防火墻主要分為三種類型,如軟件防火墻、硬件防火墻或兩者兼有,這取決于它們的結構。每種類型的防火墻都有不同的功能,但目的相同。然而,最好的做法是同時擁有兩者以實現最大可能的保護。
硬件防火墻是連接在計算機網絡和網關之間的物理設備。例如 - 寬帶路由器。硬件防火墻有時也稱為設備防火墻。另一方面,軟件防火墻是安裝在計算機上的簡單程序,它通過端口號和其他已安裝的軟件工作。這種類型的防火墻也稱為主機防火墻。
此外,還有許多其他類型的防火墻,具體取決于它們的功能和它們提供的安全級別。以下是可以作為軟件或硬件實現的防火墻技術類型:
- 包過濾防火墻
- 電路級網關
- 應用級網關(代理防火墻)
- 狀態多層檢測 (SMLI) 防火墻
- 下一代防火墻 (NGFW)
- 以威脅為中心的 NGFW
- 網絡地址轉換 (NAT) 防火墻
- 云防火墻
- 統一威脅管理 (UTM) 防火墻
1、包過濾防火墻
包過濾防火墻是最基本的防火墻類型。它就像一個管理程序,監控網絡流量并根據配置的安全規則過濾傳入的數據包。如果數據包與已建立的規則集不匹配,這些防火墻旨在阻止網絡流量IP協議、IP 地址和端口號。
雖然包過濾防火墻可以被認為是一種不需要太多資源的快速解決方案,但它們也有一些限制。因為這些類型的防火墻不能阻止基于 Web 的攻擊,所以它們不是最安全的。
2、電路級網關
電路級網關是另一種簡化的防火墻類型,可以輕松配置為允許或阻止流量,而不會消耗大量計算資源。這些類型的防火墻通常通過驗證TCP(傳輸控制協議)連接和會話在 OSI 模型的會話級別運行。電路級網關旨在確保已建立的會話受到保護。
通常,電路級防火墻被實施為安全軟件或預先存在的防火墻。與包過濾防火墻一樣,這些防火墻不檢查實際數據,盡管它們檢查有關事務的信息。因此,如果數據包含惡意軟件,但遵循正確的TCP連接,它將通過網關。這就是為什么認為電路級網關不夠安全以保護我們的系統的原因。
3、應用級網關(代理防火墻)
代理防火墻在應用層作為中間設備運行,以過濾兩個終端系統(例如,網絡和流量系統)之間的傳入流量。這就是為什么這些防火墻被稱為“應用級網關”的原因。
與基本防火墻不同,這些防火墻從偽裝成 Web 服務器上的原始客戶端的客戶端傳輸請求。這可以保護客戶的身份和其他可疑信息,從而保護網絡免受潛在攻擊。建立連接后,代理防火墻會檢查來自源的數據包。如果傳入數據包的內容受到保護,代理防火墻會將其傳輸給客戶端。這種方法在客戶端和網絡上的許多不同來源之間創建了額外的安全層。
4、狀態多層檢測 (SMLI) 防火墻
狀態多層檢測防火墻包括數據包檢測技術和TCP握手驗證,使 SMLI 防火墻優于數據包過濾防火墻或電路級網關。此外,這些類型的防火墻會跟蹤已建立連接的狀態。
簡單來說,當用戶建立連接并請求數據時,SMLI 防火墻會創建一個數據庫(狀態表)。該數據庫用于存儲會話信息,例如源IP地址、端口號、目的IP地址、目的端口號等。狀態表中存儲每個會話的連接信息。這些防火墻使用狀態檢查技術創建安全規則以允許預期流量。
在大多數情況下,SMLI 防火墻被實施為附加的安全級別。這些類型的防火墻實施更多檢查,并且被認為比無狀態防火墻更安全。這就是為什么狀態數據包檢查與許多其他防火墻一起實施以跟蹤所有內部流量的統計信息的原因。這樣做會增加負載并對計算資源造成更大的壓力。與其他解決方案相比,這會導致數據包的傳輸速率更慢。
