0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

下一代防火墙:不仅仅是ACL过滤器

贾虎世 来源:广州洋钒 作者:广州洋钒 2023-01-10 16:14 次阅读

几十年来,基于网络的防火墙提供了必不可少的第一道防线。这些设备位于受信任和不受信任的网络之间,并管理(通常是复杂的)规则集,这些规则集指示它们根据流量的来源、目的地和类型是允许还是阻止流量。要创建有效的规则集,防火墙管理员必须准确了解其环境的设备和应用程序以及它们所依赖的协议和端口。这些规则集中的错误可能会导致网络连接丢失;因此,在对两个设备之间的网络连接进行故障排除时要“首先检查防火墙”。错误可能会使敏感系统暴露在互联网上或阻止对关键公司职能的访问。除了复杂的规则集,网络流量配置文件在过去十年中也发生了变化。大多数新应用程序使用超文本传输协议 (HTTP) 和安全超文本传输协议 (HTTPS),并且端口 80(分配给 HTTP 的端口)和端口 443(网站使用安全套接字层 (SSL) 的端口)分别过载。恶意软件也试图隐藏在这些端口上。即使您掌握传统防火墙的规则集管理,它也可能无法检查和阻止其中一些现代威胁。幸运的是,现代商业和开源防火墙包括更好的管理和智能,可帮助您从一些平凡的规则管理任务中解脱出来,同时为这些高流量端口提供急需的监管。

防火墙最初只是简单的过滤器,可以根据来源、目的地和协议来阻止和允许网络流量。这些防火墙通常是具有两个或更多网络接口的物理设备,这些接口在逻辑上将网络划分为区域——例如,互联网和内部企业网络。随着时间的推移,防火墙添加了网络地址转换 (NAT)、动态主机配置协议 (DHCP) 和域名服务器 (DNS) 服务等支持服务,试图将它们定位为“一体化”设备。即使是这些防火墙上最简单的规则,也需要管理员了解基础设施服务和网络概念(例如网络寻址、端口和协议)的基础知识。当防火墙供应商开始添加虚拟专用网络、端口转发和服务器发布时,防火墙和规则的复杂性增加了。所有这些服务和概念仍然是现代防火墙中的重要功能,但许多现在包括更高级的功能,如加密通信检查以及应用程序智能,以支持应用程序层的安全策略决策。

出于多种原因,仅通过协议严格管理网络流量已不再足够。

首先,大多数基于云的软件即服务应用程序和物联网 (IoT) 设备通过 HTTP 进行通信,如果它们精通安全性,则通过加密的 HTTPS 进行通信。过去,防火墙管理员可能仅基于入站或出站 HTTP 和 HTTPS 来构建规则,以试图管理 Internet 网络冲浪。同样,他们可能会为文件传输寻址 FTP(端口 20/21)和通过 Secure Shell (SSH)(端口 22)或终端服务(端口 3389)进行远程访问创建防火墙规则。防火墙管理员会为大多数使用特定协议的应用程序分配相应的端口,这使他们能够通过规范该协议的使用来管理这些应用程序。发生了转变,如今许多应用程序——无论是网上冲浪、文件传输还是远程访问——都使用 HTTP 或 HTTPS,

其次,应用程序现在经常加密其有效负载,如果没有更先进的技术,几乎不可能进行数据包检查。

第三,像 DNS 和 NTP(网络时间协议)这样的关键支持协议通常被列入白名单,并允许在网络安全区域之间不受限制地通过。攻击者也知道这一点,并开始劫持这些端口——无论是将他们的通信隐藏在加密之后,还是发出伪造的 DNS“请求”来隐藏被盗的公司机密。

防火墙供应商不断发展他们的产品,以通过现有技术和新技术的进步来帮助解决这些问题。

加密

现代防火墙技术利用更快的处理器和分布式架构,允许它们动态解密-检查-加密通过它的加密流量。这允许在防火墙上解密 HTTPS 和 SSH 流量,根据定义的标准检查有效负载,并决定是阻止流量还是重新加密并交付它。为了减轻隐私问题并遵守地缘政治要求,请寻找可让您定义特定策略元素的防火墙功能,以便您可以确定可以解密哪些类型的通信以及哪些必须保密。

