什麼是防火牆?

什麼是防火牆?

什麼是網路防火牆?

網路防火牆是一種資安解決方案,用來保護橫跨整個網路的雙向流量。傳統上,企業會以硬體設備的形式部署網路防火牆。然而,目前出現越來越多部署選項,包括虛擬設備型防火牆、雲端原生的基礎架構即服務(IaaS)防火牆,以及由服務供應商託管的防火牆即服務(FWaaS)解決方案。

為什麼網路防火牆很重要?防火牆安全基礎知識

防火牆自 1990 年代起問世,並迅速成為建立並保護網路邊界的主要方法。現今防火牆的應用包含:

  • 在網路邊緣用來阻擋與減輕外部威脅。
  • 在內部網路中建立分段,隔離敏感資源,並防範內部威脅與橫向移動攻擊。
  • 作為部署於終端裝置與其他設備上的軟體元件,過濾與管理進出裝置的流量。

防火牆在企業中扮演數項關鍵功能:

  • 存取控制──防火牆可用來規範網路中允許的進出流量類型
  • 威脅防禦──防火牆可在威脅抵達網路資源前先行偵測與阻擋。
  • 記錄與審計──防火牆會追蹤網路上的各項事件,藉此辨識出與效能或資安問題相關的行為模式。
  • 威脅情報來源──部署防火牆的企業與資安廠商可透過防火牆掌握威脅演變趨勢,並據此制定新的存取規則、攻擊模式與防禦策略。

在成熟的資安架構中,防火牆資料會匯入資安資訊與事件管理系統(SIEM),並與其他資安工具與 IT 系統的資料進行關聯分析。如此可偵測跨越多層 IT 環境的威脅與資安事件。

網路防火牆如何因應 CIA 安全三要素?

CIA 安全三要素──機密性、完整性與可用性──是資訊安全工作的核心目標。以下是防火牆如何因每一項 CIA 功能的方式:

  • 機密性──防止未經授權者存取敏感資訊。防火牆會設定存取規則,僅允許特定類型的流量進入網路,有效限制未授權存取。
  • 完整性──確保企業資料的正確性與可信度,防止遭到竄改。防火牆可透過阻止攻擊者入侵網路與存取重要資料來維護資料完整性。
  • 可用性──確保需要使用資訊的用戶能不中斷地取得資訊。防火牆能保護關鍵資源,防止攻擊者破壞系統運作,進而維持資訊的可用性。

網路防火牆的主要組成元件

網路防火牆預先設定了一系列安全功能,用以因應各種特定威脅。這些功能共同構成一套多層次的防禦策略。
現代網路防火牆常見的功能包括:

  • 路由功能──防火牆通常內建可作為路由器的元件,使裝置能連接至更大範圍的網路。
  • 資料封包過濾──防火牆可透過通道根據定義檔過濾資料封包。封包是透過網路傳送內容的資料單位。
  • 惡意程式防護──防火牆能掃描惡意程式,確認連結、附件、網頁與檔案是否安全可開啟或下載。
  • 網路存取控制(NAC)──防火牆通常具備流量監控功能,並透過流量規則判斷與記錄某個 IP 位址或裝置是否允許存取。防火牆可據此封鎖不明裝置或來源。
  • 遠端存取──防火牆可作為遠端存取入口,讓遠端工作者連接至公司網路。VPN 通道可保護遠端用戶對敏感檔案、應用程式與資料庫的流量安全。
  • 網頁過濾──防火牆可依據網域名稱或分類封鎖特定網站。
  • 垃圾郵件與網路釣魚防護──部分防火牆具備內建的垃圾郵件過濾器,可攔截可疑內容並允許安全郵件通過。防火牆亦能偵測網路釣魚郵件並加以阻擋,或防止用戶點擊不安全連結。
  • 加密功能──進階型防火牆具備加密能力,可安全地在網路間傳輸敏感資料。

網路防火牆解決方案的三個世代

網路防火牆自 1990 年代問世以來,經歷了多個世代演進:從傳統防火牆,到次世代防火牆(NGFW),再到防火牆即服務(FWaaS)。

第一世代:傳統防火牆

網路防火牆保護本地網路,防止未授權對象存取敏感系統與資料。它將受保護的網路與較不安全的外部網路(如網際網路)隔離,並控管其間的流量。網路防火牆是保護連接至網路資源、並阻擋攻擊者存取的關鍵防線。

第二世代:NGFW

次世代防火牆(NGFW)在傳統防火牆具備的狀態檢查功能之上進一步擴展。它新增了深度封包檢查(DPI)功能──能深入封包內容以辨識惡意行為。NGFW 具備應用層感知能力──能檢查第七層流量,依據目標應用程式決定是否阻擋或允許封包通過。這使得管理員可以針對高風險應用程式進行封鎖。

NGFW 解決方案提供的其他功能還包括內建的入侵防禦系統(IPS)與威脅情資整合,可使 NGFW 封鎖曾被用於惡意活動的 IP 位址所產生的流量。

第三世代:FWaaS

傳統上,NGFW 通常以硬體設備的形式部署。防火牆即服務(FWaaS)是一種新的部署 NGFW 安全功能的方式。FWaaS 是由雲端供應商提供的雲端原生防火牆,以即服務的形式運作。

在現代 IT 環境中,傳統的網路邊界正逐漸消失。使用者愈來愈常從行動裝置與遠端地點存取網路,而企業也將關鍵資源遷移至雲端,導致許多資產已超出組織的直接控管範圍。這些改變使得企業需要全新類型的安全解決方案,能在任何地點保護公司資產,並允許從各種設備與位置存取。

FWaaS 解決方案將 NGFW 的功能以雲端託管服務的形式提供。FWaaS 將安全功能從實體基礎架構中解耦,讓企業無論其 IT 資產部署在──地端或雲端──也無論從哪裡或以何種方式存取,都能享有 NGFW 的保護能力。

FWaaS 相較於 NGFW 設備具有顯著優勢:

  • 不受位置限制──NGFW 設備僅能保護部署於其所在網路的流量,而 FWaaS 則能同時保護遠端用戶與雲端應用程式。
  • 可擴展性──NGFW 設備的處理流量有限,受限於其硬體資源。FWaaS 則為雲端原生解決方案,可依需求動態擴展。
  • 靈活性──NGFW 設備需透過軟體更新或更換硬體來提供新安全功能。而 FWaaS 可由服務供應商持續更新,無需特殊維護或額外成本。

FWaaS 也是 SASE(也稱為安全存取服務邊緣)架構中的重要組成。

NGFW vs UTM

統一威脅管理(UTM)一詞由 IDC 於 2003 年提出,並於 2008 年被 Gartner 採納。Gartner 將 UTM 定義為可供中小企業(SMB)使用的多功能網路安全產品,具備以下三大能力:

  • 防火牆、入侵防禦系統(IPS)與虛擬私人網路(VPN)
  • 安全網關,包含網址過濾與網頁防毒功能
  • 通訊防護,包含垃圾郵件過濾與電子郵件防毒功能

NGFW 與 UTM 類似,同樣為多功能網路安全產品,也具備上述部分或全部功能。然而,NGFW 的主要目標是為大規模、高頻寬網路提供存取控制。因此,NGFW 通常更適合大型企業使用。

相關內容:閱讀我們的部落格文章NGFW vs UTM

防火牆類型與部署方式

透過限制可進入受保護網路的流量類型及其目的地,防火牆主要用作防範外部威脅的第一道防線。

整體而言,防火牆可分為五大類型。