防火墻是一種計算機(jī)網(wǎng)絡(luò)安全系統(tǒng),用于限制互聯(lián)網(wǎng)流量進(jìn)入、流出或進(jìn)入專用網(wǎng)絡(luò)。該軟件或?qū)S糜布?軟件單元通過選擇性地阻止或允許數(shù)據(jù)包來發(fā)揮作用。它通常旨在防止任何人(無論是在專用網(wǎng)絡(luò)內(nèi)部還是外部)參與未經(jīng)授權(quán)的 Web 活動,并幫助防止惡意活動。
什么是防火墻?
防火墻可以被視為門控邊界或網(wǎng)關(guān),用于管理專用網(wǎng)絡(luò)中允許和禁止的 Web 活動的傳播。該術(shù)語來自物理墻的概念,即物理墻是減緩火勢蔓延的屏障,直到緊急服務(wù)能夠?qū)⑵鋼錅纭O啾戎拢W(wǎng)絡(luò)安全防火墻用于網(wǎng)絡(luò)流量管理——通常旨在減緩網(wǎng)絡(luò)威脅的傳播。
防火墻創(chuàng)建“阻塞點”來匯集網(wǎng)絡(luò)流量,然后根據(jù)一組編程參數(shù)對其進(jìn)行審查并據(jù)此采取行動。一些防火墻還跟蹤審計日志中的流量和連接,以參考允許或阻止的內(nèi)容。
防火墻通常用于封閉專用網(wǎng)絡(luò)或其主機(jī)設(shè)備的邊界。因此,防火墻是更廣泛的用戶訪問控制類別中的一種安全工具。這些屏障通常設(shè)置在兩個位置——網(wǎng)絡(luò)上的專用計算機(jī)或用戶計算機(jī)和其他端點本身(主機(jī))。
誰發(fā)明了防火墻?
防火墻的發(fā)明應(yīng)該被視為“正在進(jìn)行的”。這是因為它在不斷發(fā)展,并且有多個“創(chuàng)造者”參與了它的發(fā)展和發(fā)展。從 1980 年代后期到 90 年代中期,每個創(chuàng)建者都擴(kuò)展了各種與防火墻相關(guān)的組件和版本,然后才成為所有現(xiàn)代防火墻的基礎(chǔ)產(chǎn)品。
布賴恩·里德、保羅·維西和杰夫·莫古爾
在 1980 年代后期,Mogul、Reid 和 Vixie 各自在 Digital Equipment Corp (DEC) 擔(dān)任開發(fā)包過濾技術(shù)的角色,該技術(shù)將在未來的防火墻中變得有價值。這導(dǎo)致了在外部連接與內(nèi)部網(wǎng)絡(luò)上的計算機(jī)聯(lián)系之前審查外部連接的概念。雖然有些人可能將此數(shù)據(jù)包過濾器視為第一個防火墻,但它更像是一種組件技術(shù),支持未來的“真正”防火墻系統(tǒng)。
大衛(wèi)·普雷索托、賈納丹·夏爾馬、Kshitiji Nigam、William Cheswick 和 Steven Bellovin
80 年代末到 90 年代初,AT&T 貝爾實驗室的各個工作人員研發(fā)了電路級網(wǎng)關(guān)防火墻的早期概念。這是第一個審查和允許正在進(jìn)行的連接而不是在每個數(shù)據(jù)包后重復(fù)重新授權(quán)的防火墻。Presotto、Sharma 和 Nigam 從 1989 年到 1990 年開發(fā)了電路級網(wǎng)關(guān),隨后 Cheswick 和 Bellovin 在 1991 年開發(fā)了防火墻技術(shù)。
馬庫斯·拉納姆
從 1991 年到 1992 年,Ranum 在 DEC 發(fā)明了安全代理,它成為第一個應(yīng)用層防火墻產(chǎn)品的重要組成部分——1991 年基于代理的安全外部訪問鏈路 (SEAL) 產(chǎn)品。這是 Reid、Vixie 和 Mogul 在 DEC 工作的擴(kuò)展,并且是第一個商業(yè)發(fā)布的防火墻。