应用感知规则

防火墙通过区分网络通信流中包含的特征来区分和调节流量,从而得以生存和生存。应用程序感知防火墙(包括 Web 应用程序防火墙)允许防火墙更深入地研究特定协议(如 HTTP),以确定使用该协议的应用程序是否合法并获得批准。这些技术可以检测并阻止劫持其他协议进行自身通信的恶意应用程序。以一个试图通过端口 53 (DNS) 联系另一个命令和控制服务器的恶意软件为例。在第 4 层(传输层)配置为允许端口 53 流量的传统防火墙规则可能会允许此恶意软件通过。然而,应用程序感知防火墙在第 7 层(应用程序层)检查相同的数据包,可能能够确定它在端口 53 上检测到的流量并不代表真正的 DNS 通信,并将其标记为非法流量并阻止它。具有应用程序检测功能的防火墙还可以区分不同的应用程序,例如是否阻止社交媒体或点对点文件传输应用程序,即使它们都使用 HTTP。基于 IP 和 DNS 信息将网站列入黑名单和白名单并不新鲜,但现在防火墙可以根据有效负载本身识别和分类应用程序,而不仅仅是依赖目的地数据库。具有应用程序检测功能的防火墙还可以区分不同的应用程序,例如是否阻止社交媒体或点对点文件传输应用程序,即使它们都使用 HTTP。基于 IP 和 DNS 信息将网站列入黑名单和白名单并不新鲜,但现在防火墙可以根据有效负载本身识别和分类应用程序,而不仅仅是依赖目的地数据库。具有应用程序检测功能的防火墙还可以区分不同的应用程序,例如是否阻止社交媒体或点对点文件传输应用程序,即使它们都使用 HTTP。基于 IP 和 DNS 信息将网站列入黑名单和白名单并不新鲜,但现在防火墙可以根据有效负载本身识别和分类应用程序,而不仅仅是依赖目的地数据库。

基于对象的规则

基于对象定义网络策略有助于简化您必须直接管理的规则集。例如,定义一个名为“web 服务器”的新对象可能更容易,它本身包含所有单独的 web 服务器对象。然后,您可以创建一个规则,允许通过“网络协议”对象从“互联网”区域访问“网络服务器”对象。对于人类来说,这意味着可能只需要管理一个防火墙规则。可以快速验证对象成员资格以及该对象中包含的适当“网络协议”列表。当 Web 服务器来来去去或 IP 地址发生变化时,您可以更新各个 Web 服务器对象的清单,并确保规则会自动更新以反映最新更改。审计员也喜欢这样,因为他们可以看到哪些对象是哪些组的成员以及该组拥有哪些权限。与滚动浏览由 IP 地址和协议端口号定义的单个防火墙规则行相比,这种基于对象的方法还可能更容易发现差距或错误。

身份

传统防火墙依靠 IP 地址来构建规则。虽然 IP 地址仍然是识别特定设备通信的常用属性,但它可能不足以将活动与人相关联。无线访问、移动用户、虚拟化容器、IPv4 与 IPv6 寻址以及云部署都使得将操作归因于 IP 地址变得更加困难。功能更强大的防火墙可以识别联合身份和目录服务并与之集成,以在允许访问之前对用户进行身份验证。

指标和测量

直接内置于防火墙中的商业智能软件有助于防火墙管理,并显着扩展报告功能,超越臭名昭著的“顶级谈话者”报告。这些工具允许防火墙管理员将网络通信数据动态地转换和分割成可操作的报告,并且在许多情况下,这些报告可以被深入挖掘以揭示隐藏的洞察力。

云和分布式部署

随着越来越多的组织将基础架构即服务 (IaaS) 集成到其传统的本地模型中,虚拟化防火墙解决方案变得必不可少。主要的云供应商提供防火墙和网络安全功能;但是,与某些独立防火墙相比,这些防火墙和网络安全功能可能会有所欠缺。大多数防火墙供应商现在都提供基于云的防火墙,这些防火墙与他们的本地网络防火墙和基于主机的防火墙相链接,以创建一个由单一安全策略管理的跨平台防火墙服务。

防火墙将继续在隔离网络方面发挥核心作用。随着网络和云应用的成熟,看到这些核心技术的发展是一个激动人心的时刻。您可能会通过高额订阅费为尖端防火墙服务支付额外费用;然而,这些领先技术将继续激发开源和更广泛访问的防火墙技术的创新。

关键点:

防火墙技术不断发展以跟上新的攻击者技术。

应用程序智能和用户身份验证服务进一步帮助防火墙区分实际用户流量。

下一代防火墙通过灵活、强大且通常直观的对象模型和用户界面将防火墙管理员从管理复杂规则中抽象出来。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 防火墙
    +关注

    关注

    0

    文章

    416

    浏览量

    35594
  • ACL
    ACL
    +关注

    关注

    0

    文章

    61

    浏览量

    11964
收藏 人收藏

    评论

    相关推荐

    文理解布隆过滤器和布谷鸟过滤器

    是否存在集合中 。布隆过滤器并不存储集合中的所有元素,而是存储元素的哈希表示,因此牺牲了些精确性: 当布隆过滤报告某元素在集合中不存在时,那么它定不存在;报告某元素存在时,允许出现
    的头像 发表于 11-07 10:10 620次阅读
    <b class='flag-5'>一</b>文理解布隆<b class='flag-5'>过滤器</b>和布谷鸟<b class='flag-5'>过滤器</b>

