30 多年前，防火墻的概念進入了 IT 安全對話。即使在今天，該技術仍然在企業安全中發揮著至關重要的作用，促進不同網絡之間的安全連接。作為一種在惡意流量從公共網絡進入專用網絡之前過濾掉惡意流量的機制，外圍防火墻在過去幾十年中已經確定了它的優點。與任何持久性技術一樣，它顯然催生了許多迭代。在這篇文章中了解外圍防火墻如何防止網絡入侵。

什么是外圍防火墻？

外圍防火墻是一種安全應用程序，用于保護組織的專用網絡與 Internet 等公共網絡之間的邊界。您可以將外圍防火墻作為軟件、硬件或兩者兼而有之，作為企業安全的第一道防線。實施后，外圍防火墻會檢查進出專用網絡的數據包，并根據預先確定的規則允許或阻止它們。

這些規則（在訪問控制列表 (ACL) 中定義）指定允許的網絡名稱、互聯網協議 (IP) 地址和端口號。您可以配置這些規則來控制入站和出站流量，如下所示：

安裝外圍防火墻的主要目的是防范外部攻擊。您還可以將它們安裝在組織的網絡中，以創建分段并阻止內部威脅。除了提供抵御攻擊的第一道防線外，外圍防火墻還可以記錄日志記錄和審計事件。網絡管理員可以使用這些記錄來識別用戶模式并增強規則集。

什么是網絡邊界？

術語網絡邊界和防火墻有時可以互換使用，盡管含義不同。網絡邊界是組織內部網絡的邊緣。它是公司內部網絡與互聯網等公共網絡或任何不受控制的外部網絡之間的邊界。

相比之下，防火墻是網絡邊界的一部分，其目標是在惡意流量從公共網絡跨越邊界進入組織的內部網絡之前將其過濾掉。除防火墻外，網絡外圍的其他組件包括：

• 邊界路由器。邊界路由器是在兩個網絡中有腳的任何路由器：一個進入公共網絡，另一個進入公司的內部網絡。邊界路由器引導流量進出公司的內部網絡。它是網絡管理員在流量離開組織網絡之前可以訪問和管理的最后一個路由器。
• 入侵檢測系統 (IDS)。IDS 是一種被動監控組件（以硬件或軟件的形式實現），用于監控網絡中的可疑活動、已知威脅或違反策略的行為。IDS 通過在發現此類活動時發送警報來自動報告此類活動。
• 入侵防御系統 (IPS)。IPS 的運行方式與 IDS 非常相似，因為它還監視網絡中的惡意活動和違反策略的行為。然而，與被動的傳統 IDS 不同，IPS 可以在發現任何惡意活動或違反規則的情況下自動保護目標而無需任何網絡管理員干預。
• 非軍事區 (DMZ)。DMZ 是位于公司內部網絡和公共網絡之間的任何子網。它允許組織訪問不受信任的公共網絡，同時確保內部網絡保持安全。

外圍防火墻如何工作？

作為抵御攻擊的主要防線，外圍防火墻采用不同的技術來控制組織網絡和不受信任的網絡之間的流量。讓我們討論其中的幾個。

靜態包過濾

靜態數據包過濾是防火墻根據數據包字段和網絡管理員的規則過濾流量的一種技術。靜態數據包過濾器檢查它收到的每個數據包并將其與 ACL 進行比較。然后，它根據規則指定的內容接受或阻止進入組織網絡的流量。

靜態數據包過濾是最古老的防火墻技術之一，在開放系統互連 (OSI) 模型的第 3 層和第 4 層運行。因此，它無法區分應用層協議。它也無法防止欺騙攻擊。

基于代理的防火墻

基于代理的防火墻充當最終用戶和公共網絡之間的網關。主機連接到代理服務器，該代理服務器與公共網絡建立單獨的連接。在將數據包傳輸到公共網絡之前，代理服務器可以過濾它們以強制執行網絡策略。它還可以屏蔽最終用戶的 IP 地址，以保護其免受不受信任的網絡的影響。

狀態包檢測

狀態數據包檢測也稱為動態數據包過濾，它主動監控網絡中的連接狀態。例如，通過維護活動連接的狀態，如果數據包已經過檢查，這些防火墻可以放棄對傳入流量的監控。這樣，狀態數據包檢查器可以防止欺騙并提高網絡性能。

下一代防火墻 (NGFW)

典型的NGFW同時利用靜態數據包過濾和狀態檢測，并具有一些功能，包括深度數據包檢測 (DPI)，以實現企業范圍的安全性。它還可能包含高級安全功能，例如網絡安全系統（IDS 和 IPS）、防病毒過濾和惡意軟件過濾，以進一步增強安全性。

使用防火墻有什么好處？

實施防火墻可以通過以下方式幫助組織：

• 監控網絡流量。進出您的網絡的流量為可能危及您的運營的威脅創造了機會。監控和分析網絡可以幫助您保護您的系統。
• 防止黑客攻擊。網絡犯罪分子繼續發動更復雜的攻擊和威脅。根據 Internet 安全中心的數據，2020 年大約70% 的違規事件是由外部黑客造成的。隨著報告的黑客事件急劇增加，外圍防火墻在防止外部黑客進入組織網絡方面變得比以往任何時候都更加重要。
• 防止病毒攻擊。惡意開發人員每天會制造數十萬個新病毒，其損害成本對組織來說非常高昂。外圍防火墻是有益的，因為它可以控制網絡的入口點并防止病毒攻擊。
• 防止間諜軟件。自從世界變成數據驅動以來，惡意個人已經編寫了數十萬個間諜軟件來訪問網絡。實施外圍防火墻是阻止間諜軟件的第一步。
• 促進隱私。沒有組織喜歡其數據被盜，尤其是當它顯然可以采取措施防止入侵時。當您主動努力確保客戶數據的安全時，您就構建了一個客戶可以信任的環境。