什么是防火墙安全？ 如何保护您的基础设施

防火墙是一种网络安全解决方案，可保护您的网络免受不必要的流量侵害。 防火墙根据一组预先编程的规则阻止恶意软件等传入威胁。 现代防火墙还包括入侵防御系统 (IPS) 和 URL 过滤等附加功能，允许安全团队增强规则以防止网络内的用户访问某些网站和applications。

NGFW 和 WAF 之间的主要区别在于，NGFW 主要监控出站流量及其产生的返回流，以防止风险再次进入企业。 另一方面，WAF 可保护 Web 应用程序免受传入威胁。

防火墙基于一个简单的想法：来自不太安全的环境（如通过互联网连接的外部来源）的网络流量应该在转移到更安全的环境之前进行身份验证和检查。 这可以防止未经授权的用户、设备和applications进入受保护的网络环境或段。 如果没有防火墙，网络中的计算机和设备就很容易受到黑客攻击，从而使您成为攻击的目标。 然而，随着云和基于 SaaS 的应用程序的广泛采用，网络边界已基本消失。

大多数组织在部署防火墙的同时还会使用额外的安全解决方案，以确保在当今复杂多变的网络威胁形势下获得保护。 但防火墙仍然被认为是创建适当的网络安全系统的基础构件。

作为抵御网络攻击的第一道防线的一部分，防火墙提供对所有流量的基本监控和过滤，包括传出流量、应用层流量、在线交易、通信和连接（如 IPSec 或 SSL VPN）以及动态工作流。 正确的防火墙配置也至关重要，因为默认功能可能无法提供最大程度的网络攻击防护。 NGFW 等现代防火墙可能会捆绑这些功能。

当今的数字环境变得越来越复杂，因为越来越多的设备、用户和applications正在跨越网络边界——包括不断增长的物联网 (IoT) 和最终用户设备数量。 我们还发现 IT 和安全团队的整体集中控制有所减少。

所有这些都可能使公司更容易受到网络攻击。 这意味着，了解防火墙的工作原理、有哪些类型以及哪些类型最适合保护网络的不同区域至关重要。 

每种类型的防火墙都有其优点和缺点，组织通常使用这些类型的组合来创建分层的网络级防御策略。 防火墙主要有五种类型，可提供越来越高级的保护级别。

1. 包过滤防火墙： 这些防火墙会在数据通过网络时对其进行检查。 它们分析数据包头信息，例如源和目标 IP 地址、端口和协议。 根据预定义的规则，它们允许或阻止数据包。 数据包过滤防火墙相对简单且高效，但缺乏检查数据包内容的能力。
   
2. 状态检测防火墙：将数据包过滤方法与附加功能相结合。 它们保存网络连接状态的记录，并利用这些信息做出允许或阻止数据包的更明智的决定。 因为它们跟踪连接状态，所以它们可以识别和防范某些类型的攻击，包括IP 欺骗。
3. 应用级网关（代理防火墙） ： 应用级网关（也称为代理防火墙）在网络堆栈的应用层运行。 它们充当客户端和服务器之间的中介，在应用级别检查和过滤流量。 它们可以分析数据包的内容，从而更有效地检测和阻止特定类型的威胁。 然而，有时组织会注意到代理功能可能会导致延迟。
4. 下一代防火墙（NGFW） ： 这些解决方案捆绑了网络防火墙、IPS、URL 过滤/安全 Web 网关、恶意软件预防和 VPN 连接等功能，是企业防御的主要工具。
5. Web应用防火墙 (WAF)： WAF 是缓解严重漏洞的关键权宜之计，否则这些漏洞可能会对组织造成毁灭性的影响。 现代 WAF 结合使用签名、威胁情报和行为分析，可以防御各种威胁，包括应用拒绝服务 (L7 DoS) 和个人身份信息 (PII) 等敏感数据的泄露。

防火墙仍然是防御网络威胁的有效且可靠的防御手段。 以下是它们的工作原理，可帮助防止未授权访问您的网络。

我们都知道浏览时点击未知链接或弹出广告的危险，但这还不足以确保您的设备和网络的安全。 这就是为什么防火墙是保护网络和数据的第一道防线。

防火墙通过帮助过滤和阻止潜在黑客访问您的敏感数据来发挥作用。  防火墙有很多种类型，它们使用不同的策略来保证您的信息安全。 防火墙还可以保护您的计算机免受恶意软件的侵害，这些恶意软件可能会引发各种安全问题。

防火墙的设置是为了防御对您的网络和系统的各种潜在威胁。 以下是它们旨在阻止的一些主要威胁。

• 未授权访问： 防火墙保护您的网络免受黑客的未授权访问，黑客使用各种工具进入，例如后门、拒绝服务 (DoS) 攻击、远程登录、网络钓鱼电子邮件、社会工程学和垃圾邮件。
• 网络威胁： 防火墙充当守门人的角色，旨在减轻病毒等外部威胁^。 他们会检查并验证网络流量中的所有数据包，然后才允许它们转移到更安全的环境。