Gil Shwed 和 Nir ??Zuk
從 1993 年到 1994 年在 Check Point,公司創(chuàng)??始人 Gil Shwed 和多產(chǎn)的開發(fā)人員 Nir ??Zuk 在開發(fā)第一個被廣泛采用、用戶友好的防火墻產(chǎn)品 Firewall-1 中發(fā)揮了重要作用。Gil Shwed 于 1993 年發(fā)明并申請了用于狀態(tài)檢查的美國專利。緊隨其后的是 Nir ??Zuk 為 1994 年的 Firewall-1 開發(fā)了易于使用的圖形界面,這對于在企業(yè)和家庭中更廣泛地采用防火墻至關(guān)重要。可預(yù)見的未來。
這些發(fā)展對于塑造我們今天所知的防火墻產(chǎn)品至關(guān)重要,每一個都以某種身份用于許多網(wǎng)絡(luò)安全解決方案。
為什么防火墻很重要
沒有保護(hù)的網(wǎng)絡(luò)很容易受到任何試圖訪問您系統(tǒng)的流量的影響。無論有害與否,都應(yīng)始終審查網(wǎng)絡(luò)流量。將個人電腦連接到其他 IT 系統(tǒng)或互聯(lián)網(wǎng)開辟了一系列積極的可能性。與他人的輕松協(xié)作、整合資源和增強(qiáng)創(chuàng)造力的代價是完整的網(wǎng)絡(luò)和設(shè)備保護(hù)。黑客、身份盜用、惡意軟件和在線欺詐是用戶通過將計算機(jī)連接到網(wǎng)絡(luò)或互聯(lián)網(wǎng)而暴露自己時可能面臨的常見威脅。
一旦被惡意行為者發(fā)現(xiàn),您的網(wǎng)絡(luò)和設(shè)備就很容易被找到、快速訪問并暴露在重復(fù)的威脅之下。全天候的互聯(lián)網(wǎng)連接會增加這種風(fēng)險(因為您的網(wǎng)絡(luò)可以隨時訪問)。
使用任何類型的網(wǎng)絡(luò)時,主動保護(hù)都至關(guān)重要。用戶可以通過豎起一堵看不見的墻來過濾這些威脅,從而避免最嚴(yán)重的危險。幸運(yùn)的是,一堵看不見的墻已經(jīng)存在——它被稱為防火墻。
防火墻是如何工作的?
防火墻決定允許哪些網(wǎng)絡(luò)流量通過以及哪些流量被視為危險。它本質(zhì)上是通過過濾掉好的壞的,或者從不可信的中過濾掉可信的來工作的。但是,在我們詳細(xì)介紹之前,我們必須先了解基于 Web 的網(wǎng)絡(luò)的結(jié)構(gòu),然后再解釋防火墻如何在它們之間進(jìn)行過濾。
防火墻旨在保護(hù)私有網(wǎng)絡(luò)和其中的端點設(shè)備,稱為網(wǎng)絡(luò)主機(jī)。網(wǎng)絡(luò)主機(jī)是與網(wǎng)絡(luò)上的其他主機(jī)“對話”的設(shè)備。它們在內(nèi)部網(wǎng)絡(luò)之間發(fā)送和接收,以及在外部網(wǎng)絡(luò)之間進(jìn)行出站和入站。您的計算機(jī)和其他端點設(shè)備使用網(wǎng)絡(luò)訪問互聯(lián)網(wǎng) - 以及彼此。然而,為了安全和隱私,互聯(lián)網(wǎng)被分割成子網(wǎng)或“子網(wǎng)”。
基本子網(wǎng)段如下:
- 外部公共網(wǎng)絡(luò)通常是指公共/全球互聯(lián)網(wǎng)或各種外聯(lián)網(wǎng)。
- 內(nèi)部專用網(wǎng)絡(luò)定義了家庭網(wǎng)絡(luò)、公司內(nèi)部網(wǎng)和其他“封閉”網(wǎng)絡(luò)。
