什么是防火墙?

防火墙位于网络和互联网之间,以控制数据进出网络的流量,以阻止潜在的安全威胁。

Share facebook icon linkedin icon twitter icon email icon

防火墙

学习目标

阅读本文后,您将能够:

  • 定义防火墙
  • 阐释为什么防火墙需要检查入站和出站数据
  • 了解代理防火墙和WAF之间的区别

什么是防火墙?

防火墙是一种安全系统,它基于一组安全规则来监视和控制网络流量。防火墙通常位于受信任的网络和不受信任的网络之间;通常,不受信任的网络是互联网。例如,办公室网络经常使用防火墙来保护其网络免受在线威胁。

什么是防火墙

防火墙决定是否允许传入和传出的流量通过。它们可以内置于硬件、软件或两者的组合之中。“防火墙”一词的来源是建筑中的一种做法,即在建筑物之间或建筑物的中间建起一道防护墙以做防火之用。同样,网络防火墙则是控制在线威胁。

为什么要使用防火墙?

防火墙的主要作用是保护安全。防火墙可以在传入的恶意流量到达网络之前对其进行拦截,并防止敏感信息从网络流出。

防火墙也可以用于内容过滤。例如,学校可以配置防火墙,以防止其网络上的用户访问成人内容。同样,在某些国家/地区,政府运行防火墙,可以阻止该国家/地区内的人员访问互联网的某些部分。

本文将重点介绍为安全性配置的防火墙,其中有几种。

有哪些不同类型的防火墙?

基于代理的防火墙:

这些代理*位于客户端和服务器 之间。客户端连接到防火墙,防火墙检查传出的数据包,之后它将创建与目标收件人(网页服务器)的连接。同样,当网页服务器尝试向客户端发送响应时,防火墙将拦截该请求,检查数据包,然后在防火墙与客户端之间的单独连接中传递该响应。基于代理的防火墙有效地防止了客户端和服务器之间的直接连接。

基于代理的防火墙有点像酒吧的保镖。该保镖可以在客人进入酒吧前将其拦下,以确保他们不是未成年、没有佩戴枪械或任何其他可能威胁到酒吧及其顾客的方式。保镖还可以在顾客出门的时候将其拦下,以确保他们有安全的回家方式,并且不会酒后驾车。

在酒吧设保镖的弊端是,当许多人试图同时进入或离开酒吧时,会大排长龙,并且会有很多人遇到延误。同样,基于代理的防火墙的主要缺点是,它可能导致延迟 ,特别是在流量繁忙期间。

*代理服务器是一台计算机,充当局域网和较大网络(例如互联网)之间的网关。

状态防火墙:

在计算机科学中,“有状态”的应用程序表示那些从先前事件和交互中保存了数据的应用程序。有状态的防火墙会保存关于公开连接的信息,并使用此信息来分析传入和传出的流量,而不是检查每个数据包。由于状态防火墙不会检查每个数据包,它们比基于代理的防火墙要快。

状态的防火墙在制定决策时依赖于很多上下文。例如,如果防火墙在一个连接上记录了请求某种响应的传出数据包,则防火墙仅会在传入数据包提供了所请求的响应的情况下才会允许该数据包进入。

状态防火墙还可以通过保持端口*处于关闭状态来保护它们,除非传入数据包请求访问特定端口。这可以防护称为端口扫描的攻击。

与状态防火墙关联的一个已知漏洞是,它们可能会被通过诱使客户端发送的某种信息请求所操纵。一旦客户端请求该响应,攻击者便可以通过防火墙发送符合该条件的恶意数据包。例如,不安全的网站可以使用JavaScript代码从网络浏览器创建此类伪造的请求。

*网络端口是发送信息的位置;它不是一个实体场所,而是通信端点。

下一代防火墙(NGFW):

这类防火墙不仅具有传统防火墙的功能,还部署了主机附加功能来应对对其它层OSI模型造成的威胁。 NGFW的某些特定功能包括:

< ul class ='learning-list>

  • 深度数据包检测(DPI) – 与传统防火墙相比,NGFW对数据包执行的深度检查要多得多。深度检查可以查看数据包有效负载以及数据包正在访问哪个应用程序。这使防火墙可以实施更精细的过滤规则。
  • 应用程序感知 – 启用此功能能让防火墙知晓正在运行的应用程序和正在使用的端口。这可以防止那些意图中断正在运行的进程然后接管其端口的某些恶意软件类型。
  • 身份识别 – 它使防火墙可以基于身份实施规则,例如正在使用的计算机、登录的用户等。
  • 沙箱 Sandboxing – 防火墙可以隔离与传入数据包相关联的代码段,并在“沙盒”环境中执行它们,以确保它们没有恶意行为。然后,将此沙盒测试的结果作为决定是否让数据包进入网络的标准。
  • Web应用程序防火墙(WAF):

    传统防火墙有助于防护专用网络免受恶意Web应用程序的侵害,而 WAF 帮助保护Web应用程序不受恶意用户的侵害。 WAF通过过滤和监控Web应用程序与互联网之间的 HTTP 流量来帮助保护Web应用程序。它通常可保护Web应用程序免受跨站点伪造跨站点脚本(XSS)、文件包含以及 SQL注入等攻击。

    通过在Web应用程序前面部署WAF,可以在Web应用程序和互联网之间放置一个屏障。基于代理的防火墙通过使用中介来保护客户端计算机的身份,而WAF则是反向代理 ,它通过让客户端在到达服务器之前通过WAF来保护服务器免遭暴露。

    WAF通过一组通常称为策略的规则进行操作。这些策略旨在通过过滤掉恶意流量来防止应用程序中的漏洞。 WAF的价值部分得益于可以轻松快速地实施策略修改,从而可以更快地响应变化的攻击媒介。在 DDoS攻击 ,可以通过修改WAF策略快速实施速率限制。诸如 Cloudflare的Web应用程序防火墙之类的商业WAF产品每天可以保护数百万个Web应用程序免受攻击。