什么是外围防火墙?
目录
外围防火墙是一种过滤流量的安全设备,是内部网络与不受信任的外部网络之间的屏障。
它根据 IP 地址、域名、协议、端口和流量内容等标准,应用一系列规则来控制访问。通过允许或拒绝流量,外围防火墙可保护网络免受未经授权的访问和网络威胁。
外围防火墙如何工作?
外围防火墙是公司内部网络与互联网等不受信任的外部网络之间的过滤器。它仔细检查所有入站和出站网络数据包,并根据预先制定的安全规则允许或阻止它们。外围防火墙通常通过检查数据包头(包括源 IP 地址和目标 IP 地址、端口号和协议类型)来做出这一决定。
在企业环境中,外围防火墙通常使用复杂的算法来分析活动连接的状态。它使用状态检测来跟踪网络连接的状态--例如它们是新连接、已建立的连接还是与现有连接相关的连接--并据此做出访问决定。这种方法可确保传入的数据包是正在进行的对话的一部分,而不是未经请求的访问网络的尝试。
现代外围防火墙还可以执行更深入的检查,包括检查数据包的有效载荷,以发现已知威胁或异常。深度数据包检测(DPI)对于识别和减轻复杂的网络威胁至关重要,否则这些威胁可能会绕过基本的安全检查。
外围防火墙的类型
数据包过滤防火墙
数据包过滤防火墙 在网络层发挥作用,管理跨网络的数据包移动。这些设备执行一套预定义的标准,仔细检查数据包的特征,如源和目标 IP 地址、使用中的端口和通信协议。当数据包的属性符合这些规则时,防火墙允许通过;否则,防火墙拒绝进入。
状态检测防火墙
状态检测防火墙 在监控活动网络连接方面发挥着至关重要的作用。它们仔细检查进出网络的数据包的上下文,只允许识别出安全的数据包。这些防火墙在网络层和传输层(开放系统互连(OSI)模型的第 3 层和第 4 层)发挥作用,重点是通过了解流量的当前状态和流量流的上下文来过滤流量。这种安全方法通过考虑更广泛的网络流量背景,提供了比简单的数据包过滤更全面的防御。
状态检测防火墙的核心功能是数据包检查过程。它会仔细检查每个数据包的细节,看它们是否符合既定的安全连接模式。如果数据包对应的是已知的安全连接,则可以通过;如果不是,则要经过额外的检查以确定其合法性。
代理防火墙
代理防火墙 是应用层网络安全的一道重要防线。它的主要作用是充当中间人,仔细检查内部系统和外部服务器之间传递的信息。这一过程有助于保护网络资源免受潜在的网络威胁。
代理防火墙超越了标准防火墙的功能,标准防火墙通常不会对应用协议流量进行解密或深度检查。相反,代理防火墙会对进出流量进行彻底检查,寻找网络攻击或恶意软件渗透的迹象。其设计的一个重要方面是其 IP 地址,这可以防止外部网络与安全的内部网络之间的任何直接联系。
内部网络上的计算机将代理作为其访问互联网的入口。当用户寻求访问外部资源时,代理防火墙会捕获请求,并根据既定的安全准则进行评估。如果请求符合安全标准,防火墙会代表用户连接到资源,确保只有安全和允许的连接。
新一代防火墙 (NGFW)
NGFW 或新一代防火墙代表着网络安全技术的进步。它通过整合附加功能,扩展了传统状态防火墙的功能。这些功能通常包括应用感知(允许 NGFW 在应用层检测和控制流量),以及集成入侵检测系统 (IDS) 和入侵防御系统 (IPS),用于识别和阻止复杂的威胁。
NGFW 不仅能在传统的端口和协议级别上执行安全策略,还能在应用流量级别上执行安全策略。这样就可以对网络的入口和出口点进行更精细的控制。NGFW 利用对应用程序的深入了解,可以防止可能绕过标准防火墙保护的潜在危险活动。
NGFW 的功能包括将来自网络外部的情报纳入其防御系统。这种情报有助于识别新出现的威胁,并增强防火墙对威胁的应对能力。与传统防火墙不同,NGFW 可提高网络安全的深度和广度,同时简化管理。
什么是网络边界?
