防火墻無(wú)非就這8種類(lèi)型小白完全不用怕

防火墻無(wú)非就這8種類(lèi)型，小白完全不用怕！什么是防火墻？防火墻是一種監(jiān)視網(wǎng)絡(luò)流量并檢測(cè)潛在威脅的安全設(shè)備或程序，作為一道保護(hù)屏障，它只允許非威脅性流量進(jìn)入，阻止危險(xiǎn)流量進(jìn)入。

防火墻是client-server模型中網(wǎng)絡(luò)安全的基礎(chǔ)之一，但它們?nèi)菀资艿揭韵路矫娴墓?社會(huì)工程攻擊（例如，有人竊取密碼并進(jìn)行欺詐）。內(nèi)部威脅（例如，內(nèi)網(wǎng)中的某人故意更改防火墻設(shè)置）。人為錯(cuò)誤（例如，員工忘記打開(kāi)防火墻或忽略更新通知）。防火墻是如何工作的？企業(yè)在網(wǎng)絡(luò)中設(shè)置內(nèi)聯(lián)防火墻，作為外部源和受保護(hù)系統(tǒng)之間的邊界。管理員創(chuàng)建阻塞點(diǎn)，防火墻在阻塞點(diǎn)檢查所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，包含:

有效負(fù)載（實(shí)際內(nèi)容）。標(biāo)頭（有關(guān)數(shù)據(jù)的信息，例如誰(shuí)發(fā)送了數(shù)據(jù)，發(fā)給了誰(shuí)）。防火墻根據(jù)預(yù)設(shè)規(guī)則分析數(shù)據(jù)包，以區(qū)分良性和惡意流量。這些規(guī)則集規(guī)定了防火墻如何檢查以下內(nèi)容：

源IP和目的IP地址。有效負(fù)載中的內(nèi)容。數(shù)據(jù)包協(xié)議（例如，連接是否使用TCP/IP協(xié)議）。應(yīng)用協(xié)議（HTTP、Telnet、FTP、DNS、SSH等）。表明特定網(wǎng)絡(luò)攻擊的數(shù)據(jù)模式。

防火墻阻止所有不符合規(guī)則的數(shù)據(jù)包，并將安全數(shù)據(jù)包路由到預(yù)期的接收者。當(dāng)防火墻阻止流量進(jìn)入網(wǎng)絡(luò)時(shí)，有兩種選擇：

默默地放棄請(qǐng)求。向發(fā)件人發(fā)送error信息。

這兩種選擇都可以將危險(xiǎn)流量排除在網(wǎng)絡(luò)之外。通常，安全團(tuán)隊(duì)更喜歡默默放棄請(qǐng)求以限制信息，以防潛在的黑客測(cè)試防火墻的漏洞。

基于部署方式的防火墻類(lèi)型根據(jù)部署方式，可以將防火墻分為三種類(lèi)型：硬件防火墻、軟件防火墻和基于云的防火墻。

軟件防火墻軟件防火墻（或主機(jī)防火墻）直接安裝在主機(jī)設(shè)備上。這種類(lèi)型的防火墻只保護(hù)一臺(tái)機(jī)器（網(wǎng)絡(luò)終端、臺(tái)式機(jī)、筆記本電腦、服務(wù)器等），因此管理員必須在他們想要保護(hù)的每臺(tái)設(shè)備上安裝一個(gè)版本的軟件。

由于管理員將軟件防火墻附加到特定設(shè)備上，因此這些防火墻不可避免地會(huì)占用一些系統(tǒng)RAM和CPU，這在某些情況下是一個(gè)問(wèn)題。

軟件防火墻的優(yōu)點(diǎn)：為指定設(shè)備提供出色的保護(hù)。將各個(gè)網(wǎng)絡(luò)端點(diǎn)彼此隔離。高精度的安全性，管理員可以完全控制允許的程序。隨時(shí)可用。

