什么是防火墙? 社会工程攻击(例如,有人窃取密码并进行欺诈)。 内部威胁(例如,内网中的某人故意更改防火墙设置)。 人为错误(例如,员工忘记打开防火墙或忽略更新通知)。 有效负载(实际内容)。 标头(有关数据的信息,例如谁发送了数据,发给了谁)。 源IP和目的IP 地址。 有效负载中的内容。 数据包协议(例如,连接是否使用 TCP/IP 协议)。 应用协议(HTTP、Telnet、FTP、DNS、SSH 等)。 表明特定网络攻击的数据模式。 默默地放弃请求。 向发件人发送error信息。 根据部署方式,可以将防火墙分为三种类型:硬件防火墙、软件防火墙和基于云的防火墙。 软件防火墙 为指定设备提供出色的保护。 将各个网络端点彼此隔离。 高精度的安全性,管理员可以完全控制允许的程序。 随时可用。 消耗设备的 CPU、RAM 和存储空间。 需要为每个主机设备配置。 日常维护既困难又耗时。 并非所有设备都与每个防火墙兼容,因此可能必须在同一网络中使用不同的解决方案。 硬件防火墙 使用一种解决方案保护多台设备。 顶级边界安全性,因为恶意流量永远不会到达主机设备。 不消耗主机设备资源。 管理员只需为整个网络管理一个防火墙。 比软件防火墙更昂贵。 内部威胁是一个相当大的弱点。 与基于软件的防火墙相比,配置和管理需要更多的技能。 基于云的防火墙 高度分散的业务。 在安全资源方面存在缺口的团队。 不具备必要的内部专业知识的公司。 服务提供商处理所有管理任务(安装、部署、修补、故障排除等)。 用户可以自由扩展云资源以满足流量负载。 无需任何内部硬件。 高可用性。 供应商究竟如何运行防火墙缺乏透明度。 与其他基于云的服务一样,这些防火墙很难迁移到新的提供商。 流量流经第三方可能会增加延迟和隐私问题。 由于高昂的运营成本,从长远来看是比较贵的。 包过滤防火墙 目的地址和源 IP 地址。 数据包类型。 端口号。 网络协议。 低成本。 快速包过滤和处理。 擅长筛选内部部门之间的流量。 低资源消耗。 对网络速度和最终用户体验的影响最小。 多层防火墙策略中出色的第一道防线。 不检查数据包有效负载(实际数据)。 对于有经验的黑客来说很容易绕过。 无法在应用层进行过滤。 容易受到 IP 欺骗攻击,因为它单独处理每个数据包。 没有用户身份验证或日志记录功能。 访问控制列表的设置和管理具有挑战性。 电路级网关 仅处理请求的事务,并拒绝所有其他流量。 易于设置和管理。 资源和成本效益。 强大的地址暴露保护。 对最终用户体验的影响最小。 不是一个独立的解决方案,因为没有内容过滤。 通常需要对软件和网络协议进行调整。 状态检测防火墙 源IP。 源端口。 目的 IP。 每个连接的目标端口。 过滤流量时会自动通过以前检查过的数据包。 在阻止利用协议缺陷的攻击方面表现出色。 无需打开大量端口来让流量进出,这可以缩小攻击面。 详细的日志记录功能,有助于数字取证。 减少对端口扫描器的暴露。 比包过滤防火墙更昂贵。 需要高水平的技能才能正确设置。 通常会影响性能并导致网络延迟。 不支持验证欺骗流量源的身份验证。 容易受到利用预先建立连接的 TCP Flood攻击。 代理防火墙 客户端和防火墙后面的设备之间的先前通信(如果有的话)。 标头信息。 内容本身。 DPI检查数据包标头和有效负载 。 在客户端和网络之间添加了一个额外的隔离层。 对潜在威胁行为者隐藏内部 IP 地址。 检测并阻止网络层不可见的攻击。 对网络流量进行细粒度的安全控制。 解除地理位置限制。 由于彻底的数据包检查和额外的通信步骤,会导致延迟增加。 由于处理开销高,不如其他类型的防火墙成本低。 设置和管理具有挑战性。 不兼容所有网络协议。 下一代防火墙 分析流量内容的深度数据包检测(DPI)。 TCP 握手检查。 表层数据包检测。 IDS 和 IPS。 恶意软件扫描和过滤。 高级威胁情报(模式匹配、基于协议的检测、基于异常的检测等) 防病毒程序。 网络地址转换 (NAT)。 服务质量 (QoS)功能。 SSH检查。 将传统防火墙功能与高级网络安全功能相结合。 检查从数据链路层到应用层的网络流量。 日志记录功能。 比其他防火墙更昂贵。 存在单点故障。 部署时间缓慢。 需要高度的专业知识才能设置和运行。 影响网络性能。