- 外圍網(wǎng)絡(luò)詳細(xì)說明了由堡壘主機(jī)組成的邊界網(wǎng)絡(luò)——計算機(jī)主機(jī)具有強(qiáng)化的安全性,可以承受外部攻擊。作為內(nèi)部和外部網(wǎng)絡(luò)之間的安全緩沖區(qū),它們也可用于容納內(nèi)部網(wǎng)絡(luò)提供的任何面向外部的服務(wù)(即,用于 Web、郵件、FTP、VoIP 等的服務(wù)器)。這些比外部網(wǎng)絡(luò)更安全,但不如內(nèi)部網(wǎng)絡(luò)安全。這些并不總是出現(xiàn)在像家庭網(wǎng)絡(luò)這樣的簡單網(wǎng)絡(luò)中,但可能經(jīng)常用于組織或國家內(nèi)部網(wǎng)。
篩選路由器是放置在網(wǎng)絡(luò)上以對其進(jìn)行分段的專用網(wǎng)關(guān)計算機(jī)。它們在網(wǎng)絡(luò)級別被稱為家庭防火墻。兩種最常見的分段模型是屏蔽主機(jī)防火墻和屏蔽子網(wǎng)防火墻。
- 屏蔽主機(jī)防火墻在外部和內(nèi)部網(wǎng)絡(luò)之間使用單個屏蔽路由器,稱為阻塞路由器。這些網(wǎng)絡(luò)是該模型的兩個子網(wǎng)。
- 屏蔽子網(wǎng)防火墻使用兩個屏蔽路由器——一個稱為外部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)之間的訪問路由器,另一個標(biāo)記為外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的阻塞路由器。這將分別創(chuàng)建三個子網(wǎng)。
如前所述,網(wǎng)絡(luò)外圍和主機(jī)本身都可以容納防火墻。為此,它被放置在單臺計算機(jī)及其與專用網(wǎng)絡(luò)的連接之間。
- 網(wǎng)絡(luò)防火墻涉及在外部網(wǎng)絡(luò)和內(nèi)部專用網(wǎng)絡(luò)之間應(yīng)用一個或多個防火墻。它們調(diào)節(jié)入站和出站網(wǎng)絡(luò)流量,將外部公共網(wǎng)絡(luò)(如全球互聯(lián)網(wǎng))與內(nèi)部網(wǎng)絡(luò)(如家庭 Wi-Fi 網(wǎng)絡(luò)、企業(yè) Intranet 或國家 Intranet)分開。網(wǎng)絡(luò)防火墻可能以下列任何設(shè)備類型的形式出現(xiàn):專用硬件、軟件和虛擬。
- 主機(jī)防火墻或“軟件防火墻”涉及在單個用戶設(shè)備和其他專用網(wǎng)絡(luò)端點上使用防火墻作為網(wǎng)絡(luò)內(nèi)設(shè)備之間的屏障。這些設(shè)備或主機(jī)接收進(jìn)出特定計算機(jī)應(yīng)用程序的流量的定制規(guī)則。主機(jī)防火墻可以作為操作系統(tǒng)服務(wù)或端點安全應(yīng)用程序在本地設(shè)備上運(yùn)行。主機(jī)防火墻還可以更深入地研究 Web 流量,基于 HTTP 和其他網(wǎng)絡(luò)協(xié)議進(jìn)行過濾,允許管理到達(dá)您機(jī)器的內(nèi)容,而不僅僅是它來自哪里。
網(wǎng)絡(luò)防火墻需要針對廣泛的連接進(jìn)行配置,而主機(jī)防火墻可以根據(jù)每臺機(jī)器的需要進(jìn)行定制。然而,主機(jī)防火墻需要更多的定制工作,這意味著基于網(wǎng)絡(luò)的防火墻是全面控制解決方案的理想選擇。但是同時在兩個位置使用兩個防火墻對于多層安全系統(tǒng)來說是理想的。
