)分良性和惡意流量。 這些規(guī)則集規(guī)定了防火墻如何檢查以下內(nèi)容：

源IP和目的IP 地址。

有效負(fù)載中的內(nèi)容。

數(shù)據(jù)包協(xié)議（例如，連接是否使用 TCP/IP 協(xié)議）。

應(yīng)用協(xié)議（HTTP、Telnet、FTP、DNS、SSH 等）。

表明特定網(wǎng)絡(luò)攻擊的數(shù)據(jù)模式。

防火墻阻止所有不符合規(guī)則的數(shù)據(jù)包，并將安全數(shù)據(jù)包路由到預(yù)期的接收者。 當(dāng)防火墻阻止流量進(jìn)入網(wǎng)絡(luò)時(shí)，有兩種選擇：

默默地放棄請(qǐng)求。

向發(fā)件人發(fā)送error信息。

這兩種選擇都可以將危險(xiǎn)流量排除在網(wǎng)絡(luò)之外。 通常，安全團(tuán)隊(duì)更喜歡默默放棄請(qǐng)求以限制信息，以防潛在的黑客測(cè)試防火墻的漏洞。

3基于部署方式的防火墻類型

根據(jù)部署方式，可以將防火墻分為三種類型：硬件防火墻、軟件防火墻和基于云的防火墻。

軟件防火墻

軟件防火墻（或主機(jī)防火墻）直接安裝在主機(jī)設(shè)備上。 這種類型的防火墻只保護(hù)一臺(tái)機(jī)器（網(wǎng)絡(luò)終端、臺(tái)式機(jī)、筆記本電腦、服務(wù)器等），因此管理員必須在他們想要保護(hù)的每臺(tái)設(shè)備上安裝一個(gè)版本的軟件。

由于管理員將軟件防火墻附加到特定設(shè)備上，因此這些防火墻不可避免地會(huì)占用一些系統(tǒng) RAM 和 CPU，這在某些情況下是一個(gè)問(wèn)題。

軟件防火墻的優(yōu)點(diǎn)：

為指定設(shè)備提供出色的保護(hù)。

將各個(gè)網(wǎng)絡(luò)端點(diǎn)彼此隔離。

高精度的安全性，管理員可以完全控制允許的程序。

隨時(shí)可用。

軟件防火墻的缺點(diǎn)：

消耗設(shè)備的 CPU、RAM 和存儲(chǔ)空間。

需要為每個(gè)主機(jī)設(shè)備配置。

日常維護(hù)既困難又耗時(shí)。

并非所有設(shè)備都與每個(gè)防火墻兼容，因此可能必須在同一網(wǎng)絡(luò)中使用不同的解決方案。

硬件防火墻

硬件防火墻（或設(shè)備防火墻）是一個(gè)單獨(dú)的硬件，用于過(guò)濾進(jìn)出網(wǎng)絡(luò)的流量。與軟件防火墻不同，這些獨(dú)立設(shè)備有自己的資源，不會(huì)占用主機(jī)設(shè)備的任何 CPU 或 RAM。

硬件防火墻相對(duì)更適合大型企業(yè)，中小型企業(yè)可能更多地會(huì)選擇在每臺(tái)主機(jī)上安裝軟件防火墻的方式，硬件防火墻對(duì)于擁有多個(gè)包含大量計(jì)算機(jī)的子網(wǎng)的大型組織來(lái)說(shuō)是一個(gè)極好的選擇。

硬件防火墻的優(yōu)點(diǎn)：

使用一種解決方案保護(hù)多臺(tái)設(shè)備。

頂級(jí)邊界安全性，因?yàn)閻阂饬髁坑肋h(yuǎn)不會(huì)到達(dá)主機(jī)設(shè)備。

不消耗主機(jī)設(shè)備資源。

管理員只需為整個(gè)網(wǎng)絡(luò)管理一個(gè)防火墻。

硬件防火墻的缺點(diǎn)：

比軟件防火墻更昂貴。

內(nèi)部威脅是一個(gè)相當(dāng)大的弱點(diǎn)。

與基于軟件的防火墻相比，配置和管理需要更多的技能。

基于云的防火墻

許多供應(yīng)商提供基于云的防火墻，它們通過(guò) Internet 按需提供。這些服務(wù)也稱為防火墻即服務(wù)（FaaS），以IaaS 或 PaaS的形式運(yùn)行。