应用层的流量过滤是一种安全措施，与传统的数据包过滤相比，它允许您以更精细的级别控制进入或离开网络的内容。 虽然数据包过滤可用于根据 IP 地址和端口号阻止或允许特定类型的流量，但它还能通过检查数据的实际内容发挥更大的作用。

ALF 使您能够根据应用层协议（例如 SMTP、POP3、DNS 和 HTTP）过滤流量。 这样做可以帮助防止依赖这些协议中的漏洞的攻击，例如缓冲区溢出、Web 服务器攻击以及隐藏在 SSL 隧道中的攻击代码。

应用层的流量过滤还允许您：

• 防止应用层攻击： 通过分析数据包的内容，ALF 可以检测并阻止不合规或利用应用层协议漏洞的恶意流量。
• 防止数据泄露： 通过检查数据包的内容，ALF 可以检测并阻止敏感信息离开网络。
• 控制对特定应用s的访问： ALF 使您能够根据所使用的特定应用或协议有选择地允许或拒绝流量。
• 执行安全政策： ALF 允许您在应用层定义和执行安全策略，确保只允许授权的流量。

防火墙是防止各种网络威胁的关键武器。

防火墙通过识别和过滤过多的流量来帮助减轻 DDoS 攻击。 虽然防火墙可以采用限制、负载平衡和列入 IP 地址黑名单等技术来抵御 DDoS 攻击，但它们可能无法有效区分合法流量和恶意流量。 此外，防火墙的状态特性和对状态包检测 (SPI) 的依赖使其容易受到状态耗尽攻击。

为了有效地防范，建议实施以无状态或半无状态方式运行的智能 DDoS 缓解解决方案，或具有强大的连接管理和收割功能^。 这些解决方案主要使用无状态数据包处理技术，并集成了 OSI 模型第 3、4 和 7 层的流量清洗等功能。 通过单独处理每个传入数据包并且不阻止来自某个 IP 地址的所有流量，这些解决方案可以有效地缓解 DDoS 攻击。 大多数情况下，需要进行云清洗以防止在容量密集型 DDoS 攻击期间入口带宽被耗尽。

至于阻止恶意软件和受病毒感染的数据渗透到网络，防火墙可以根据预定的安全规则过滤传入流量来提供一定程度的保护。 它们可以阻止已知的恶意 IP 地址、限制对某些端口的访问并检查网络数据包中是否存在可疑内容。 然而，仅靠防火墙不足以提供针对恶意软件和病毒的全面保护。

为了有效抵御恶意软件和病毒威胁，组织通常采用多种安全措施，包括：

• 防病毒软件： 防病毒软件会扫描文件和程序中是否存在已知的恶意软件签名和行为模式，帮助检测并删除受感染系统中的恶意代码。
• 入侵检测/预防系统（IDS/IPS） ： IDS/IPS 解决方案监控网络流量中是否存在恶意活动的迹象，并可以阻止或警告可疑行为。
• 电子邮件过滤： 电子邮件过滤解决方案可以帮助防止恶意软件和病毒通过电子邮件附件或链接传播。
• 用户教育和意识： 教育用户安全浏览习惯、避免可疑下载以及识别网络钓鱼企图可以显著降低恶意软件感染的风险。

现代 NGFW 已扩展到安全架构，可以跨网络、云、端点和电子邮件威胁载体提供统一的防御。

此外，现代 WAF 已发展成为 Web 应用程序和 API 保护 (WAAP) 平台，统一了应用安全、API 保护、机器人管理和 DDoS 缓解。

通过这些安全措施与防火墙相结合，组织可以创建更强大的防御来抵御新出现的威胁。

复杂网络通常被认为是网络段，是大型网络的较小的物理或逻辑组件。 这使得安全团队能够在出现威胁时快速关闭网络的某些部分，并简化庞大的企业网络架构的管理。

为了使通信在段之间流动，流量会通过路由器或防火墙，以便在传递到其他网段之前进行检查。 该策略增加了整个系统的安全冗余，并加强了整体网络安全。 

在网络入口和出口处放置防火墙可以通过监控和控制流量来协助安全。 虽然内部网络确实处理机密数据，但这些网络之间的连接可能比内部和外部流量之间的网络连接更宽松。 然而，由于敏感数据需要在用户之间频繁传输，因此仍存在独特的网络威胁需要考虑。 在每个网络段中，安全团队可以创建各种具有不同程度安全保护的边界。 

防火墙（包括物理防火墙和软件防火墙）使用防火墙提供商、您的 IT 服务或与防火墙配合的其他软件创建和启用的规则来分析传入和传出的数据。 通过过滤这些数据，防火墙可以确定流量是否合法以及是否应该允许其到达最终目的地。