通過防火墻過濾流量利用預(yù)先設(shè)置或動態(tài)學(xué)習(xí)的規(guī)則來允許和拒絕嘗試的連接。這些規(guī)則是防火墻如何調(diào)節(jié)通過您的專用網(wǎng)絡(luò)和專用計算機(jī)設(shè)備的網(wǎng)絡(luò)流量。無論類型如何,所有防火墻都可能通過以下某些混合進(jìn)行過濾:
- 來源:嘗試連接的位置。
- 目的地:嘗試連接的目的地。
- 內(nèi)容:連接嘗試發(fā)送的內(nèi)容。
- 數(shù)據(jù)包協(xié)議:嘗試連接正在使用什么“語言”來傳輸其消息。在主機(jī)用來相互“交談”的網(wǎng)絡(luò)協(xié)議中,TCP/IP 是用于跨互聯(lián)網(wǎng)和內(nèi)部網(wǎng)/子網(wǎng)進(jìn)行通信的主要協(xié)議。其他標(biāo)準(zhǔn)協(xié)議包括 IMCP 和 UDP。
- 應(yīng)用協(xié)議:常用協(xié)議有HTTP、Telnet、FTP、DNS、SSH等。
源和目標(biāo)通過互聯(lián)網(wǎng)協(xié)議 (IP) 地址和端口進(jìn)行通信。IP 地址是每個主機(jī)的唯一設(shè)備名稱。端口是任何給定源和目標(biāo)主機(jī)設(shè)備的子級別,類似于較大建筑物內(nèi)的辦公室。端口通常被分配特定用途,因此使用不常見端口或禁用端口的某些協(xié)議和 IP 地址可能是一個問題。
通過使用這些標(biāo)識符,防火墻可以決定是丟棄嘗試連接的數(shù)據(jù)包(靜默丟棄還是將錯誤回復(fù)發(fā)送給發(fā)送者)或轉(zhuǎn)發(fā)。
防火墻安全有什么作用?
網(wǎng)絡(luò)安全防火墻的概念旨在將網(wǎng)絡(luò)的攻擊面縮小到單點接觸。不是網(wǎng)絡(luò)上的每臺主機(jī)都直接暴露在更大的互聯(lián)網(wǎng)上,而是所有流量都必須首先聯(lián)系防火墻。由于這也反向工作,防火墻可以過濾和阻止未經(jīng)允許的流量,進(jìn)出。此外,防火墻用于創(chuàng)建嘗試的網(wǎng)絡(luò)連接的審計跟蹤,以提高安全意識。
由于流量過濾可以是專用網(wǎng)絡(luò)所有者建立的規(guī)則集,因此這為防火墻創(chuàng)建了自定義用例。流行的用例涉及管理以下內(nèi)容:
- 來自惡意行為者的滲透:可以阻止來自行為異常的來源的不受歡迎的連接。這可以防止竊聽和高級持續(xù)威脅 (APT)。
- 家長控制:家長可以阻止孩子查看露骨的網(wǎng)絡(luò)內(nèi)容。
- 工作場所網(wǎng)絡(luò)瀏覽限制:雇主可以阻止員工使用公司網(wǎng)絡(luò)訪問非生產(chǎn)性服務(wù)和內(nèi)容,例如社交媒體。
- 國家控制的內(nèi)部網(wǎng):國家政府可以阻止內(nèi)部居民訪問可能對國家領(lǐng)導(dǎo)層或其價值觀持不同政見的網(wǎng)絡(luò)內(nèi)容和服務(wù)。
值得注意的是,防火墻在以下方面不是很有效:
- 識別合法網(wǎng)絡(luò)進(jìn)程的漏洞利用:防火墻不會預(yù)測人類意圖,因此它們無法確定“合法”連接是否旨在用于惡意目的。例如,IP 地址欺詐(IP 欺騙)的發(fā)生是因為防火墻不驗證源 IP 和目標(biāo) IP。