軟件防火墻的缺點(diǎn)：消耗設(shè)備的CPU、RAM和存儲(chǔ)空間。需要為每個(gè)主機(jī)設(shè)備配置。日常維護(hù)既困難又耗時(shí)。并非所有設(shè)備都與每個(gè)防火墻兼容，因此可能必須在同一網(wǎng)絡(luò)中使用不同的解決方案。硬件防火墻硬件防火墻（或設(shè)備防火墻）是一個(gè)單獨(dú)的硬件，用于過(guò)濾進(jìn)出網(wǎng)絡(luò)的流量。與軟件防火墻不同，這些獨(dú)立設(shè)備有自己的資源，不會(huì)占用主機(jī)設(shè)備的任何CPU或RAM。

硬件防火墻相對(duì)更適合大型企業(yè)，中小型企業(yè)可能更多地會(huì)選擇在每臺(tái)主機(jī)上安裝軟件防火墻的方式，硬件防火墻對(duì)于擁有多個(gè)包含大量計(jì)算機(jī)的子網(wǎng)的大型組織來(lái)說(shuō)是一個(gè)極好的選擇。

硬件防火墻的優(yōu)點(diǎn)：使用一種解決方案保護(hù)多臺(tái)設(shè)備。頂級(jí)邊界安全性，因?yàn)閻阂饬髁坑肋h(yuǎn)不會(huì)到達(dá)主機(jī)設(shè)備。不消耗主機(jī)設(shè)備資源。管理員只需為整個(gè)網(wǎng)絡(luò)管理一個(gè)防火墻。

硬件防火墻的缺點(diǎn)：比軟件防火墻更昂貴。內(nèi)部威脅是一個(gè)相當(dāng)大的弱點(diǎn)。與基于軟件的防火墻相比，配置和管理需要更多的技能?；谠频姆阑饓υS多供應(yīng)商提供基于云的防火墻，它們通過(guò)Internet按需提供。這些服務(wù)也稱(chēng)為防火墻即服務(wù)（FaaS），以IaaS或PaaS的形式運(yùn)行。

基于云的防火墻非常適用于：高度分散的業(yè)務(wù)。在安全資源方面存在缺口的團(tuán)隊(duì)。不具備必要的內(nèi)部專(zhuān)業(yè)知識(shí)的公司。

與基于硬件的解決方案一樣，云防火墻在邊界安全方面表現(xiàn)出色，同時(shí)也可以在每個(gè)主機(jī)的基礎(chǔ)上設(shè)置這些系統(tǒng)。

云防火墻的優(yōu)點(diǎn)：服務(wù)提供商處理所有管理任務(wù)（安裝、部署、修補(bǔ)、故障排除等）。用戶(hù)可以自由擴(kuò)展云資源以滿(mǎn)足流量負(fù)載。無(wú)需任何內(nèi)部硬件。高可用性。

云防火墻的缺點(diǎn)：供應(yīng)商究竟如何運(yùn)行防火墻缺乏透明度。與其他基于云的服務(wù)一樣，這些防火墻很難遷移到新的提供商。流量流經(jīng)第三方可能會(huì)增加延遲和隱私問(wèn)題。由于高昂的運(yùn)營(yíng)成本，從長(zhǎng)遠(yuǎn)來(lái)看是比較貴的。

基于操作方法的防火墻類(lèi)型下面是基于功能和OSI模型的五種類(lèi)型的防火墻。

包過(guò)濾防火墻包過(guò)濾防火墻充當(dāng)網(wǎng)絡(luò)層的檢查點(diǎn)，并將每個(gè)數(shù)據(jù)包的標(biāo)頭信息與一組預(yù)先建立的標(biāo)準(zhǔn)進(jìn)行比較。這些防火墻檢查以下基于標(biāo)頭的信息：

目的地址和源IP地址。數(shù)據(jù)包類(lèi)型。端口號(hào)。網(wǎng)絡(luò)協(xié)議。

這些類(lèi)型的防火墻僅分析表面的細(xì)節(jié)，不會(huì)打開(kāi)數(shù)據(jù)包來(lái)檢查其有效負(fù)載。包過(guò)濾防火墻在不考慮現(xiàn)有流量的情況下真空檢查每個(gè)數(shù)據(jù)包。