基于云的防火墻非常適用于：

高度分散的業(yè)務(wù)。

在安全資源方面存在缺口的團(tuán)隊(duì)。

不具備必要的內(nèi)部專業(yè)知識(shí)的公司。

與基于硬件的解決方案一樣，云防火墻在邊界安全方面表現(xiàn)出色，同時(shí)也可以在每個(gè)主機(jī)的基礎(chǔ)上設(shè)置這些系統(tǒng)。

云防火墻的優(yōu)點(diǎn)：

服務(wù)提供商處理所有管理任務(wù)（安裝、部署、修補(bǔ)、故障排除等）。

用戶可以自由擴(kuò)展云資源以滿足流量負(fù)載。

無(wú)需任何內(nèi)部硬件。

高可用性。

云防火墻的缺點(diǎn)：

供應(yīng)商究竟如何運(yùn)行防火墻缺乏透明度。

與其他基于云的服務(wù)一樣，這些防火墻很難遷移到新的提供商。

流量流經(jīng)第三方可能會(huì)增加延遲和隱私問(wèn)題。

由于高昂的運(yùn)營(yíng)成本，從長(zhǎng)遠(yuǎn)來(lái)看是比較貴的。

4基于操作方法的防火墻類型

下面是基于功能和 OSI 模型的五種類型的防火墻。

包過(guò)濾防火墻

包過(guò)濾防火墻充當(dāng)網(wǎng)絡(luò)層的檢查點(diǎn)，并將每個(gè)數(shù)據(jù)包的標(biāo)頭信息與一組預(yù)先建立的標(biāo)準(zhǔn)進(jìn)行比較。這些防火墻檢查以下基于標(biāo)頭的信息：

目的地址和源 IP 地址。

數(shù)據(jù)包類型。

端口號(hào)。

網(wǎng)絡(luò)協(xié)議。

這些類型的防火墻僅分析表面的細(xì)節(jié)，不會(huì)打開數(shù)據(jù)包來(lái)檢查其有效負(fù)載。 包過(guò)濾防火墻在不考慮現(xiàn)有流量的情況下真空檢查每個(gè)數(shù)據(jù)包。 包過(guò)濾防火墻非常適合只需要基本安全功能來(lái)抵御既定威脅的小型組織。

包過(guò)濾防火墻的優(yōu)點(diǎn)：

低成本。

快速包過(guò)濾和處理。

擅長(zhǎng)篩選內(nèi)部部門之間的流量。

低資源消耗。

對(duì)網(wǎng)絡(luò)速度和最終用戶體驗(yàn)的影響最小。

多層防火墻策略中出色的第一道防線。

包過(guò)濾防火墻的缺點(diǎn)：

不檢查數(shù)據(jù)包有效負(fù)載（實(shí)際數(shù)據(jù)）。

對(duì)于有經(jīng)驗(yàn)的黑客來(lái)說(shuō)很容易繞過(guò)。

無(wú)法在應(yīng)用層進(jìn)行過(guò)濾。

容易受到 IP 欺騙攻擊，因?yàn)樗鼏为?dú)處理每個(gè)數(shù)據(jù)包。

沒有用戶身份驗(yàn)證或日志記錄功能。

訪問(wèn)控制列表的設(shè)置和管理具有挑戰(zhàn)性。

電路級(jí)網(wǎng)關(guān)

