外圍防火牆如何運作?
外圍防火牆位於專用網路的邊界,可防止惡意流量跨越該邊界。它可能是幾個之一 防火牆的類型 具有不同的功能,例如:
- 封裝過濾: 包過濾防火牆是最簡單的防火牆類型。它們檢查網路封包的內容,並根據存取控制清單 (ACL) 允許或封鎖它。包過濾防火牆可以根據封包的來源連接埠和目標連接埠阻止某些類型的流量進入或離開專用網路。
- 狀態防火牆: 狀態資料包偵測防火牆追蹤網路連線的當前狀態,並將此資訊納入其存取決策中。狀態防火牆可以根據亂序接收 ACK 封包的事實來識別 ACK 掃描,而封包過濾防火牆則不能。
- 代理防火牆: 代理防火牆充當使用者連線的代理,在使用者和防火牆以及伺服器和防火牆之間建立單獨的連線。這可以通過隱藏他們的 IP 地址來幫助保護用戶的隱私。
- 次世代防火牆 (NGFW): NGFW 將封包過濾和狀態防火牆的功能與其他安全功能結合。NGFW 執行深度資料包偵測 (DPI),並且可以合併入侵偵測/預防系統、網址過濾以及防毒和反惡意軟體功能。
網路邊界的組成部分
外圍防火牆是網路外圍的一部分,包括以下關鍵元件:
- 邊界路由器: 邊界路由器是專用網路結束和公共互聯網開始的地方。它是組織控制下的最後一個路由器,並且物理連接到內部和外部網路。
- 外圍防火牆: 外圍防火牆位於邊界路由器後面,是組織抵禦外部威脅的第一道防線。它會在惡意流量進入專用網路之前將其過濾掉。
- 入侵偵測/預防系統: 一 入侵偵測系統 (IDS) 提供被動監控,並在偵測到威脅時產生警示。 一 入侵防禦系統 (IPS) 提供主動保護,阻止惡意流量。
- 非軍事區(DMZ): A DMZ 是位於公共網路和專用網路之間的網段。它旨在託管可公開存取的服務,例如網路和電子郵件伺服器,同時將專用網路與潛在威脅隔離。
外圍防火牆的安全要求
外圍防火牆應具有以下功能來保護組織及其使用者:
- 網路應用程式和資料控制: 外圍防火牆應為使用者提供對可信任和不可信資源的安全合法存取。這包括防範基於 Web 的攻擊、脆弱性漏洞以及對公司資料的威脅。
- 進階威脅防護:外圍防火牆應該能夠識別和阻止對組織的已知和未知威脅。這就需要NGFW具備威脅情報和沙箱分析能力。
外圍防火牆的網路要求
外圍防火牆既是網路設備,也是安全設備。一些關鍵的網路需求包括:
- 備援: 進入和離開專用網路的所有流量都會經過外圍防火牆,因此中斷可能會導致連線或安全性喪失。它應該是冗餘的,以便丟失單一元件不會使系統崩潰。
- Performance: 由於所有入站和出站流量都會經過防火牆,因此效率低下和延遲會對組織產生重大影響。外圍防火牆必須能夠以線速檢查流量。
- 網路介面和連接埠容量: 外圍防火牆直接連接到公共互聯網和專用網路。它必須具有足夠的網路介面和連接埠容量來支援這些連接以及流過它們的流量。
強大的外圍防火牆安全的優點和局限性
外圍防火牆定義並強制執行公共網路和專用網路之間的邊界。外圍防火牆對組織的整體安全狀況既有好處,也有其限制。
外圍防火牆提供的一些好處包括:
- 網路流量可見度: 外圍防火牆可以查看進入和離開專用網路的所有流量。這不僅可實現企業安全性,還提供有關使用內部和外部服務的寶貴信息。
- 惡意內容過濾: 部署為外圍防火牆的 NGFW 可以識別並阻止惡意軟體和其他攻擊進入組織的網路。
- 改善用戶隱私: 外圍防火牆可以透過充當內部用戶和外部伺服器之間的代理來增強用戶隱私。
- 資料外洩防護: 外圍防火牆可以透過識別和阻止不符合公司政策的流量來幫助防止敏感和有價值的資料遺失。
雖然外圍防火牆有其優點,但它們並不是完美的解決方案。他們的一些限制包括:
- 僅限南北交通能見度: 外圍防火牆只能檢查通過它們的流量,其中包括進入和離開網路的流量。受保護網路內的東西向流量不會穿過邊界,也不會受到檢查。
- 無內部威脅管理: 外圍防火牆阻止外部威脅存取公司網路。他們對已經在受保護範圍內部的內部威脅無視。
- 對受感染的行動裝置視而不見: 外圍防火牆只能偵測透過網路進入專用網路的惡意軟體。連接到外部網路然後連接到專用網路時受到感染的行動裝置會繞過外圍防禦。
資料中心防火牆與外圍防火牆
資料中心防火牆 和外圍防火牆都是為了保護組織的資產而設計的。然而,與外圍防火牆不同的是,資料中心防火牆旨在保護組織資料中心內託管的虛擬機器。這包括提高靈活性,以適應虛擬化環境中常見的架構變更。