包過(guò)濾防火墻非常適合只需要基本安全功能來(lái)抵御既定威脅的小型組織。

包過(guò)濾防火墻的優(yōu)點(diǎn)：低成本?？焖侔^(guò)濾和處理。擅長(zhǎng)篩選內(nèi)部部門(mén)之間的流量。低資源消耗。對(duì)網(wǎng)絡(luò)速度和最終用戶(hù)體驗(yàn)的影響最小。多層防火墻策略中出色的第一道防線(xiàn)。

包過(guò)濾防火墻的缺點(diǎn)：不檢查數(shù)據(jù)包有效負(fù)載（實(shí)際數(shù)據(jù)）。對(duì)于有經(jīng)驗(yàn)的黑客來(lái)說(shuō)很容易繞過(guò)。無(wú)法在應(yīng)用層進(jìn)行過(guò)濾。容易受到IP欺騙攻擊，因?yàn)樗鼏为?dú)處理每個(gè)數(shù)據(jù)包。沒(méi)有用戶(hù)身份驗(yàn)證或日志記錄功能。

訪(fǎng)問(wèn)控制列表的設(shè)置和管理具有挑戰(zhàn)性。電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)在OSI會(huì)話(huà)層運(yùn)行，并監(jiān)視本地和遠(yuǎn)程主機(jī)之間的TCP（傳輸控制協(xié)議）握手。其可以在不消耗大量資源的情況下快速批準(zhǔn)或拒絕流量。但是，這些系統(tǒng)不檢查數(shù)據(jù)包，因此如果TCP握手通過(guò)，即使是感染了惡意軟件的請(qǐng)求也可以訪(fǎng)問(wèn)。

電路級(jí)網(wǎng)關(guān)的優(yōu)點(diǎn)：僅處理請(qǐng)求的事務(wù)，并拒絕所有其他流量。易于設(shè)置和管理。資源和成本效益。強(qiáng)大的地址暴露保護(hù)。對(duì)最終用戶(hù)體驗(yàn)的影響最小。

電路級(jí)網(wǎng)關(guān)的缺點(diǎn)：不是一個(gè)獨(dú)立的解決方案，因?yàn)闆](méi)有內(nèi)容過(guò)濾。通常需要對(duì)軟件和網(wǎng)絡(luò)協(xié)議進(jìn)行調(diào)整。狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)防火墻（或動(dòng)態(tài)包過(guò)濾防火墻）在網(wǎng)絡(luò)層和傳輸層監(jiān)控傳入和傳出的數(shù)據(jù)包。這類(lèi)防火墻結(jié)合了數(shù)據(jù)包檢測(cè)和TCP握手驗(yàn)證。

狀態(tài)檢測(cè)防火墻維護(hù)一個(gè)表數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)跟蹤所有打開(kāi)的連接使系統(tǒng)能夠檢查現(xiàn)有的流量流。該數(shù)據(jù)庫(kù)存儲(chǔ)所有與關(guān)鍵數(shù)據(jù)包相關(guān)的信息，包括：

源IP。源端口。目的IP。每個(gè)連接的目標(biāo)端口。

當(dāng)一個(gè)新數(shù)據(jù)包到達(dá)時(shí)，防火墻檢查有效連接表。檢測(cè)過(guò)的數(shù)據(jù)包無(wú)需進(jìn)一步分析即可通過(guò)，而防火墻會(huì)根據(jù)預(yù)設(shè)規(guī)則集評(píng)估不匹配的流量。

狀態(tài)檢測(cè)防火墻的優(yōu)點(diǎn)：過(guò)濾流量時(shí)會(huì)自動(dòng)通過(guò)以前檢查過(guò)的數(shù)據(jù)包。在阻止利用協(xié)議缺陷的攻擊方面表現(xiàn)出色。無(wú)需打開(kāi)大量端口來(lái)讓流量進(jìn)出，這可以縮小攻擊面。詳細(xì)的日志記錄功能，有助于數(shù)字取證。減少對(duì)端口掃描器的暴露。

狀態(tài)檢測(cè)防火墻的缺點(diǎn)：比包過(guò)濾防火墻更昂貴。需要高水平的技能才能正確設(shè)置。通常會(huì)影響性能并導(dǎo)致網(wǎng)絡(luò)延遲。不支持驗(yàn)證欺騙流量源的身份驗(yàn)證。容易受到利用預(yù)先建立連接的TCPFlood攻擊。代理防火墻代理防火墻（或應(yīng)用級(jí)網(wǎng)關(guān)）充當(dāng)內(nèi)部和外部系統(tǒng)之間的中介。這類(lèi)防火墻會(huì)在客戶(hù)端請(qǐng)求發(fā)送到主機(jī)之前對(duì)其進(jìn)行屏蔽，從而保護(hù)網(wǎng)絡(luò)。

