网络安全 防火墙
防火墙
防火墙是任何网络的核心架构元素。它们旨在阻止所有网络流量,除非我们允许的流量。防火墙在第 4 层运行,通常控制对内部资产的 TCP 和 UDP 访问。下一代防火墙在 OSI 模型的所有层上运行,包括第 7 层。
进入网络的流量,例如通过防火墙的流量,称为入口流量。离开的流量称为出口流量。
第 4 层防火墙
传统防火墙是第 4 层防火墙,具有以下功能:
- NAT
- 路由
- 阻止或允许流量
- 跟踪活动网络连接
- 支持 VPN 连接
NGFW(“下一代防火墙”)
现代防火墙的功能比第 4 层防火墙广泛得多。这些功能通常是安全功能。
NGFW 防火墙也可以跟踪活动网络连接,但通常也能够跟踪:
- 通过地理位置数据库进行定位。这意味着防火墙可以根据用户的位置执行阻止或允许操作。位置服务并不总是准确的,并且经常可以使用 VPN 服务或其他服务(如攻击者的跳板机)轻松绕过。
- 用户
- 应用程序
- 会话
- 端口和服务
- IP 地址
NGFW 的其他功能包括:
- 识别和控制网络上的应用程序。
- 可以虚拟化以作为软件防火墙运行。
- 通常提供简单直观的管理。
- 支持通过(“入侵防御系统”)保护已知威胁。
- 通过沙盒解决方案检测和预防未知威胁的潜力。
- 提供管理未知流量的潜在能力,例如无法归因于应用程序的流量。
- 终止和检查加密流量的功能。
- 可以控制用户,而不仅仅是通过相应的 IP 地址控制系统。
防火墙管理
防火墙通常可以通过专有的管理应用程序或通过 Web 浏览器访问防火墙的 HTTP 管理进行管理。
防火墙的管理端口,包括组织的其他管理服务,理想情况下应与常规用户访问隔离开。理想情况下,管理服务的隔离应连接到组织的目录,例如 Windows 环境的 Active Directory。
分段
防火墙可以将主机和系统之间的流量分段,有时称为区域。每个段包含允许相互通信的服务。
与该段的任何传入或传出连接都应由防火墙仔细控制,以防止任何未经授权的连接成功建立。较小的段提供更多的隔离,但需要更多的管理。
如果没有任何分段,用户和系统可以之间直接通信,而无需防火墙强制执行。这被称为扁平化网络。
添加更多分段,我们可以设想代表服务的段,其中每个段是组织中提供的服务。每个段可以包含负责使服务运行的不同服务器。段内的通信是被允许的,但是进出该段的任何访问都由防火墙控制。
另一种分段的思路是根据功能控制段,例如将 Web 应用程序集群到一个段中,将数据库放在另一个段中,而其他类型的服务则放在各自的段中。
最安全的分段是零信任架构,强制网络上的所有系统明确允许与不同服务通信。
为了简化防火墙规则的管理,防火墙管理应理想地连接到组织的目录。这可以允许防火墙管理员根据员工职责创建谨慎的规则,使组织能够添加和删除网络上应用的权限,而无需在每次角色更改时都请求防火墙管理员进行更改。这有时称为基于用户的策略控制。例如:
- IT 管理员应能够使用管理协议访问不同的服务。
- 人力资源员工应被允许访问 HR 平台的 HTTPS。
- 帮助台员工只能访问与帮助台相关的服务。
- 无法识别的用户可以被识别并相应地进行配置。
IPS(“入侵防御系统”)和 IDS(“入侵检测系统”)
有时 IPS 和 IDS 系统作为独立的系统部署在网络上,但通常它们包含在 NGFW 中。
IPS 和 IDS 系统具有签名、算法和启发式方法来检测网络或主机上的攻击。部署在主机上的 IDS 或 IPS 称为 HIDS(“主机入侵检测系统”)。
在本课程中,IDS 和 IPS 这两个术语互换使用,因为它们之间的区别通常仅在于它们操作方式的配置。IPS 系统被定位在可以检测和阻止威胁的位置,而 IDS 系统仅能够检测威胁。
IPS 系统可用于检测和阻止攻击者,并且通常依赖于频繁的更新和对加密流量的检查。
内容和应用程序过滤
防火墙可以尝试理解哪些应用程序和内容正在穿越网络。这种检测可以进一步激活其他安全功能,如 IPS,以保护防火墙之间的系统。
URL 过滤
NGFW 还可以保护通过 HTTP 访问的内容。防火墙可以查找包含域名列表及其分类的数据库。然后,防火墙可以强制用户仅允许可接受类别的域名,例如,允许新闻,但不允许赌博。
