网络边界防火墙是一种安全的边界,可为专用网络和其他公用网络(例如 Internet)提供主要防御。防火墙可检测并保护网络抵御不必要的流量、潜在的危险代码和入侵企图。
网络边界可能包括:
- 边界路由器,作为外部不信任网络的最后一个路由器,引导流量进入、流出和通过网络。
- 防火墙,作为“把关者”,遵循特定的规则,允许或拒绝特定流量通过,进入内部网络。
- 入侵检测系统 (IDS),作为警报系统,在检测到可疑活动时发出信号。
- 入侵防御系统 (IPS),作为高级警报系统和响应系统,将尝试自动防御网络攻击。
- 隔离区或屏蔽子网在不受信任的网络和内部网络之间提供了更强的安全层。使用逻辑屏蔽路由器将外部网络与边界网络,边界网络与内部网络分开可实现这一目的。
边界防火墙如何工作?
防火墙是“把关者”,可以是位于公司网络与外部不信任网络之间的软件或硬件。它们采用以下一种或多种方法来控制流量:
- 静态数据包筛选:静态数据包筛选是一种根据数据包标头寻址信息筛选流量的方法。这在大型企业中通常用于防止访问被禁网站(如社交媒体)。
- 代理服务:防火墙代理服务器位于内部网络和外部网络(如 Internet)之间。代理作为申请者和资源之间的发起中介连接,防止从防火墙任意一侧直接传输数据包,从而使入侵者更难以从数据包信息中查看网络的位置。
- 有状态检查:有状态检查是一种常见的防火墙方法,可记录传出流量,并且只允许与初始请求相对应的流量回传。这样可以防止来自外部网络的 IP 欺骗和网络扫描。
边界防火墙的优势是什么?
边界防火墙是所有网络安全解决方案的重要组成部分。当前的网络环境面临更加复杂的攻击,但也出现了诸如新一代防火墙 (NGFW) 等先进的解决方案,这些解决方案提供了更高的安全性,以应对新的未知威胁。
传统防火墙的优势包括:
- 流量监控:防火墙可详细监控传入和传出的数据包传输。它们提供检测和保护功能,防止恶意内容进入网络。
- 阻止键盘记录器:键盘记录器是一种间谍软件,试图记录键盘输入操作,窃取重要信息,例如 PIN 码和帐户密码。
- 木马检测和防御:木马是一种干扰代码,通过附加在计算机文件上偷偷进入网络。它们可以将网络漏洞的相关信息转发给黑客,或者从内部引发更大的恶意攻击;防火墙可以检测并抵御特洛伊木马攻击。
边界防火墙有什么风险?
如今,企业在保护其网络并防御攻击时面临着许多风险和挑战。在规划边界防火墙时,必须考虑以下风险:
- Web 服务风险:要提供或使用 Web 服务,可能需要将公司的网络向外部网络开放。
- 未知设备风险:员工和用户通过外部网络和移动设备连接企业的网络,增加了渗透的风险。
- 云环境风险:随着越来越多的企业将其数据和应用迁移到不归自己所有的基础架构(例如数据仓库、云计算和 SAAS)中,它们必须调整其策略以应对当前的风险。