| 网络周边组件 | |
|---|---|
| 边界路由器 | 定义专用网络的边缘,标志着向公共互联网的过渡。它是组织权限内的最终路由器,连接内部网络和外部网络。 |
| 外围防火墙 | 它位于边界路由器之后,是抵御危险来袭的主要防御机制。该组件可拦截试图渗入专用网络的有害流量。 |
| 入侵检测/防御系统 | IDS 监控网络中的恶意活动并发出警报,而 IPS 则主动拦截检测到的威胁,预防潜在的攻击。 |
| 非军事区(DMZ) | 充当专用网络与外部世界之间的安全缓冲区,通常容纳网络和电子邮件服务器等公众可访问的服务,同时维护内部网络的安全。 |
网络边界定义了组织内部网络的边缘。它代表了内部网络与互联网等外部网络之间的界限。网络边界是应用安全措施保护网络完整性的地方。在周界防火墙的范围内,网络周界至关重要,因为防火墙正是在这里过滤掉未经授权的访问和网络威胁。
随着云计算和远程访问等网络环境的发展,网络边界的概念也在不断调整。尽管发生了这些变化,但网络边界在提供安全边界方面的基本作用仍然是网络安全策略不可或缺的一部分。它是抵御外部威胁的第一道防线,各种安全组件协同工作,保护组织的数字资产。
外围防火墙的优势
交通管理
外围防火墙可调节网络流量,只允许访问经授权的数据包。这可以增强网络安全态势,防止未经授权的访问。
攻击缓解
这些防火墙可阻止各种网络威胁,包括病毒和入侵。通过阻止可疑活动,外围防火墙可在潜在攻击破坏网络完整性之前将其缓解。
合规性支持
实施外围防火墙可通过执行安全策略和记录网络流量,帮助组织遵守数据保护法规。
防止数据泄露
外围防火墙在防止数据泄露方面发挥着重要作用。它们是抵御试图获取敏感信息的外部威胁的第一道防线。
用户隐私保证
通过充当中间人,外围防火墙可向外部实体隐藏内部网络细节,从而提高用户隐私保护。
网络性能
外围防火墙可防止有害或不必要的流量造成网络拥塞,从而有助于保持网络性能。
资源保护
这些防火墙通过确保只有经过验证的用户和服务才能访问网络资源来保护网络资源,从而防止被利用和停机。
外围防火墙风险
有限的交通检查范围
外围防火墙主要检查入站和出站流量,即南北流量。网络内横向移动的流量或东西向流量可能不受监控,从而可能导致内部威胁未被发现。
易受内部威胁的脆弱性
虽然外围防火墙能有效抵御外部威胁,但本质上并不能防范来自组织内部的风险,如内部威胁或内部系统受损。
适应不断变化的威胁
随着网络威胁的发展,外围防火墙可能难以适应。新品种的攻击和策略,尤其是针对云服务和复杂基础设施的攻击和策略,有时可以绕过传统的防火墙防御。
分布式环境中的有限可见性
随着组织越来越多地采用云服务和分散式架构,传统的网络边界不断扩大,变得越来越不明确。这使得外围防火墙更难提供全面的保护。这种转变要求组织采用能够在分散网络环境中有效运行的安全控制措施。
周边防火墙与客户端防火墙
| 周边防火墙与客户端防火墙 | ||
|---|---|---|
| 参数 | 外围防火墙 | 客户端防火墙 |
| 安置 | 集成在网络边界或内部网段内 | 单独安装在不同的主机上 |
| 外形尺寸 | 物理硬件设备 | 基于软件的解决方案 |
| 性能 | 针对高吞吐量和低延迟进行了优化 | 取决于主机系统资源,鲁棒性可能较差 |
| 使用案例 | 主要在组织网络结构中使用 | 适用于个人计算设备和小型企业网络 |