代理防火墻在應(yīng)用層運(yùn)行，具有深度包檢測(cè)(DPI)功能，可以檢查傳入流量的有效負(fù)載和標(biāo)頭。

當(dāng)客戶(hù)端發(fā)送訪(fǎng)問(wèn)網(wǎng)絡(luò)的請(qǐng)求時(shí)，消息首先到達(dá)代理服務(wù)器。防火墻會(huì)檢查以下內(nèi)容：客戶(hù)端和防火墻后面的設(shè)備之間的先前通信（如果有的話(huà)）。標(biāo)頭信息。內(nèi)容本身。

然后代理屏蔽該請(qǐng)求并將消息轉(zhuǎn)發(fā)到Web服務(wù)器。此過(guò)程隱藏了客戶(hù)端的ID。服務(wù)器響應(yīng)并將請(qǐng)求的數(shù)據(jù)發(fā)送給代理，之后防火墻將信息傳遞給原始客戶(hù)端。

代理防火墻是企業(yè)保護(hù)Web應(yīng)用免受惡意用戶(hù)攻擊的首選。

代理防火墻的優(yōu)點(diǎn)：DPI檢查數(shù)據(jù)包標(biāo)頭和有效負(fù)載。在客戶(hù)端和網(wǎng)絡(luò)之間添加了一個(gè)額外的隔離層。對(duì)潛在威脅行為者隱藏內(nèi)部IP地址。檢測(cè)并阻止網(wǎng)絡(luò)層不可見(jiàn)的攻擊。對(duì)網(wǎng)絡(luò)流量進(jìn)行細(xì)粒度的安全控制。解除地理位置限制。

代理防火墻的缺點(diǎn)：由于徹底的數(shù)據(jù)包檢查和額外的通信步驟，會(huì)導(dǎo)致延遲增加。由于處理開(kāi)銷(xiāo)高，不如其他類(lèi)型的防火墻成本低。設(shè)置和管理具有挑戰(zhàn)性。不兼容所有網(wǎng)絡(luò)協(xié)議。下一代防火墻下一代防火墻(NGFW)是將其他防火墻的多種功能集成在一起的安全設(shè)備或程序。這樣的系統(tǒng)提供：

分析流量?jī)?nèi)容的深度數(shù)據(jù)包檢測(cè)（DPI）。TCP握手檢查。表層數(shù)據(jù)包檢測(cè)。

下一代防火墻還包括額外的網(wǎng)絡(luò)安全措施，例如：IDS和IPS。惡意軟件掃描和過(guò)濾。高級(jí)威脅情報(bào)（模式匹配、基于協(xié)議的檢測(cè)、基于異常的檢測(cè)等）防病毒程序。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。服務(wù)質(zhì)量(QoS)功能。SSH檢查。

NGFW是醫(yī)療保健或金融等受到嚴(yán)格監(jiān)管的行業(yè)的常見(jiàn)選擇。

下一代防火墻的優(yōu)點(diǎn)：將傳統(tǒng)防火墻功能與高級(jí)網(wǎng)絡(luò)安全功能相結(jié)合。檢查從數(shù)據(jù)鏈路層到應(yīng)用層的網(wǎng)絡(luò)流量。日志記錄功能。

下一代防火墻的缺點(diǎn)：比其他防火墻更昂貴。存在單點(diǎn)故障。部署時(shí)間緩慢。需要高度的專(zhuān)業(yè)知識(shí)才能設(shè)置和運(yùn)行。影響網(wǎng)絡(luò)性能。

任何一個(gè)保護(hù)層，無(wú)論多么強(qiáng)大，都不足以完全保護(hù)你的業(yè)務(wù)。企業(yè)往往會(huì)在同一個(gè)網(wǎng)絡(luò)中設(shè)置多個(gè)防火墻，選擇理想