目录

什么是电路级网关?

目录
What Is a Circuit Level Gateway?

电路级网关是一种防火墙,它在 OSI 模型第 5 层验证 TCP 或 UDP 会话,然后才允许流量通过。

电路级网关充当受信任客户端或服务器与非受信任主机之间的握手设备。它可确保会话数据包符合连接的既定规则,而无需检查数据包内的数据。网关充当检查站,根据会话特定标准快速确认或拒绝流量。

 

电路级网关的工作原理

电路级网关图,显示外部主机和内部主机之间通过网关的多个 IN 和 OUT 通道进行的数据流。

电路级网关在受信任的内部网络和不受信任的外部网络之间起着半透明桥梁的作用。它在 OSI 模型的会话层运行,在两个传输层之间的虚拟电路上监控和验证 TCP(传输控制协议)和 UDP(用户数据报协议)数据包。通过确认每个会话都是合法和授权的,网关就能控制流量,而无需检查每个数据包的内容。

在运行过程中,电路级网关会仔细检查 TCP 握手过程,以确保受信任客户端或服务器到受信任主机之间的会话启动是真实的,反之亦然。如果初始握手符合既定的安全策略,网关就会允许连接。它会在会话期间创建一个虚拟电路,允许所有流量不受阻碍地流过该电路。

这类网关会维护一个包含所有已建立会话及其相应安全属性的表。属性包括源 IP 地址、目标 IP 地址和端口号,以及会话的具体细节,如超时。网关利用这些信息管理正在进行的流量,根据会话的有效性允许或禁止数据包。

虽然电路级网关能有效确认 TCP 连接的有效性,但它不会检查数据包的有效载荷。这意味着,如果会话是正确建立的,那么随后的流量,包括潜在的恶意内容,都可以通过,而无需进行更深入的检查。这一特点凸显了将电路级网关与更深入的防火墙技术(如新一代防火墙)搭配起来以实现全面网络保护的重要性。

会话终止时,电路级网关会将其从会话表中删除,从而有效关闭虚拟电路。这一操作可确保过时或未经授权的连接不会持续存在,从而维护内部网络安全态势的完整性。

什么是防火墙?

 

电路级网关功能

会话层操作

电路级网关在 OSI 模型的会话层运行。这种定位使其能够通过监控和验证建立网络连接的 TCP 或 UDP 握手来管理和验证会话。

隐私保护

由于网关不会暴露内部网络的详细信息,因此使用电路级网关的网络的私密性得到了增强。它作为一个中介,对外部服务主机隐瞒主机身份,只允许经过验证的会话,这就维护了网络的机密性。

独立系统

作为一个独立的系统,电路级网关可以独立运行,提供网络安全。它不一定要求与其他安全系统集成,以管理和控制基于会话的流量。

安全策略执行

网关通过建立一套会话验证规则来执行安全策略。在允许数据包通过之前,它们会确保所有会话都符合预定义的安全标准。

虚拟电路连接

电路级网关为每个经过验证的会话创建一个虚拟电路,为数据传输提供安全通道。这一功能有助于在整个激活阶段保持连接的完整性。

报告与分析

通过提供报告功能,电路级网关使网络管理员能够审查和微调安全方法。这些报告提供了有关会话活动和潜在安全漏洞的深入分析。

 

电路级网关的优势

电路级网关的优势:性能增强、配置简单、成本效益高、资源利用率低、网络安全简化

增强网络性能

电路级网关可提高网络效率。它们在会话层工作,因此无需深度数据包检查就能快速处理连接,并最大限度地减少延迟。

简化配置

电路级网关的设置简单明了。它们侧重于连接状态,降低了配置更高级防火墙解决方案所要求的详细规则的复杂性。

成本效益

电路级网关是具有成本效益的解决方案。它们的复杂性较低,因此运营成本也较低,适合希望有效确保网络安全的企业使用。

资源利用率低

与其他类型的防火墙相比,电路级网关主要在会话层运行,使用的资源较少。这种精简的运行方式有利于保持系统的整体性能。

简化网络安全

与其他防火墙不同,电路级网关不要求为每个应用单独配置代理服务器,从而简化了网络安全管理,减少了开销。

 