- 阻止不通過防火墻的連接:單獨(dú)的網(wǎng)絡(luò)級防火墻不會阻止惡意的內(nèi)部活動。除了外圍防火墻之外,還需要存在內(nèi)部防火墻(例如基于主機(jī)的防火墻),以分區(qū)您的網(wǎng)絡(luò)并減緩內(nèi)部“火災(zāi)”的移動。
- 提供足夠的病毒防護(hù):雖然攜帶惡意代碼的連接如果未列入白名單,可能會被停止,但被認(rèn)為可接受的連接仍然可以將這些威脅傳播到您的網(wǎng)絡(luò)中。如果防火墻由于配置錯誤或被利用而忽略了連接,則仍需要防病毒保護(hù)套件來清除任何進(jìn)入的惡意軟件或病毒。
防火墻類型
不同類型的防火墻包含不同的過濾方法。雖然每種類型的防火墻都是為了超越前幾代防火墻而開發(fā)的,但大部分核心技術(shù)已經(jīng)在幾代人之間傳承了下來。
防火墻類型的區(qū)別在于它們的方法:
- 連接跟蹤
- 過濾規(guī)則
- 審核日志
每種類型都在標(biāo)準(zhǔn)化通信模型的不同級別運(yùn)行,即開放系統(tǒng)互連模型 (OSI)。該模型可以更好地了解每個防火墻如何與連接交互。
靜態(tài)包過濾防火墻
靜態(tài)包過濾防火墻,也稱為無狀態(tài)檢測防火墻,在 OSI 網(wǎng)絡(luò)層(第 3 層)運(yùn)行。它們通過檢查通過網(wǎng)絡(luò)發(fā)送的所有單個數(shù)據(jù)包,根據(jù)它們來自哪里以及它們試圖去哪里來提供基本過濾。值得注意的是,以前接受的連接不會被跟蹤。這意味著每次發(fā)送的每個數(shù)據(jù)包都必須重新批準(zhǔn)每個連接。
過濾基于 IP 地址、端口和數(shù)據(jù)包協(xié)議。這些防火墻至少可以防止兩個網(wǎng)絡(luò)在未經(jīng)許可的情況下直接連接。
過濾規(guī)則是根據(jù)手動創(chuàng)建的訪問控制列表設(shè)置的。這些非常嚴(yán)格,很難在不影響網(wǎng)絡(luò)可用性的情況下適當(dāng)?shù)馗采w不需要的流量。靜態(tài)過濾需要持續(xù)手動修改才能有效使用。這在小型網(wǎng)絡(luò)上是可以管理的,但在大型網(wǎng)絡(luò)上很難。
審計日志不適用于包過濾防火墻。這會使跟蹤過去和正在進(jìn)行的攻擊變得具有挑戰(zhàn)性,這對于大型網(wǎng)絡(luò)來說并不理想。缺乏讀取應(yīng)用程序協(xié)議的能力意味著無法讀取在數(shù)據(jù)包中傳遞的消息的內(nèi)容。在不閱讀內(nèi)容的情況下,包過濾防火墻的保護(hù)質(zhì)量有限。
電路級網(wǎng)關(guān)防火墻
電路級網(wǎng)關(guān)在傳輸層(第 4 層)上運(yùn)行。這些防火墻在嘗試的連接中檢查功能數(shù)據(jù)包,如果運(yùn)行良好,將允許兩個網(wǎng)絡(luò)之間的持久開放連接。發(fā)生這種情況后,防火墻將停止監(jiān)督連接。
除了連接方法之外,電路級網(wǎng)關(guān)可以類似于代理防火墻。正在進(jìn)行的不受監(jiān)控的連接是危險的,因為合法的手段可以打開連接,然后允許惡意行為者不間斷地進(jìn)入。
狀態(tài)檢查防火墻
狀態(tài)檢查防火墻,也稱為動態(tài)數(shù)據(jù)包過濾防火墻,與靜態(tài)過濾相比,在監(jiān)控正在進(jìn)行的連接并記住過去的連接方面是獨(dú)一無二的。與電路級防火墻類似,這些防火墻始于在傳輸層(第 4 層)上運(yùn)行。如今,這些防火墻可以監(jiān)控許多層,包括應(yīng)用層(第 7 層)。