访问控制列表 (ACL)是有序的权限列表，用于定义防火墙允许或拒绝的流量。 防火墙使用 ACL 根据源、目的地、端口和其他标准过滤流量。 ACL 应用于防火墙接口，无论是入站还是出站方向。 防火墙检查通过网络一部分的流量并根据 ACL 做出决策。 NGFW 和 WAF 具有应用感知能力，可以检查流量的其他方面，包括 DNS、URL 查询和 Web 内容。

依赖VPN 连接的公司使用防火墙来帮助保护这些连接的安全。 防火墙通过充当网络流量的过滤器来促进 VPN，防止任何情况发生接收来自可疑来源的传入流量。 防火墙保护从您的设备和网络传输的数据免受威胁。 当防火墙安装在 VPN 服务器的后面时，它会配置过滤器以只允许特定于 VPN 的数据包通过。 类似地，当防火墙安装在 VPN 的前端时，防火墙配置为仅允许其 Internet 接口上的隧道数据传递到服务器。

TLS 是一种被广泛采用的安全协议，旨在促进互联网通信的隐私和数据安全。 可以配置防火墙来检查和过滤应用层的网络流量，包括使用TLS加密的流量。 通过解密和检查 TLS 加密流量，防火墙可以分析数据包的内容并应用安全策略来防范威胁和漏洞。

一些防火墙支持TLS 检查，其中包括解密TLS 加密流量、检查是否存在潜在威胁或政策违规，然后在将其转发到目的地之前重新加密。 这使得防火墙可以分析加密流量并根据解密内容应用安全措施，例如阻止恶意或未经授权的流量。 应仔细实施 TLS 检查以确保加密通信的隐私和完整性。 

在当今的商业环境中，通过互联网开展业务并不是可选的。 为了联系到无论身在何处的客户和员工并近乎实时地响应他们的请求，您的互联网存在必须广泛、可靠且安全。 如果您的公司在互联网上接收和传输数据，那么将防火墙作为网络安全协议的一部分至关重要。

互联网连接防火墙的运行方式与内部网络防火墙的运行方式大致相同。 如果一条数据想要从互联网进入您的网络，防火墙会进行第一次评估。 如果防火墙认为数据安全，它就可以进入您的公司网络。 如果不是，它就会停止运行。

对防火墙进行强有力的控制以保护内部网络免受外部连接（互联网）的影响非常重要。 不仅可能从外部来源发生恶意攻击，而且数据泄露也是一个严重的问题。 防火墙可以阻止不需要的内容或未经授权的用户访问您的网络或applications。 它还可以帮助保证基于协议设置和 IP 地址的安全性。 防火墙旨在从多方面保护您的数据和操作。 然而，基于 API 的系统的发展推动了现代applications的复杂性，以及漏洞、滥用、错误配置和访问控制绕过带来的风险面不断扩大，需要在 WAF 和 WAAP 平台中采用更专业的防御措施。

从更细微的层面来说，防火墙可以提供帮助并充当您的计算机或网络与互联网之间的看门人。 它们还可以配置为使用预定义的分类和其他规范来阻止网络流量，以确定哪些类型的流量可以通过防火墙。 例如，可以设置内容过滤来阻止所有已知归类为“游戏”或“社交网络”的网站。

URL 过滤是一种阻止某些 URL 在公司网络上加载的方法。 可以通过手动输入或选择要阻止的 URL 类别来配置防火墙以阻止特定的 URL。 如果员工尝试访问被阻止的 URL，他们将被重定向到通知他们该内容已被阻止的页面。

这样，这些防火墙就可以提供一致、可靠的用户体验，让用户访问他们需要的一切，而不会访问他们不需要的东西。

随着互联网规范的不断变化，面向互联网的防火墙会遇到各种影响其有效性的挑战。 以下是一些常见的：

• 软件漏洞： 防火墙与任何软件一样，都可能存在攻击者可能利用的漏洞。 固件漏洞也带来风险并可能导致安全漏洞。 定期更新防火墙的软件和固件对于解决已知漏洞和保护网络至关重要。
  
• 配置错误：是导致防火墙漏洞的主要原因。  当由于用户错误或调查不充分而导致防火墙的设置不准确时，就会发生这种情况。 配置错误可能导致您的组织容易受到未授权访问、数据泄露和意外中断的攻击。
• 依赖专有威胁情报： 一些防火墙依赖专有和封闭的威胁情报来检测和阻止威胁，这限制了它们随着不断变化的威胁形势而发展的能力。 确保您的防火墙能够访问最新的威胁情报以有效保护您的网络非常重要。
• 应用程序级攻击： 传统网络防火墙可能无法有效阻止利用漏洞的应用程序级攻击，例如跨站点脚本、SQL 注入、强制浏览和有毒Cookie。 这些攻击专门针对应用s，需要像Web应用防火墙 (WAF)这样的专门的保护机制来降低风险。
• 普遍的 SSL/TLS 连接： 互联网流量大部分都是加密的，许多传统防火墙和 NGFW 防火墙并非设计用于大规模解密。 此外，大多数安全生态系统都需要通过各种工具进行检查，因此需要集中的解密和加密代理来平衡安全性和用户隐私。