电路级网关面临的挑战

电路级网关面临的挑战:检查功能有限、更新要求频繁、缺乏数据泄漏保护、无流量监控、TCP/IP 协议栈修改依赖供应商

有限的检测能力

由于电路级网关不检查单个数据包的内容,因此,如果含有恶意内容的数据包是已批准会话的一部分,那么它们就可以通过。

频繁更新要求

为保持对不断变化的威胁的有效防御,电路级网关要求定期更新。这些更新可能是资源密集型的,需要 IT 人员的关注,以确保网关的安全措施是最新的。

数据泄漏保护不足

电路级网关在管理会话完整性的同时,无法抵御来自网络内部的数据泄露。这就需要集成更多的安全解决方案,以保护敏感信息。

无交通监控

电路级网关除了验证会话握手之外,缺乏监控网络流量可疑行为的能力。这种狭隘的关注点可能会错过安全漏洞或网络问题的其他指标。

TCP/IP 协议栈修改依赖于供应商

电路级网关只兼容 TCP 连接。电路级网关的有效性与 TCP/IP 协议栈的正确配置密切相关,通常需要供应商介入进行更新和修改。

 

何时使用电路级网关?

电路级网关可能适用于对速度和资源效率要求较高的环境。要求快速会话验证而又不需要深度数据包检查处理开销的组织可能会发现它们很有用。在需要兼顾基本安全措施和网络性能的情况下,以及在更全面的安全系统带来的网络延迟令人担忧的情况下,通常会采用这种系统。

中小型企业有时会使用这种网关,因为它们需要一种经济有效的方式来确保网络会话的安全。电路级网关虽然不足以作为复杂企业环境的独立安全措施,但可以成为完整安全策略的有用组成部分。它们与能够进行深度数据包检查和应用层监控的新一代防火墙一起使用时,可提供额外的安全保护。

定义和解释的防火墙类型

 

电路级网关常见问题解答

电路级网关的主要缺点是无法检查数据包内容,如果会话看似合法,则可能允许恶意数据通过。
电路网关在 OSI 会话层验证会话,而其他防火墙可能会在不同的 OSI 层检查数据包内容或应用规则。
网络级网关通常是指通过在网络流量中应用规则和策略来控制网络访问的设备。
使用电路级网关进行高效会话验证,将对网络性能的影响降至最低。
电路级网关的主要功能是验证网络会话,确保它们符合安全策略。
与在应用层检查数据的应用层防火墙相比,电路级网关速度更快,使用的资源更少。
电路级防火墙也称为会话防火墙。
优点:成本效益高,效率高。缺点:检查能力有限,存在潜在的安全漏洞。
电路级网关根据 TCP 握手等会话建立协议过滤数据包。
电路级代理验证会话,而应用级代理则检查和控制应用程序数据。
电路级网关验证会话,而数据包过滤防火墙则检查单个数据包。
防火墙控制网络访问,以确保网络安全,而网关则为不同网络之间的数据传输提供便利。
网络通信需要网关。网络安全需要防火墙。
网关通常根据其功能在不同的 OSI 模型层运行。
电路级过滤检查的是会话初始协议,如 TCP 握手,而不是数据包内容。
相关内容
什么是混合云安全?
混合云安全是为保护混合云环境中的数据、应用程序和基础设施而建立的技术和程序的总和。
云 NGFW
了解云 NGFW 如何帮助阻止攻击者入侵、阻止数据外渗和命令与控制 (C2) 流量。
快速找到合适的软件防火墙
行业领先的 Palo Alto Networks 软件防火墙可随时保护您在各种环境中的工作负载和应用程序的安全。
您的混合基础设施正遭受攻击
了解专为混合架构设计的安全平台的主要特点。

获取最新资讯、活动邀请以及威胁警报