Linux中國

什麼是防火牆?

基於網路的防火牆已經在美國企業無處不在,因為它們證實了抵禦日益增長的威脅的防禦能力。

通過網路測試公司 NSS 實驗室最近的一項研究發現,高達 80% 的美國大型企業運行著下一代防火牆。研究公司 IDC 評估防火牆和相關的統一威脅管理市場的營業額在 2015 是 76 億美元,預計到 2020 年底將達到 127 億美元。

如果你想升級,這裡是《當部署下一代防火牆時要考慮什麼》

什麼是防火牆?

防火牆作為一個邊界防禦工具,其監控流量——要麼允許它、要麼屏蔽它。 多年來,防火牆的功能不斷增強,現在大多數防火牆不僅可以阻止已知的一些威脅、執行高級訪問控制列表策略,還可以深入檢查流量中的每個數據包,並測試包以確定它們是否安全。大多數防火牆都部署為用於處理流量的網路硬體,和允許終端用戶配置和管理系統的軟體。越來越多的軟體版防火牆部署到高度虛擬化的環境中,以在被隔離的網路或 IaaS 公有雲中執行策略。

隨著防火牆技術的進步,在過去十年中創造了新的防火牆部署選擇,所以現在對於部署防火牆的最終用戶來說,有了更多選擇。這些選擇包括:

有狀態的防火牆

當防火牆首次創造出來時,它們是無狀態的,這意味著流量所通過的硬體當單獨地檢查被監視的每個網路流量包時,屏蔽或允許是隔離的。從 1990 年代中後期開始,防火牆的第一個主要進展是引入了狀態。有狀態防火牆在更全面的上下文中檢查流量,同時考慮到網路連接的工作狀態和特性,以提供更全面的防火牆。例如,維持這個狀態的防火牆可以允許某些流量訪問某些用戶,同時對其他用戶阻塞同一流量。

基於代理的防火牆

這些防火牆充當請求數據的最終用戶和數據源之間的網關。在傳遞給最終用戶之前,所有的流量都通過這個代理過濾。這通過掩飾信息的原始請求者的身份來保護客戶端不受威脅。

Web 應用防火牆(WAF)

這些防火牆位於特定應用的前面,而不是在更廣闊的網路的入口或者出口上。基於代理的防火牆通常被認為是保護終端客戶的,而 WAF 則被認為是保護應用伺服器的。

防火牆硬體

防火牆硬體通常是一個簡單的伺服器,它可以充當路由器來過濾流量和運行防火牆軟體。這些設備放置在企業網路的邊緣,位於路由器和 Internet 服務提供商(ISP)的連接點之間。通常企業可能在整個數據中心部署十幾個物理防火牆。 用戶需要根據用戶基數的大小和 Internet 連接的速率來確定防火牆需要支持的吞吐量容量。

防火牆軟體

通常,終端用戶部署多個防火牆硬體端和一個中央防火牆軟體系統來管理該部署。 這個中心系統是配置策略和特性的地方,在那裡可以進行分析,並可以對威脅作出響應。

下一代防火牆(NGFW)

多年來,防火牆增加了多種新的特性,包括深度包檢查、入侵檢測和防禦以及對加密流量的檢查。下一代防火牆(NGFW)是指集成了許多先進的功能的防火牆。

有狀態的檢測

阻止已知不需要的流量,這是基本的防火牆功能。

反病毒

在網路流量中搜索已知病毒和漏洞,這個功能有助於防火牆接收最新威脅的更新,並不斷更新以保護它們。

入侵防禦系統(IPS)

這類安全產品可以部署為一個獨立的產品,但 IPS 功能正逐步融入 NGFW。 雖然基本的防火牆技術可以識別和阻止某些類型的網路流量,但 IPS 使用更細粒度的安全措施,如簽名跟蹤和異常檢測,以防止不必要的威脅進入公司網路。 這一技術的以前版本是入侵檢測系統(IDS),其重點是識別威脅而不是遏制它們,已經被 IPS 系統取代了。

深度包檢測(DPI)

DPI 可作為 IPS 的一部分或與其結合使用,但其仍然成為一個 NGFW 的重要特徵,因為它提供細粒度分析流量的能力,可以具體到流量包頭和流量數據。DPI 還可以用來監測出站流量,以確保敏感信息不會離開公司網路,這種技術稱為數據丟失防禦(DLP)。

SSL 檢測

安全套接字層(SSL)檢測是一個檢測加密流量來測試威脅的方法。隨著越來越多的流量進行加密,SSL 檢測成為 NGFW 正在實施的 DPI 技術的一個重要組成部分。SSL 檢測作為一個緩衝區,它在送到最終目的地之前解碼流量以檢測它。

沙盒

這個是被捲入 NGFW 中的一個較新的特性,它指防火牆接收某些未知的流量或者代碼,並在一個測試環境運行,以確定它是否存在問題的能力。

via: https://www.networkworld.com/article/3230457/lan-wan/what-is-a-firewall-perimeter-stateful-inspection-next-generation.html

作者:Brandon Butler 譯者:zjon 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國