歡迎光臨
每天分享高質量文章

什麼是防火牆? | Linux 中國

流行的防火牆是多陣列織主要的邊界防禦。
— Brandon Butler


本文導航
編譯自 | https://www.networkworld.com/article/3230457/lan-wan/what-is-a-firewall-perimeter-stateful-inspection-next-generation.html 
 作者 | Brandon Butler
 譯者 | zjon

流行的防火牆是多陣列織主要的邊界防禦。

基於網路的防火牆已經在美國企業無處不在,因為它們證實了抵禦日益增長的威脅的防禦能力。

透過網路測試公司 NSS 實驗室最近的一項研究發現,高達 80% 的美國大型企業執行著下一代防火牆。研究公司 IDC 評估防火牆和相關的統一威脅管理市場的營業額在 2015 是 76 億美元,預計到 2020 年底將達到 127 億美元。

如果你想升級,這裡是《當部署下一代防火牆時要考慮什麼》[1]

什麼是防火牆?

防火牆作為一個邊界防禦工具,其監控流量——要麼允許它、要麼遮蔽它。 多年來,防火牆的功能不斷增強,現在大多數防火牆不僅可以阻止已知的一些威脅、執行高階訪問控制串列策略,還可以深入檢查流量中的每個資料包,並測試包以確定它們是否安全。大多數防火牆都部署為用於處理流量的網路硬體,和允許終端使用者配置和管理系統的軟體。越來越多的軟體版防火牆部署到高度虛擬化的環境中,以在被隔離的網路或 IaaS 公有雲中執行策略。

隨著防火牆技術的進步,在過去十年中創造了新的防火牆部署選擇,所以現在對於部署防火牆的終端使用者來說,有了更多選擇。這些選擇包括:

有狀態的防火牆

當防火牆首次創造出來時,它們是無狀態的,這意味著流量所透過的硬體當單獨地檢查被監視的每個網路流量包時,遮蔽或允許是隔離的。從 1990 年代中後期開始,防火牆的第一個主要進展是引入了狀態。有狀態防火牆在更全面的背景關係中檢查流量,同時考慮到網路連線的工作狀態和特性,以提供更全面的防火牆。例如,維持這個狀態的防火牆可以允許某些流量訪問某些使用者,同時對其他使用者阻塞同一流量。

基於代理的防火牆

這些防火牆充當請求資料的終端使用者和資料源之間的閘道器。在傳遞給終端使用者之前,所有的流量都透過這個代理過濾。這透過掩飾資訊的原始請求者的身份來保護客戶端不受威脅。

Web 應用防火牆(WAF)

這些防火牆位於特定應用的前面,而不是在更廣闊的網路的入口或者出口上。基於代理的防火牆通常被認為是保護終端客戶的,而 WAF 則被認為是保護應用伺服器的。

防火牆硬體

防火牆硬體通常是一個簡單的伺服器,它可以充當路由器來過濾流量和執行防火牆軟體。這些裝置放置在企業網路的邊緣,位於路由器和 Internet 服務提供商(ISP)的連線點之間。通常企業可能在整個資料中心部署十幾個物理防火牆。 使用者需要根據使用者基數的大小和 Internet 連線的速率來確定防火牆需要支援的吞吐量容量。

防火牆軟體

通常,終端使用者部署多個防火牆硬體端和一個中央防火牆軟體系統來管理該部署。 這個中心繫統是配置策略和特性的地方,在那裡可以進行分析,並可以對威脅作出響應。

下一代防火牆(NGFW)

多年來,防火牆增加了多種新的特性,包括深度包檢查、入侵檢測和防禦以及對加密流量的檢查。下一代防火牆(NGFW)是指集成了許多先進的功能的防火牆。

有狀態的檢測

阻止已知不需要的流量,這是基本的防火牆功能。

反病毒

在網路流量中搜索已知病毒和漏洞,這個功能有助於防火牆接收最新威脅的更新,並不斷更新以保護它們。

入侵防禦系統(IPS)

這類安全產品可以部署為一個獨立的產品,但 IPS 功能正逐步融入 NGFW。 雖然基本的防火牆技術可以識別和阻止某些型別的網路流量,但 IPS 使用更細粒度的安全措施,如簽名跟蹤和異常檢測,以防止不必要的威脅進入公司網路。 這一技術的以前版本是入侵檢測系統(IDS),其重點是識別威脅而不是遏制它們,已經被 IPS 系統取代了。

深度包檢測(DPI)

DPI 可作為 IPS 的一部分或與其結合使用,但其仍然成為一個 NGFW 的重要特徵,因為它提供細粒度分析流量的能力,可以具體到流量包頭和流量資料。DPI 還可以用來監測出站流量,以確保敏感資訊不會離開公司網路,這種技術稱為資料丟失防禦(DLP)。

SSL 檢測

安全套接字層(SSL)檢測是一個檢測加密流量來測試威脅的方法。隨著越來越多的流量進行加密,SSL 檢測成為 NGFW 正在實施的 DPI 技術的一個重要組成部分。SSL 檢測作為一個緩衝區,它在送到最終目的地之前解碼流量以檢測它。

沙盒

這個是被捲入 NGFW 中的一個較新的特性,它指防火牆接收某些未知的流量或者程式碼,併在一個測試環境執行,以確定它是否存在問題的能力。


via: https://www.networkworld.com/article/3230457/lan-wan/what-is-a-firewall-perimeter-stateful-inspection-next-generation.html

作者:Brandon Butler[3] 譯者:zjon 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出

LCTT 譯者

zjon ?
共計翻譯:1 篇
貢獻時間:8 天


推薦文章

< 左右滑動檢視相關文章 >

點選圖片、輸入文章 ID 或識別二維碼直達

贊(0)

分享創造快樂