网络防火墙的定义
防火墙是一种网络安全解决方案,可保护您的网络免受多余流量的影响。防火墙基于一组预编程的规则阻止外来的恶意软件。这些规则还可以防止网络中的用户访问某些站点和程序。
防火墙基于一个简单的理念,即在前往更安全的环境之前,应验证和检查来自不安全环境的网络流量。这可以防止未经授权的用户、设备和应用程序进入受保护的网络环境或网络段。如果没有防火墙,您网络环境中的计算机和设备容易受到黑客攻击,并使您轻易成为攻击的目标。
虽然高级防火墙无法再单独保护网络免受当今复杂的网络威胁趋势的影响,但这些设备仍被认为是创建合理网络安全系统的基础构成模块。作为网络攻击的第一道防线,防火墙为所有流量进行必要的监控和过滤,包括传出流量、应用层流量、在线处理、通信和连接(如 IPSec 或 SSL VPN)以及动态工作流。合理的防火墙配置也是至关重要的,因为默认功能可能无法针对网络攻击提供最大的保护。
由于越来越多的设备、用户和应用程序穿过网络边界- 尤其是由于物联网 (IoT) 和最终用户设备的数量不断增长,数字环境变得越来越复杂,同时 IT 和安全团队的整体集中控制也在减少,因此公司越来越容易受到网络攻击的影响。因此,了解防火墙的工作原理、其不同类型以及网络不同方面对应的最佳防护方式至关重要。
防火墙的作用是什么?
最初,防火墙分为两个阵营:代理型和状态型。随着时间的推移,状态监视变得越来越复杂,代理防火墙的性能变得低下。如今,几乎所有防火墙都是状态型的,并分为两种通用类型:网络防火墙和基于主机的防火墙。
基于主机或计算机的防火墙只保护一台计算机或"主机", 通常部署在家中或个人设备上,通常与操作系统成套提供。但偶尔,这些防火墙也可用于公司设置,以提供额外一层保护。考虑到基于主机的防火墙必须在每台设备上单独安装和维护,因此其可扩展性的潜力受到了限制。
另一方面,防火墙网络可保护通过分界点的所有设备和流量,从而实现了较大的可扩展性。顾名思义,网络防火墙在网络层面发挥作用,即 OSI 第 3 和 4 层,扫描外部来源和局域网 (LAN) 之间的流量,或网络内不同网络段之间的流量。它们被放置在网络或网络段的周界作为第一道防线,并通过执行深入的数据包监测和数据包过滤来监控流量。如果数据包的内容不符合此前基于网络管理员或安全团队创建的规则选定的条件,则防火墙 会拒绝并阻止该流量。
网络防火墙为何重要?
如果没有网络防火墙,网络安全就会受到威胁,您的组织会受到不法分子的攻击,他们会窃取或破坏您的数据或利用恶意软件感染您的网络。在互联网上,为确保所有流量得到有效监控,防火墙是必不可少的。 否则,互联网流量可能会不受限制地进出您的网络,即使流量带有恶意的威胁也不会受到限制。
网络防火墙是组织安全基础设施的基础组成部分。他们的主要任务是监控进出的流量,从而允许或屏蔽相应的流量。它们有助于保护网络免受如下威胁:
- 恶意软件
- 漏洞利用
- 恶意网站
防火墙缺口的直接后果是全公司范围内的运行故障,从而导致生产力下降。长期问题包括数据泄露和声誉损失。
防火墙类型
除了网络和基于主机的防火墙之外,还需要了解其他类型的防火墙。这些类型的防火墙包括:
Web 应用防火墙
Web 应用防火墙的运行所在层级与网络防火墙不同,它用于检查开放系统互连 (OSI) 第 5 层至第 7 层的协议的传入流量。第 5 层,即会话层,提供了在终端用户应用程序进程之间打开、关闭和管理会话的机制。第 6 层负责信息的格式化并将信息传递到应用层以进行进一步处理或显示。第 7 层让用户直接与软件应用程序交互。
Web 应用程序防火墙通过检查和确保所有基于 Web 和应用程序的流量的完整性,从而创建额外的保护层。像这样的防火墙解决方案具有优势,因为它们不仅检查网络地址和传入流量的端口号,还深入评估来自应用程序协议(如 HTTP 和 FTP)的威胁。它们还具有日志记录功能,这对安全团队调查安全事件而言是非常宝贵的。
统一威胁管理 (UTM) 防火墙
统一威胁管理 (UTM) 防火墙通过在单一控制面板中整合多个关键安全功能,从而提供现代化的安全方法。这些防火墙解决方案将状态监控防火墙的元素与其他关键安全元素(如反病毒、入侵防护系统 (IPS)、反垃圾邮件、虚拟专用网络 (VPN) 等)相结合。统一威胁管理 (UTM) 防火墙通常作为单一的安全解决方案部署,可提供多种安全功能。通过在组织网络上分层部署安全功能,安全团队实现了全面的保护和更强大的网络威胁防御。
安全团队的任务是利用有限的员工或资源保护和防御其网络,UTM 防火墙降低了他们工作的复杂程度。对于面对其网络中众多纷杂供应商的企业(甚至是小中型企业 (SMB))来说,每个供应商都提供各自的安全功能,如果能够将众多安全功能汇集于一个平台上,可降低工作复杂性和开销。使用 UTM 防火墙,一个安全团队足矣 – 可同时保护多个分支机构。
网络地址转换防火墙
网络地址转换 (NAT) 防火墙通过单一网关将设备流量传送到互联网。它们通常不提供任何流量监控,通过使用用于外部连接的单一 IP 地址,然后使用广泛的可用内部地址来管理流量,从而针对外部设备隐藏内部网络,并保护受限的 IP 地址。NAT 网关通常部署在 Wi-Fi 路由器上,但也有时通过 VPN 服务进行部署。
内网隔离防火墙
内网隔离防火墙 (ISFW) 位于内部网络的战略点 - 即包含宝贵知识产权的特定服务器或云端一组设备或 Web 应用程序的前端 - 为进出网络预定区域的流量提供即时“可见性”。它们还用于提供主动隔离,与网络访问控制 (NAC) 等解决方案协同工作,根据各种标准将新设备和工作流动态分配给网络的特定分段。
下一代防火墙 (NGFW)
下一代防火墙 (NGFW) 类似于 UTM 防火墙,该防火墙旨在阻断现代的威胁。它们将前几代防火墙的功能和能力(例如有状态监控)与解决持续不断演变的威胁趋势的技术相结合。这一点尤其关键,因为网络罪犯的攻击方法变得更加复杂,增加了网络及其数据和设备所面临风险的水平。
Fortinet 如何提供帮助
Fortinet 的 FortiGate NGFW 在提供了超越行业标准的卓越保护,并受到了高德纳公司的“网络防火墙魔力象限”(Gartner’s Magic Quadrant for Network Firewalls)的第 10 次认可。FortiGate 解决方案将各种防火墙组合方式合并到一个集成的平台中,包括新的 SD-WAN 功能。其单一管理平台的管理方式可为各种用例提供简化的体验,并提供了跨所有网络边界的灵活部署。Fortinet 以安全为导向的联网方法使安全能够从头到尾地融入到网络的每个方面。