1什么是防火墻？

防火墻是一種監視網絡流量并檢測潛在威脅的安全設備或程序，作為一道保護屏障，它只允許非威脅性流量進入，阻止危險流量進入。

防火墻是client-server模型中網絡安全的基礎之一，但它們容易受到以下方面的攻擊:

社會工程攻擊（例如，有人竊取密碼并進行欺詐）。

內部威脅（例如，內網中的某人故意更改防火墻設置）。

人為錯誤（例如，員工忘記打開防火墻或忽略更新通知）。

2防火墻是如何工作的？

企業在網絡中設置內聯防火墻，作為外部源和受保護系統之間的邊界。 管理員創建阻塞點，防火墻在阻塞點檢查所有進出網絡的數據包，包含:

有效負載（實際內容）。

標頭（有關數據的信息，例如誰發送了數據，發給了誰）。

防火墻根據預設規則分析數據包，以區分良性和惡意流量。 這些規則集規定了防火墻如何檢查以下內容：

源IP和目的IP 地址。

有效負載中的內容。

數據包協議（例如，連接是否使用 TCP/IP 協議）。

應用協議（HTTP、Telnet、FTP、DNS、SSH 等）。

表明特定網絡攻擊的數據模式。

防火墻阻止所有不符合規則的數據包，并將安全數據包路由到預期的接收者。 當防火墻阻止流量進入網絡時，有兩種選擇：

默默地放棄請求。

向發件人發送error信息。

這兩種選擇都可以將危險流量排除在網絡之外。 通常，安全團隊更喜歡默默放棄請求以限制信息，以防潛在的黑客測試防火墻的漏洞。

3基于部署方式的防火墻類型

根據部署方式，可以將防火墻分為三種類型：硬件防火墻、軟件防火墻和基于云的防火墻。

軟件防火墻

軟件防火墻（或主機防火墻）直接安裝在主機設備上。 這種類型的防火墻只保護一臺機器（網絡終端、臺式機、筆記本電腦、服務器等），因此管理員必須在他們想要保護的每臺設備上安裝一個版本的軟件。

由于管理員將軟件防火墻附加到特定設備上，因此這些防火墻不可避免地會占用一些系統 RAM 和 CPU，這在某些情況下是一個問題。

軟件防火墻的優點：

為指定設備提供出色的保護。

將各個網絡端點彼此隔離。

高精度的安全性，管理員可以完全控制允許的程序。

隨時可用。

軟件防火墻的缺點：

消耗設備的 CPU、RAM 和存儲空間。

需要為每個主機設備配置。

日常維護既困難又耗時。

并非所有設備都與每個防火墻兼容，因此可能必須在同一網絡中使用不同的解決方案。

硬件防火墻

硬件防火墻（或設備防火墻）是一個單獨的硬件，用于過濾進出網絡的流量。與軟件防火墻不同，這些獨立設備有自己的資源，不會占用主機設備的任何 CPU 或 RAM。

硬件防火墻相對更適合大型企業，中小型企業可能更多地會選擇在每臺主機上安裝軟件防火墻的方式，硬件防火墻對于擁有多個包含大量計算機的子網的大型組織來說是一個極好的選擇。

硬件防火墻的優點：

使用一種解決方案保護多臺設備。

頂級邊界安全性，因為惡意流量永遠不會到達主機設備。

不消耗主機設備資源。

管理員只需為整個網絡管理一個防火墻。

硬件防火墻的缺點：

比軟件防火墻更昂貴。

內部威脅是一個相當大的弱點。

與基于軟件的防火墻相比，配置和管理需要更多的技能。

基于云的防火墻

許多供應商提供基于云的防火墻，它們通過 Internet 按需提供。這些服務也稱為防火墻即服務（FaaS），以IaaS 或 PaaS的形式運行。

基于云的防火墻非常適用于：

高度分散的業務。

在安全資源方面存在缺口的團隊。

不具備必要的內部專業知識的公司。

與基于硬件的解決方案一樣，云防火墻在邊界安全方面表現出色，同時也可以在每個主機的基礎上設置這些系統。

云防火墻的優點：

服務提供商處理所有管理任務（安裝、部署、修補、故障排除等）。

用戶可以自由擴展云資源以滿足流量負載。

無需任何內部硬件。

高可用性。

云防火墻的缺點：

供應商究竟如何運行防火墻缺乏透明度。

與其他基于云的服務一樣，這些防火墻很難遷移到新的提供商。

流量流經第三方可能會增加延遲和隱私問題。

由于高昂的運營成本，從長遠來看是比較貴的。

4基于操作方法的防火墻類型

下面是基于功能和 OSI 模型的五種類型的防火墻。

包過濾防火墻

包過濾防火墻充當網絡層的檢查點，并將每個數據包的標頭信息與一組預先建立的標準進行比較。這些防火墻檢查以下基于標頭的信息：

目的地址和源 IP 地址。

數據包類型。

端口號。

網絡協議。

這些類型的防火墻僅分析表面的細節，不會打開數據包來檢查其有效負載。 包過濾防火墻在不考慮現有流量的情況下真空檢查每個數據包。 包過濾防火墻非常適合只需要基本安全功能來抵御既定威脅的小型組織。