5、下一代防火墻 (NGFW)
許多最新發布的防火墻通常被定義為“下一代防火墻”。但是,對于下一代防火墻沒有具體的定義。這種類型的防火墻通常被定義為結合了其他防火墻的特性和功能的安全設備。這些防火墻包括深度包檢測(DPI)、表層包檢測和 TCP 握手測試等。
NGFW 包括比包過濾和狀態檢測防火墻更高級別的安全性。與傳統防火墻不同,NGFW 監控數據的整個事務,包括包頭、包內容和來源。NGFW 的設計方式使其可以防止更復雜和不斷演變的安全威脅,例如惡意軟件攻擊、外部威脅和高級入侵。
6、以威脅為中心的 NGFW
以威脅為中心的 NGFW 包含傳統 NGFW 的所有功能。此外,它們還提供高級威脅檢測和補救。這些類型的防火墻能夠對攻擊做出快速反應。通過智能安全自動化,針對威脅的NGFW設置安全規則和策略,進一步提高整體防御系統的安全性。
此外,這些防火墻使用追溯安全系統來持續監控可疑活動。即使在初步檢查之后,他們也會繼續分析每項活動的行為。由于此功能,以威脅為中心的 NGFW 極大地減少了從威脅檢測到清理所需的總時間。
7、網絡地址轉換 (NAT) 防火墻
網絡地址轉換或 NAT 防火墻主要用于訪問 Internet 流量并阻止所有不需要的連接。這些類型的防火墻通常會隱藏我們設備的 IP 地址,使其免受攻擊者的攻擊。
當使用多個設備連接到 Internet 時,NAT 防火墻會創建一個唯一的 IP 地址并隱藏各個設備的 IP 地址。因此,所有設備都使用一個 IP 地址。通過這樣做,NAT 防火墻可以保護獨立的網絡地址,防止攻擊者掃描網絡以訪問 IP 地址。這可以增強對可疑活動和攻擊的保護。
通常,NAT 防火墻的工作方式與代理防火墻類似。與代理防火墻一樣,NAT 防火墻也可以作為一組計算機和外部流量之間的中間設備。
8、云防火墻
每當使用云解決方案設計防火墻時,它都被稱為云防火墻或FaaS(防火墻即服務)。云防火墻通常由第三方供應商在 Internet 上維護和運行。這種類型的防火墻被認為類似于代理防火墻。原因是使用云防火墻作為代理服務器。但是,它們是根據要求配置的。
云防火墻最顯著的優勢是可擴展性。由于云防火墻沒有物理資源,因此它們很容易根據組織的需求或流量負載進行擴展。如果需求增加,可以向云服務器添加額外的容量以過濾掉額外的流量負載。大多數組織使用云防火墻來保護其內部網絡或整個云基礎設施。
9、統一威脅管理 (UTM) 防火墻
UTM 防火墻是一種特殊類型的設備,包括具有防病毒和入侵防御支持的狀態檢查防火墻的功能。此類防火墻旨在提供簡單性和易用性。這些防火墻還可以添加許多其他服務,例如云管理等。
哪種防火墻架構最好?
在選擇最佳防火墻架構時,無需明確。使用不同防火墻的組合來添加多層保護總是更好。例如,可以在網絡外圍實施硬件或云防火墻,然后進一步為每個網絡資產添加單獨的軟件防火墻。
此外,選擇通常取決于任何組織的要求。但是,正確選擇防火墻可以考慮以下因素:
組織規模
如果一個組織很大,并且維護著一個很大的內部網絡,最好實現這樣的防火墻架構,它可以監控整個內部網絡。
資源的可用性
如果一個組織有資源并且可以為每個硬件提供一個單獨的防火墻,那么這是一個不錯的選擇。此外,云防火墻可能是另一個考慮因素。
多級保護要求
防火墻的數量和類型通常取決于內部網絡所需的安全措施。這意味著,如果組織維護敏感數據,最好實施防火墻的多級保護。這將確保黑客的數據安全。