電路級(jí)網(wǎng)關(guān)在 OSI 會(huì)話層運(yùn)行，并監(jiān)視本地和遠(yuǎn)程主機(jī)之間的TCP（傳輸控制協(xié)議）握手。 其可以在不消耗大量資源的情況下快速批準(zhǔn)或拒絕流量。 但是，這些系統(tǒng)不檢查數(shù)據(jù)包，因此如果 TCP 握手通過(guò)，即使是感染了惡意軟件的請(qǐng)求也可以訪問(wèn)。

電路級(jí)網(wǎng)關(guān)的優(yōu)點(diǎn)：

僅處理請(qǐng)求的事務(wù)，并拒絕所有其他流量。

易于設(shè)置和管理。

資源和成本效益。

強(qiáng)大的地址暴露保護(hù)。

對(duì)最終用戶體驗(yàn)的影響最小。

電路級(jí)網(wǎng)關(guān)的缺點(diǎn)：

不是一個(gè)獨(dú)立的解決方案，因?yàn)闆]有內(nèi)容過(guò)濾。

通常需要對(duì)軟件和網(wǎng)絡(luò)協(xié)議進(jìn)行調(diào)整。

狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)防火墻（或動(dòng)態(tài)包過(guò)濾防火墻）在網(wǎng)絡(luò)層和傳輸層監(jiān)控傳入和傳出的數(shù)據(jù)包。 這類防火墻結(jié)合了數(shù)據(jù)包檢測(cè)和 TCP 握手驗(yàn)證。

狀態(tài)檢測(cè)防火墻維護(hù)一個(gè)表數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)跟蹤所有打開的連接使系統(tǒng)能夠檢查現(xiàn)有的流量流。 該數(shù)據(jù)庫(kù)存儲(chǔ)所有與關(guān)鍵數(shù)據(jù)包相關(guān)的信息，包括：

源IP。

源端口。

目的 IP。

每個(gè)連接的目標(biāo)端口。

當(dāng)一個(gè)新數(shù)據(jù)包到達(dá)時(shí)，防火墻檢查有效連接表。 檢測(cè)過(guò)的數(shù)據(jù)包無(wú)需進(jìn)一步分析即可通過(guò)，而防火墻會(huì)根據(jù)預(yù)設(shè)規(guī)則集評(píng)估不匹配的流量。

狀態(tài)檢測(cè)防火墻的優(yōu)點(diǎn)：

過(guò)濾流量時(shí)會(huì)自動(dòng)通過(guò)以前檢查過(guò)的數(shù)據(jù)包。

在阻止利用協(xié)議缺陷的攻擊方面表現(xiàn)出色。

無(wú)需打開大量端口來(lái)讓流量進(jìn)出，這可以縮小攻擊面。

詳細(xì)的日志記錄功能，有助于數(shù)字取證。

減少對(duì)端口掃描器的暴露。

狀態(tài)檢測(cè)防火墻的缺點(diǎn)：

比包過(guò)濾防火墻更昂貴。

需要高水平的技能才能正確設(shè)置。

通常會(huì)影響性能并導(dǎo)致網(wǎng)絡(luò)延遲。

不支持驗(yàn)證欺騙流量源的身份驗(yàn)證。

容易受到利用預(yù)先建立連接的 TCP Flood攻擊。

代理防火墻

代理防火墻（或應(yīng)用級(jí)網(wǎng)關(guān)）充當(dāng)內(nèi)部和外部系統(tǒng)之間的中介。 這類防火墻會(huì)在客戶端請(qǐng)求發(fā)送到主機(jī)之前對(duì)其進(jìn)行屏蔽，從而保護(hù)網(wǎng)絡(luò)。