包過濾防火墻的優點：

低成本。

快速包過濾和處理。

擅長篩選內部部門之間的流量。

低資源消耗。

對網絡速度和最終用戶體驗的影響最小。

多層防火墻策略中出色的第一道防線。

包過濾防火墻的缺點：

不檢查數據包有效負載（實際數據）。

對于有經驗的黑客來說很容易繞過。

無法在應用層進行過濾。

容易受到 IP 欺騙攻擊，因為它單獨處理每個數據包。

沒有用戶身份驗證或日志記錄功能。

訪問控制列表的設置和管理具有挑戰性。

電路級網關

電路級網關在 OSI 會話層運行，并監視本地和遠程主機之間的TCP（傳輸控制協議）握手。 其可以在不消耗大量資源的情況下快速批準或拒絕流量。 但是，這些系統不檢查數據包，因此如果 TCP 握手通過，即使是感染了惡意軟件的請求也可以訪問。

電路級網關的優點：

僅處理請求的事務，并拒絕所有其他流量。

易于設置和管理。

資源和成本效益。

強大的地址暴露保護。

對最終用戶體驗的影響最小。

電路級網關的缺點：

不是一個獨立的解決方案，因為沒有內容過濾。

通常需要對軟件和網絡協議進行調整。

狀態檢測防火墻

狀態檢測防火墻（或動態包過濾防火墻）在網絡層和傳輸層監控傳入和傳出的數據包。 這類防火墻結合了數據包檢測和 TCP 握手驗證。

狀態檢測防火墻維護一個表數據庫，該數據庫跟蹤所有打開的連接使系統能夠檢查現有的流量流。 該數據庫存儲所有與關鍵數據包相關的信息，包括：

源IP。

源端口。

目的 IP。

每個連接的目標端口。

當一個新數據包到達時，防火墻檢查有效連接表。 檢測過的數據包無需進一步分析即可通過，而防火墻會根據預設規則集評估不匹配的流量。

狀態檢測防火墻的優點：

過濾流量時會自動通過以前檢查過的數據包。

在阻止利用協議缺陷的攻擊方面表現出色。

無需打開大量端口來讓流量進出，這可以縮小攻擊面。

詳細的日志記錄功能，有助于數字取證。

減少對端口掃描器的暴露。

狀態檢測防火墻的缺點：

比包過濾防火墻更昂貴。

需要高水平的技能才能正確設置。

通常會影響性能并導致網絡延遲。

不支持驗證欺騙流量源的身份驗證。

容易受到利用預先建立連接的 TCP Flood攻擊。

代理防火墻

代理防火墻（或應用級網關）充當內部和外部系統之間的中介。 這類防火墻會在客戶端請求發送到主機之前對其進行屏蔽，從而保護網絡。

代理防火墻在應用層運行，具有深度包檢測 (DPI)功能，可以檢查傳入流量的有效負載和標頭。

當客戶端發送訪問網絡的請求時，消息首先到達代理服務器。

防火墻會檢查以下內容：

客戶端和防火墻后面的設備之間的先前通信（如果有的話）。

標頭信息。

內容本身。

然后代理屏蔽該請求并將消息轉發到Web 服務器。 此過程隱藏了客戶端的 ID。 服務器響應并將請求的數據發送給代理，之后防火墻將信息傳遞給原始客戶端。

代理防火墻是企業保護 Web應用免受惡意用戶攻擊的首選。

代理防火墻的優點：

DPI檢查數據包標頭和有效負載 。

在客戶端和網絡之間添加了一個額外的隔離層。

對潛在威脅行為者隱藏內部 IP 地址。

檢測并阻止網絡層不可見的攻擊。

對網絡流量進行細粒度的安全控制。

解除地理位置限制。

代理防火墻的缺點：

由于徹底的數據包檢查和額外的通信步驟，會導致延遲增加。

由于處理開銷高，不如其他類型的防火墻成本低。

設置和管理具有挑戰性。

不兼容所有網絡協議。

下一代防火墻

下一代防火墻(NGFW)是將其他防火墻的多種功能集成在一起的安全設備或程序。 這樣的系統提供：

分析流量內容的深度數據包檢測（DPI）。

TCP 握手檢查。

表層數據包檢測。

下一代防火墻還包括額外的網絡安全措施，例如：

IDS 和 IPS。

惡意軟件掃描和過濾。

高級威脅情報（模式匹配、基于協議的檢測、基于異常的檢測等）

防病毒程序。

網絡地址轉換 (NAT)。

服務質量 (QoS)功能。

SSH檢查。

NGFW 是醫療保健或金融等受到嚴格監管的行業的常見選擇。

下一代防火墻的優點：

將傳統防火墻功能與高級網絡安全功能相結合。

檢查從數據鏈路層到應用層的網絡流量。

日志記錄功能。

下一代防火墻的缺點：

比其他防火墻更昂貴。

存在單點故障。

部署時間緩慢。

需要高度的專業知識才能設置和運行。

影響網絡性能。

任何一個保護層，無論多么強大，都不足以完全保護你的業務。 企業往往會在同一個網絡中設置多個防火墻，選擇理想的防火墻首先要了解企業網絡的架構和功能，確定這些不同類型的防火墻和防火墻策略哪個最適合自己。 通常情況下，企業網絡應該設置多層防火墻，既在外圍保護又在網絡上分隔不同的資產，從而使你的網絡更難破解。

本文編譯自：phoenixnap