防火牆安全:瞭解您的選項

防火牆安全:瞭解您的選項

什麼是防火牆?

防火牆是一種網路安全工具,用於控制進出網路流量。它讓管理員能夠定義安全規則並且利用這些規則來過濾流量,目的是防止未經授權的存取和網路攻擊。

網路防火牆在 25 年前引入,可作為軟體或專用硬體設備部署。防火牆引入了非軍事區(DMZ)的概念—這是一個包含有價值、受保護資源的內部網路,並且隔離於不受信任的外部網路。網路安全的基本原則是將有價值的資產「放在防火牆後面」,使其無法被攻擊者存取。

近年來,網路安全發生了變化,安全邊界的概念正在崩潰。現代網路複雜,包括組織控制以外的資源-像是雲端系統、行動裝置和物聯網(IoT)。這種新環境催生了新的防火牆部署模型,包括雲端防火牆和防火牆即服務(FWaaS)。


下一代防火牆 vs傳統防火牆

什麼是傳統防火牆?

傳統防火牆在OSI網路模型的第3層和第4層操作。它檢查封包的來源IP和目標IP,以及它們所指向的連接埠和使用的協定。根據這些資訊以及管理員定義的安全規則,它決定是否允許封包進入或離開網路。

傳統防火牆的關鍵功能包括:

  • 狀態檢查—傳統防火牆主要關注會話,並且對流量流應用規則,而不是單一資料包。
  • 流量過濾—檢查進出流量,並且能夠終止來自不受信任來源的連接,或違反組織政策的連接。


什麼是下一代防火牆 (NGFW)?

下一代防火牆 (NGFW) 超越了基本的資料包過濾。它超越了狀態檢測,深入資料包內部並且瞭解應用程式流量。

NGFW 在第 3 和第 4 層查看網路資料,但也檢查第 7 層—應用層。NGFW 可以根據目標應用程式阻止資料包。這種應用程式意識使管理員能夠阻止風險應用程式流量。


新一代防火牆安全功能

NGFW 提供以下在上一代防火牆中不存在的獨特功能:

  • 深度資料包檢測 (DPI)—深入資料包內部以識別應用層流量模式。
  • TLS 解密和偵測—能夠解密安全通道以檢查流量。
    以下功能作為某些 NGFW 解決方案中的可選附加功能:
  • 入侵防禦系統 (IPS)—即時偵測惡意流量並阻止它。
    惡意軟體防護-與威脅情報整合,識別入站流量中的惡意軟體特徵。


實施防火牆安全系統的選項


在本地部署 NGFW

有兩種方式可以在本地部署 NGFW:

  • 基於軟體/主機防火牆—在每個需要保護的伺服器或機器上執行 NGFW 軟體。NGFW 可以過濾入站和出站流量,監控主機上執行的進度,並且控制它們的通訊。然而,這種部署模型使用主機中的 CPU 和 RAM 資源。
  • 基於硬體/設備防火牆—將中央 NGFW 部署為可保護整個網路區段的硬體設備。對於擁有多個分支機構的組織來說,這可能很複雜,或者當員工需要遠端存取服務時。例如,當遠端使用者需要存取雲端服務時,流量需要回傳到 NGFW,然後路由到雲端服務,這樣效率就會低。

本地 NGFW 面臨到幾個關鍵挑戰:

  • 部署困難和持續維護—在地理分佈的企業中部署 NGFW 設備是困難的,並且需要在硬體上進行重大投資。組織必須正確配置設備,如果流量增加,就需要升級或更換它們。
  • 影響遠端使用者體驗—將流量回傳到中央 NGFW 設備會導致延遲問題。當大多數員工遠端工作時,這就可能會給試圖存取公司服務的員工帶來重大問題。
  • 未能充分解決安全風險—NGFW 可以有效地應對不受信任設備存取公司網路邊界的風險。不過它在應對雲端系統、SaaS 應用程式、未管理用戶設備的風險以及攻擊者妥協或竊取憑證的風險方面效果較差。


雲端的 NGFW

越來越多的組織正在將應用程式和基礎設施遷移到雲端。在雲端中,無法部署硬體 NGFW 設備,並且在雲端伺服器上安裝主機防火牆通常很困難。

這催生了一種新的 NFGW 部署模式:雲端防火牆,它作為雲端供應商網路上的虛擬機器運行,並且可以保護多個雲端資源。由於雲端 NGFW 是虛擬化的,因此與 NGFW 設備相比,部署更容易。

同時,雲端防火牆有重要的限制。大多數組織都有多重雲端策略,雲端防火牆需要支援所有的雲端環境。此外,如果雲端防火牆執行個體在與其保護的資源不同的可用性區域(AZ)中運行,這就會增加延遲,因為應用程式流量必須被重定向。

雲端防火牆可能比實體設備更容易維護,但是這並不是不插手—IT團隊仍然要負責配置、部署和管理它們。為了防範零日威脅,您需要對其進行修補而且部署最新的威脅簽章。最後,大多數雲端防火牆的實作不支援簇集。因此,超出單一雲端實例的容量來擴展虛擬設備是困難的。


什麼是 FWaaS?

防火牆即服務(FWaaS) 產品讓組織能夠提供邊界保護,而無需部署專用的防火牆硬體或自管理的虛擬防火牆設備。相反地,FWaaS 供應商運行全球分佈的防火牆服務,可以檢查組織運營的任何地方的流量。

FWaaS 根據需求為總部、分公司和雲端服務提供防火牆服務。它可以支援前往其他國家的行動用戶,以及需要存取組織服務的第三方。FWaaS 產品可以在所有類型的流量中實施一致的安全策略,無論來源或目的地為何皆然。


作為 SASE 的一部分而交付的 FWaaS

FWaaS 可透過單一邏輯防火牆來保護多個分散式站點,由統一的安全策略控制。它可以支援各種規模的組織,並為本地和行動用戶提供高效能存取。

這使得 FWaaS 成為 安全存取服務邊緣(SASE)架構 的基本建構區塊。SASE 正在逐漸取代傳統的廣域網路(WAN)基礎架構。它提供作為雲端服務的網絡,裹裝在一起,具有支援零信任方法的高級安全功能。這就是 FWaaS 的作用——SASE 解决方案 提供 FWaaS 和其他安全解決方案,像是 雲端存取安全代理(CASB),藉此提供一體化的網路安全解決方案。

FWaaS 透過將 NGFW 功能擴展到組織運作的任何地方—本地、雲端和邊緣,來支援現代網路。隨著 NGFW 技術的發展和新偵測與預防方法的開發,FWaaS 由服務供應商動態更新,確保組織免受最新威脅的保護。FWaaS 與網路環境的其他方面預先整合,消除配置錯誤同時降低風險。