| 网络分割 | 便于在外围进行分段,控制 VLAN 之间的流量 | 提供微分段功能,按主机管理流量 |
| 管理层 | 通常通过专用防火墙管理服务器集中管理 | 分布式主机数量众多,管理可能更加复杂 |
| 安全 | 外部实体难以规避基于网络的防御措施 | 如果主机完整性受到破坏,恶意软件就会禁用本地防火墙 |
外围防火墙工作在网络边缘,充当所有进出流量的守门员。它们的作用是保护网络基础设施,防止未经授权的访问。外围防火墙通过管理和监控与互联网等外部网络连接的接入点,保护网络内的多个系统。
而客户端防火墙则安装在单个设备或主机上,控制与这些特定机器之间的数据交换。与保护整个网络的外围防火墙不同,客户端防火墙为单个系统提供本地化保护。这意味着,即使设备移动到受保护的网络外围,客户端防火墙也会保持激活状态,持续保护系统免受威胁。
这两类防火墙的区别在部署和保护范围方面意义重大。外围防火墙是网络抵御外部威胁的第一道防线。客户端防火墙可提供第二层安全保护,防止单个系统受到内部和外部潜在漏洞的侵害。在全面的网络安全策略中,每一种策略都起着至关重要的作用。
外围防火墙与数据中心防火墙
| 外围防火墙与数据中心防火墙 | ||
|---|---|---|
| 外围防火墙 | 数据中心防火墙 | |
| 建筑学 | 为网络外缘提供网络层保护 | 利用 5 元组 SDN 的状态、多租户网络层防火墙 |
| 交通方向 | 主要确保进出网络的南北向流量安全 | 确保虚拟网络内东西向流量以及南北向流量的安全 |
| 目的 | 防范外部攻击 | 保护虚拟机,为动态数据中心环境提供灵活性 |
| 使用案例 | 外围的一般网络安全 | 通过灵活的资源分配确保虚拟化数据中心的安全 |
外围防火墙部署在网络边界,通过监控和过滤进出流量来控制对资源的访问。这些防火墙可阻止来自外部的未经授权的访问,保护网络免受来自网络外部的各种攻击。
而数据中心防火墙则专门保护数据中心环境的安全,其中通常包括大量虚拟机(VM)。它们可处理内部流量(也称为东西向流量),并能动态适应数据中心内的变化,如虚拟机迁移。鉴于现代虚拟化数据中心的动态特性,这种灵活性至关重要,因为它可以频繁地重新配置虚拟资源。
两者的主要区别在于它们的专门功能和管理的流量类型。外围防火墙主要关注南北向流量(进出网络的数据),而数据中心防火墙则对数据中心内部的流量进行细粒度控制,即使虚拟环境发生变化,也能确保安全。
外围防火墙常见问题
内部防火墙确保网络内部流量的安全,而外围防火墙则在网络边缘防范外部威胁。
两者没有本质区别;"外部防火墙 "是守卫网络边界的外围防火墙的另一种说法。
外围防火墙和边缘防火墙是同义词,都位于网络边缘,用于过滤传入和传出的流量。
外围网络又称非军事区(DMZ),它将面向外部的服务与内部网络隔开,以增强网络安全。
网络应用程序防火墙(WAF)专门通过过滤和监控网络应用程序与互联网之间的 HTTP 流量来保护网络应用程序。
是的,防火墙可以有外部(面对外部流量)和内部(保护内部网络段)两种组件或配置。
不足之处包括流量检测范围有限、易受内部威胁影响、对不断变化的威胁适应性差、在分布式环境中可见度有限。
当外围安全无法跟上利用内部漏洞或绕过外围防御的高级持续威胁时,外围安全就会失效。
