基於網絡的防火牆已經在美國企業無處不在,因爲它們證實了抵禦日益增長的威脅的防禦能力。
通過網絡測試公司 NSS 實驗室最近的一項研究發現,高達 80% 的美國大型企業運行着下一代防火牆。研究公司 IDC 評估防火牆和相關的統一威脅管理市場的營業額在 2015 是 76 億美元,預計到 2020 年底將達到 127 億美元。
什麼是防火牆?
防火牆作爲一個邊界防禦工具,其監控流量——要麼允許它、要麼屏蔽它。 多年來,防火牆的功能不斷增強,現在大多數防火牆不僅可以阻止已知的一些威脅、執行高級訪問控制列表策略,還可以深入檢查流量中的每個數據包,並測試包以確定它們是否安全。大多數防火牆都部署爲用於處理流量的網絡硬件,和允許終端用戶配置和管理系統的軟件。越來越多的軟件版防火牆部署到高度虛擬化的環境中,以在被隔離的網絡或 IaaS 公有云中執行策略。
隨着防火牆技術的進步,在過去十年中創造了新的防火牆部署選擇,所以現在對於部署防火牆的最終用戶來說,有了更多選擇。這些選擇包括:
有狀態的防火牆
當防火牆首次創造出來時,它們是無狀態的,這意味着流量所通過的硬件當單獨地檢查被監視的每個網絡流量包時,屏蔽或允許是隔離的。從 1990 年代中後期開始,防火牆的第一個主要進展是引入了狀態。有狀態防火牆在更全面的上下文中檢查流量,同時考慮到網絡連接的工作狀態和特性,以提供更全面的防火牆。例如,維持這個狀態的防火牆可以允許某些流量訪問某些用戶,同時對其他用戶阻塞同一流量。
基於代理的防火牆
這些防火牆充當請求數據的最終用戶和數據源之間的網關。在傳遞給最終用戶之前,所有的流量都通過這個代理過濾。這通過掩飾信息的原始請求者的身份來保護客戶端不受威脅。
Web 應用防火牆(WAF)
這些防火牆位於特定應用的前面,而不是在更廣闊的網絡的入口或者出口上。基於代理的防火牆通常被認爲是保護終端客戶的,而 WAF 則被認爲是保護應用服務器的。
防火牆硬件
防火牆硬件通常是一個簡單的服務器,它可以充當路由器來過濾流量和運行防火牆軟件。這些設備放置在企業網絡的邊緣,位於路由器和 Internet 服務提供商(ISP)的連接點之間。通常企業可能在整個數據中心部署十幾個物理防火牆。 用戶需要根據用戶基數的大小和 Internet 連接的速率來確定防火牆需要支持的吞吐量容量。
防火牆軟件
通常,終端用戶部署多個防火牆硬件端和一箇中央防火牆軟件系統來管理該部署。 這個中心繫統是配置策略和特性的地方,在那裏可以進行分析,並可以對威脅作出響應。
下一代防火牆(NGFW)
多年來,防火牆增加了多種新的特性,包括深度包檢查、入侵檢測和防禦以及對加密流量的檢查。下一代防火牆(NGFW)是指集成了許多先進的功能的防火牆。
有狀態的檢測
阻止已知不需要的流量,這是基本的防火牆功能。
反病毒
在網絡流量中搜索已知病毒和漏洞,這個功能有助於防火牆接收最新威脅的更新,並不斷更新以保護它們。
入侵防禦系統(IPS)
這類安全產品可以部署爲一個獨立的產品,但 IPS 功能正逐步融入 NGFW。 雖然基本的防火牆技術可以識別和阻止某些類型的網絡流量,但 IPS 使用更細粒度的安全措施,如簽名跟蹤和異常檢測,以防止不必要的威脅進入公司網絡。 這一技術的以前版本是入侵檢測系統(IDS),其重點是識別威脅而不是遏制它們,已經被 IPS 系統取代了。
深度包檢測(DPI)
DPI 可作爲 IPS 的一部分或與其結合使用,但其仍然成爲一個 NGFW 的重要特徵,因爲它提供細粒度分析流量的能力,可以具體到流量包頭和流量數據。DPI 還可以用來監測出站流量,以確保敏感信息不會離開公司網絡,這種技術稱爲數據丟失防禦(DLP)。
SSL 檢測
安全套接字層(SSL)檢測是一個檢測加密流量來測試威脅的方法。隨着越來越多的流量進行加密,SSL 檢測成爲 NGFW 正在實施的 DPI 技術的一個重要組成部分。SSL 檢測作爲一個緩衝區,它在送到最終目的地之前解碼流量以檢測它。
沙盒
這個是被捲入 NGFW 中的一個較新的特性,它指防火牆接收某些未知的流量或者代碼,並在一個測試環境運行,以確定它是否存在問題的能力。