與靜態(tài)過濾防火墻一樣,狀態(tài)檢測防火墻根據(jù)技術(shù)屬性(例如特定的數(shù)據(jù)包協(xié)議、IP 地址或端口)允許或阻止流量。但是,這些防火墻還使用狀態(tài)表根據(jù)連接狀態(tài)進(jìn)行唯一跟蹤和過濾。
此防火墻根據(jù)篩選路由器在狀態(tài)表中記錄的過去連接事件更新篩選規(guī)則。通常,過濾決策通常基于管理員在設(shè)置計算機(jī)和防火墻時的規(guī)則。然而,狀態(tài)表允許這些動態(tài)防火墻根據(jù)之前“學(xué)習(xí)”的交互做出自己的決定。例如,過去造成中斷的流量類型將在未來被過濾掉。狀態(tài)檢查的靈活性使其成為最普遍的防護(hù)類型之一。
代理防火墻
代理防火墻,也稱為應(yīng)用級防火墻(第 7 層),在讀取和過濾應(yīng)用協(xié)議方面是獨(dú)一無二的。它們結(jié)合了應(yīng)用程序級檢查或“深度數(shù)據(jù)包檢查 (DPI)”和狀態(tài)檢查。
代理防火墻盡可能接近實際的物理屏障。與其他類型的防火墻不同,它充當(dāng)外部網(wǎng)絡(luò)和內(nèi)部主機(jī)計算機(jī)之間的另外兩臺主機(jī),其中一臺作為每個網(wǎng)絡(luò)的代表(或“代理”)。
過濾基于應(yīng)用程序級數(shù)據(jù),而不僅僅是 IP 地址、端口和基本數(shù)據(jù)包協(xié)議(UDP、ICMP),如基于數(shù)據(jù)包的防火墻。閱讀和理解 FTP、HTTP、DNS 和其他命令可以對許多不同的數(shù)據(jù)特??征進(jìn)行更深入的調(diào)查和交叉過濾。
作為門口的守衛(wèi),它本質(zhì)上是查看和評估傳入的數(shù)據(jù)。如果沒有檢測到問題,則允許數(shù)據(jù)傳遞給用戶。這種高安全性的缺點是它有時會干擾不構(gòu)成威脅的傳入數(shù)據(jù),從而導(dǎo)致功能延遲。
下一代防火墻 (NGFW)
不斷演變的威脅繼續(xù)需要更強(qiáng)大的解決方案,而下一代防火墻通過將傳統(tǒng)防火墻的功能與網(wǎng)絡(luò)入侵防御系統(tǒng)相結(jié)合來解決這個問題。
針對特定威脅的下一代防火墻旨在更精細(xì)地檢查和識別特定危險,例如高級惡意軟件。它們更常被企業(yè)和復(fù)雜的網(wǎng)絡(luò)使用,它們提供了過濾危險的整體解決方案。
混合防火墻
顧名思義,混合防火墻在單個專用網(wǎng)絡(luò)中使用兩種或多種防火墻類型。
防火墻示例
在實踐中,防火墻因其在現(xiàn)實世界中的應(yīng)用而成為褒貶不一的話題。雖然防火墻成就歷史悠久,但必須正確實施這種安全類型以避免漏洞利用。此外,眾所周知,防火墻以有道德問題的方式使用。
中國防火墻,互聯(lián)網(wǎng)審查
自 1998 年以來,中國已經(jīng)建立了內(nèi)部防火墻框架來創(chuàng)建其嚴(yán)密監(jiān)控的內(nèi)部網(wǎng)。從本質(zhì)上講,防火墻允許在一個國家內(nèi)創(chuàng)建定制版本的全球互聯(lián)網(wǎng)。他們通過阻止選擇的服務(wù)和信息在這個國家內(nèi)部網(wǎng)中被使用或訪問來實現(xiàn)這一點。
國家監(jiān)視和審查允許在保持政府形象的同時持續(xù)壓制言論自由。此外,中國的防火墻允許其政府將互聯(lián)網(wǎng)服務(wù)限制為本地公司。這使得對搜索引擎和電子郵件服務(wù)等事物的控制更容易監(jiān)管,有利于政府的目標(biāo)。自然地,中國內(nèi)部一直在抗議這種審查制度。使用虛擬專用網(wǎng)絡(luò)和代理來越過國家防火墻讓許多人表達(dá)了他們的不滿。