    云服务器防火墙设置方法

    云服务器防火墙的设置方法通常包括:第步:登录控制台,第二步:配置安全组规则,第三步:添加和编辑规则,第四步:启用或停用规则,第五步:保存并应用配置。云服务器防火墙的设置是确保网络安全的重要步骤之
    的头像 发表于 11-05 09:34 143次阅读

    硬件防火墙和软件防火墙区别

    电子发烧友网站提供《硬件防火墙和软件防火墙区别.doc》资料免费下载
    发表于 10-21 11:03 1次下载

    优化TPS62097 Output过滤器

    电子发烧友网站提供《优化TPS62097 Output过滤器.pdf》资料免费下载
    发表于 10-08 11:19 0次下载
    优化TPS62097 Output<b class='flag-5'>过滤器</b>

    康谋分享 | ADTF过滤器全面解析:构建、配置与数据处理应用

    送数据。接下来,将分享ADTF中创建和使用过滤器,包括设置输入输出针脚(Pins)、配置触发器(Triggers)以及处理数据样本(Samples)。过滤器基础过
    的头像 发表于 09-18 09:42 2451次阅读
    康谋分享 | ADTF<b class='flag-5'>过滤器</b>全面解析:构建、配置与数据处理应用

    物通博联工业智能网关实现防火墙配置及应用

    增强工业网络的安全性与防护能力。 以下介绍物通博联工业智能网关WG585配置防火墙功能的操作,通过编写ACL访问控制列表,过滤掉来自某个主机IP的报文。 主机IP地址: 网关WAN口IP地址: 在配置
    的头像 发表于 09-14 17:11 305次阅读
    物通博联工业智能网关实现<b class='flag-5'>防火墙</b>配置及应用

    J721E DDR防火墙示例

    电子发烧友网站提供《J721E DDR防火墙示例.pdf》资料免费下载
    发表于 08-23 09:26 0次下载
    J721E DDR<b class='flag-5'>防火墙</b>示例

    深信服防火墙和IR700建立IPSec VPN的配置说明

    深信服防火墙和IR700建立IPSec VPN 配置说明本文档针对深信服防火墙 的常规使用以及与无线路由器InRouter配合使用时(主要是建IPSec VPN)双方的相关配置而编写注:并未
    发表于 07-26 07:43

    信号分析和过滤器的作用

    在通信、电子工程、计算机科学等多个领域,信号分析与过滤器扮演着举足轻重的角色。信号分析不仅涉及信号的获取、处理、分析和判断,更是从复杂的信号中提取有用信息,进行精确解读的关键过程。而过滤器,作为
    的头像 发表于 05-16 17:20 643次阅读

    工业防火墙是什么?工业防火墙主要用在哪里?

    工业防火墙种专为工业控制系统(Industrial Control Systems, ICS)设计的网络安全设备,它结合了硬件与软件技术,用以保护工业生产环境中的关键基础设施免受网络攻击。工业
    的头像 发表于 03-26 15:35 1197次阅读

    防火墙双机热备命令行配置方案

    部署防火墙双机热备,避免防火墙出现单点故障而导致的网络瘫痪
    的头像 发表于 01-02 09:45 910次阅读
    <b class='flag-5'>防火墙</b>双机热备命令行配置方案

    【Web点通】新一代华为防火墙Web界面,让面板更智能

    相关阅读 【Web点通】新一代华为防火墙Web界面,让安全策略更易用 点击“阅读原文”,了解更多华为数据通信资讯! 原文标题:【Web点通】新
    的头像 发表于 12-26 19:10 642次阅读
    【Web<b class='flag-5'>一</b>点通】新<b class='flag-5'>一代</b>华为<b class='flag-5'>防火墙</b>Web界面,让面板更智能

    前置过滤器的使用寿命有多长?

    前置过滤器的使用寿命有多长? 前置过滤器的使用寿命有多长,这是个相对而言的概念,因为它的使用寿命取决于多个因素。下面将详细介绍前置过滤器的使用寿命以及影响因素。
    的头像 发表于 12-11 11:38 1105次阅读

    springboot过滤器和拦截器哪个先执行

    Spring Boot是个用于构建Java应用程序的开发框架,它提供了许多功能和工具来简化开发和部署过程。其中两个重要的功能是过滤器和拦截器。本文将详细介绍Spring Boot过滤器和拦截器
    的头像 发表于 12-03 15:00 2432次阅读

    什么是SPI?SPI防火墙的优点

    SPI防火墙(Stateful Packet Inspection Firewall)是种用于网络安全的防火墙技术。SPI防火墙种全状
    的头像 发表于 11-29 09:42 823次阅读