代理防火墻在應(yīng)用層運(yùn)行，具有深度包檢測(cè) (DPI)功能，可以檢查傳入流量的有效負(fù)載和標(biāo)頭。

當(dāng)客戶端發(fā)送訪問(wèn)網(wǎng)絡(luò)的請(qǐng)求時(shí)，消息首先到達(dá)代理服務(wù)器。

防火墻會(huì)檢查以下內(nèi)容：

客戶端和防火墻后面的設(shè)備之間的先前通信（如果有的話）。

標(biāo)頭信息。

內(nèi)容本身。

然后代理屏蔽該請(qǐng)求并將消息轉(zhuǎn)發(fā)到Web 服務(wù)器。 此過(guò)程隱藏了客戶端的 ID。 服務(wù)器響應(yīng)并將請(qǐng)求的數(shù)據(jù)發(fā)送給代理，之后防火墻將信息傳遞給原始客戶端。

代理防火墻是企業(yè)保護(hù) Web應(yīng)用免受惡意用戶攻擊的首選。

代理防火墻的優(yōu)點(diǎn)：

DPI檢查數(shù)據(jù)包標(biāo)頭和有效負(fù)載 。

在客戶端和網(wǎng)絡(luò)之間添加了一個(gè)額外的隔離層。

對(duì)潛在威脅行為者隱藏內(nèi)部 IP 地址。

檢測(cè)并阻止網(wǎng)絡(luò)層不可見的攻擊。

對(duì)網(wǎng)絡(luò)流量進(jìn)行細(xì)粒度的安全控制。

解除地理位置限制。

代理防火墻的缺點(diǎn)：

由于徹底的數(shù)據(jù)包檢查和額外的通信步驟，會(huì)導(dǎo)致延遲增加。

由于處理開銷高，不如其他類型的防火墻成本低。

設(shè)置和管理具有挑戰(zhàn)性。

不兼容所有網(wǎng)絡(luò)協(xié)議。

下一代防火墻

下一代防火墻(NGFW)是將其他防火墻的多種功能集成在一起的安全設(shè)備或程序。 這樣的系統(tǒng)提供：

分析流量?jī)?nèi)容的深度數(shù)據(jù)包檢測(cè)（DPI）。

TCP 握手檢查。

表層數(shù)據(jù)包檢測(cè)。

下一代防火墻還包括額外的網(wǎng)絡(luò)安全措施，例如：

IDS 和 IPS。

惡意軟件掃描和過(guò)濾。

高級(jí)威脅情報(bào)（模式匹配、基于協(xié)議的檢測(cè)、基于異常的檢測(cè)等）

防病毒程序。

網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)。

服務(wù)質(zhì)量 (QoS)功能。

SSH檢查。

NGFW 是醫(yī)療保健或金融等受到嚴(yán)格監(jiān)管的行業(yè)的常見選擇。

下一代防火墻的優(yōu)點(diǎn)：

將傳統(tǒng)防火墻功能與高級(jí)網(wǎng)絡(luò)安全功能相結(jié)合。

檢查從數(shù)據(jù)鏈路層到應(yīng)用層的網(wǎng)絡(luò)流量。

日志記錄功能。

下一代防火墻的缺點(diǎn)：

比其他防火墻更昂貴。

存在單點(diǎn)故障。

部署時(shí)間緩慢。

需要高度的專業(yè)知識(shí)才能設(shè)置和運(yùn)行。

影響網(wǎng)絡(luò)性能。

任何一個(gè)保護(hù)層，無(wú)論多么強(qiáng)大，都不足以完全保護(hù)你的業(yè)務(wù)。 企業(yè)往往會(huì)在同一個(gè)網(wǎng)絡(luò)中設(shè)置多個(gè)防火墻，選擇理想的防火墻首先要了解企業(yè)網(wǎng)絡(luò)的架構(gòu)和功能，確定這些不同類型的防火墻和防火墻策略哪個(gè)最適合自己。 通常情況下，企業(yè)網(wǎng)絡(luò)應(yīng)該設(shè)置多層防火墻，既在外圍保護(hù)又在網(wǎng)絡(luò)上分隔不同的資產(chǎn)，從而使你的網(wǎng)絡(luò)更難破解。

本文編譯自：phoenixnap