COVID-19 美國聯(lián)邦機(jī)構(gòu)因遠(yuǎn)程工作弱點而受到損害
2020 年,配置錯誤的防火墻只是導(dǎo)致匿名美國聯(lián)邦機(jī)構(gòu)違規(guī)的眾多安全漏洞之一。
據(jù)信,一個民族國家行為者利用了美國機(jī)構(gòu)網(wǎng)絡(luò)安全中的一系列漏洞。在許多引用的安全問題中,正在使用的防火墻有許多不恰當(dāng)?shù)叵蛄髁块_放的出站端口。除了維護(hù)不善之外,該機(jī)構(gòu)的網(wǎng)絡(luò)可能還面臨遠(yuǎn)程工作的新挑戰(zhàn)。一旦進(jìn)入網(wǎng)絡(luò),攻擊者的行為方式就表明了通過任何其他開放路徑到達(dá)其他機(jī)構(gòu)的明確意圖。這種類型的努力不僅使被滲透的機(jī)構(gòu)面臨安全漏洞的風(fēng)險,而且還使許多其他機(jī)構(gòu)面臨安全漏洞的風(fēng)險。
美國電網(wǎng)運(yùn)營商未打補(bǔ)丁的防火墻被利用
2019 年,一家美國電網(wǎng)運(yùn)營提供商受到黑客利用的拒絕服務(wù) (DoS) 漏洞的影響。外圍網(wǎng)絡(luò)上的防火墻在重啟漏洞利用循環(huán)中卡住了大約十個小時。
它后來被認(rèn)為是防火墻中已知但未修補(bǔ)的固件漏洞的結(jié)果。尚未實施在實施前檢查更新的標(biāo)準(zhǔn)操作程序,但會導(dǎo)致更新延遲和不可避免的安全問題。幸運(yùn)的是,安全問題并沒有導(dǎo)致任何重大的網(wǎng)絡(luò)滲透。這些事件是定期軟件更新重要性的另一個有力指標(biāo)。沒有它們,防火墻是另一個可以被利用的網(wǎng)絡(luò)安全系統(tǒng)。
如何使用防火墻保護(hù)
正確設(shè)置和維護(hù)防火墻對于保護(hù)網(wǎng)絡(luò)和設(shè)備至關(guān)重要。
以下是一些指導(dǎo)您的防火墻安全實踐的提示:
- 始終盡快更新您的防火墻:固件補(bǔ)丁可讓您的防火墻針對任何新發(fā)現(xiàn)的漏洞進(jìn)行更新。個人和家庭防火墻用戶通常可以立即安全更新。較大的組織可能需要首先檢查其網(wǎng)絡(luò)的配置和兼容性。但是,每個人都應(yīng)該有適當(dāng)?shù)牧鞒虂砑皶r更新。
- 使用防病毒保護(hù):防火墻本身并不能阻止病毒和其他感染。這些可能會通過防火墻保護(hù),您需要一個旨在禁用和刪除它們的安全解決方案。卡巴斯基全方位安全軟件可以在您的個人設(shè)備上保護(hù)您,我們的眾多企業(yè)安全解決方案可以保護(hù)您想要保持清潔的任何網(wǎng)絡(luò)主機(jī)。
- 使用白名單限制可訪問端口和主機(jī):默認(rèn)為入站流量拒絕連接。將入站和出站連接限制為受信任 IP 地址的嚴(yán)格白名單。減少用戶對必需品的訪問權(quán)限。通過在需要時啟用訪問來保持安全比在事件發(fā)生后撤銷和減輕損害更容易。
- 分段網(wǎng)絡(luò):惡意行為者的橫向移動顯然是一種危險,可以通過限制內(nèi)部交叉通信來減緩這種危險。
- 擁有活躍的網(wǎng)絡(luò)冗余以避免停機(jī):網(wǎng)絡(luò)主機(jī)和其他基本系統(tǒng)的數(shù)據(jù)備份可以防止事件期間的數(shù)據(jù)丟失和生產(chǎn)力。
