每每当我们提及到网络安全的时候, 不可避免的需要考虑到防火墙的配置。我们通常用防火墙来隔离两个或者几个区域,每个区域具备不同的安全级别或者不同的使用目的。在使用防火墙的时候, 我们首先考虑的是在内部和外部的边界处,启用防火墙进行网络安全防护,其实在每两个不同的地址段之间我们都需要有一个适当的设备进行网络流量控制。网络流量控制的粒度越细,安全的防护效果越好,但是副作用就是会增加变更的频率和误杀的可能性。
防火墙从类型上来说, 包含包过滤型,应用防火墙还有状态包检测防火墙。我们目前最常用的硬件防火墙基本上都具备状态包检测的功能。状态包检测防火墙, 不仅仅是根据ACL中指定的permit和deny来控制网络流量,他还能对通信的状态进行维护,还能对包进行深度检测。针对包的深度检测, 很多时候我们可以依赖工具对数据流量信息进行修改, 比如我们可以使用80作为http通信的默认端口, 我们也可以修改SSH或者ftp的通信端口,使他们通过80端口进行通信。这个配置在技术上是可行的, 如果只是针对源目地址还有源目端口进行过滤,可能无法禁用掉ftp或者SSH。但是状态包检测防火墙可以针对数据包进行深度检查,不同的服务使用不同的包结构。ftp或者SSH虽然可以通过80端口进行通信, 但是包结构不同,防火墙还是能有效隔离这些异常数据包,从而保护网络。
但是状态包检测防火墙还是有自己的局限性,他们很多时候都是针对3,4层的通信流量。针对越来越多的应用层威胁,比如网站攻击或者病毒传播,他们就无能为力了。这时候,防火墙又集成了应用层的功能, 能够探测到来自应用层的威胁, 检查文件传输中的病毒威胁, 我们称这类防火墙为下一代防火墙NGfirewall。基本上各个厂家都提供了NGFW,但是通常需要购买额外的license来打开应用层或者病毒检测功能。个人觉得NG防火墙是把IPS的功能集成到了传统防火墙之中,由于有了对应用层的支持, 所以硬件性能需要足够强,才能有效防范来自不同区域的威胁。
硬件防火墙毫无疑问都是商业化的解决方案, 很好也很贵,也很必要!
对于我们理解防火墙的功能,假设整体信息安全体系来说,我们可以利用开源的防火墙来深化自己对于网络安全的理解。
防火墙从位置上,我们可以分为两种。一个是网络防火墙, 布设在网络边界的位置(虽然边界被不断的突破),另一个就是终端防火墙。我们不能说谁能取代谁,从整体安全上来说网络防火墙起的作用跟大一点,从灵活性上来说,主机防火墙相对更灵活,可以做个体化设置。通常我们用的操作系统都自带防火墙,比如windows防火墙,Linux iptables 等等。今天我们重点看一下开源的openbsd防火墙。
首先我们
最低0.47元/天 解锁文章
362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