还可以检查域名年龄和有效性等元素,阻止用户访问最近创建且尚未分类的域名,或通过分析域名内容来检查欺诈活动。
而不是拒绝访问网站,防火墙可以拦截请求并将用户发送到一个称为强制门户的页面。在此门户上,用户可能会被警告即时危险或违反公司政策(例如访问不可接受的内容)。在某些情况下,您可以允许用户提供需要访问内容的理由,然后让他们继续,如果他们提供了理由。
域名内的类别可能有很多,例如托管相关内容的网站
- 黑客攻击
- 裸体
- 暴力
- 网络钓鱼
- 约会
- 即时通讯
- 娱乐
- 匿名服务
应用程序
防火墙可以尝试确定正在使用哪些应用程序,而不仅仅是协议。许多协议能够承载其他应用程序,例如 HTTP 可以承载数千种不同的应用程序。防火墙可以尝试解码第 4 层的网络流,并尝试确定第 7 层呈现的内容。
屏幕截图显示了当一个应用程序被阻止时用户可能会看到的内容。
内容控制
随着应用程序被识别,防火墙可以尝试揭示应用程序内的特定内容,例如正在下载的内容
- Word 文档
- 可执行文件
- 源代码
- 脚本
在这些文件中,防火墙可以尝试识别恶意软件、不应离开网络的专有和机密信息等等。
防火墙可以支持许多不同的协议以及其上的内容,例如
- HTTP
- SMB
- FTP
- IMAP & POP3
- SMTP
沙盒
在此上下文中,沙盒意味着在一个平台上执行文件,这些文件可能是恶意的。沙盒会记录和监控文件的活动,以确定它是否恶意。
沙盒通常允许防火墙将可执行文件转发到此平台,并在决定文件是否恶意之前阻止用户下载该文件。
现代沙盒可以在多个不同平台上运行文件,例如
- Windows 7、8 和 10。
- Android 手机。
- Linux
有趣的可执行和探索的文件不仅仅是可执行文件。许多文件都能够在我们用户的操作系统上执行恶意操作
- 包含要运行内容的 ZIP 文件
- Office 文档
- PDF 文件
- Java 应用程序
- JavaScript
- 屏幕保护程序
有许多在线沙盒您可以自己尝试,除了 NGFW 可以提供的之外
- https://www.joesandbox.com/
- https://www.virustotal.com/
- https://www.hybrid-analysis.com/
- https://any.run/
也有一些您可以自己安装的沙盒,例如
- https://cuckoosandbox.org/
解密流量
许多防火墙支持安装证书,这些证书允许解密流量。如果内容被解密,就可以检查内容是否存在威胁。
解密可以在出口或入口流量上进行,或两者都进行。对于入口流量,防火墙可以保护服务器免受传入流量的侵害。出口流量允许防火墙保护需要出站通信的用户和系统。
防火墙通常会避免解密医疗保健和金融数据等流量,因为这可能涉及隐私和其他问题。解密流量需要组织付出更多努力来将密钥分发给客户端,这些密钥由防火墙用于解密流量。
未知流量
有些流量无法被防火墙解密或完全理解。可能存在多种原因,例如专有应用程序发送了防火墙不知道的数据。此类流量也可归类为未知。防火墙管理员应考虑阻止此类应用程序,特别是来自被视为高风险的网络。
WAF(“Web 应用程序防火墙”)
虽然防火墙可以做得不错,但它们通常缺乏对协议功能的完全理解。因此,也开发了协议特定的防火墙,其中 WAF 是更常见的之一。
WAF 提供了比普通防火墙更多的针对 HTTP 协议的功能,使其更能够阻止威胁。
虽然 WAF 在阻止 HTTP 威胁方面做得很好,但它通常还为组织提供了其他非常有用的实用程序,使其不仅仅是阻止威胁。以下是一些示例:
- WAF 可以帮助构建冗余,即拥有多个服务器来提供相同的服务。这使得组织能够以更高的可用性模式提供服务,允许他们离线一个服务器,而其他服务器仍然能够服务尝试访问该服务的用户。这很有用,因为诸如修补程序之类的概念通常需要您重新启动服务,而冗余使用户仍然可以访问服务。
- WAF 可以帮助强制执行最佳安全规则,例如在一个地方维护和强制执行加密、多因素身份验证以及本课程涵盖的其他概念。
- 它可以用于为 WAF 后面的多个 Web 服务器开发一个统一的前端和保护机制。
