网络安全 防火墙
防火墙
防火墙是任何网络的核心架构元素。它们旨在阻止所有网络流量,除了我们允许的流量。防火墙在第 4 层运行,通常控制对内部资产的 TCP 和 UDP 访问。下一代防火墙在 OSI 模型的所有层运行,包括第 7 层。
进入网络的流量(例如通过防火墙)称为入站流量。离开的流量称为出站流量。
第 4 层防火墙
传统防火墙是第 4 层防火墙,具有以下功能
- NAT
- 路由
- 阻止或允许流量
- 跟踪活动网络连接
- 支持 VPN 连接
NGFW(“下一代防火墙”)
现代防火墙的功能范围远远超过第 4 层防火墙。这些功能通常是安全功能。
NGFW 防火墙也可以跟踪活动网络连接,但通常还能够跟踪
- 通过地理位置数据库进行定位。这意味着防火墙可以根据用户的位置采取阻止或允许的操作。位置服务并不总是准确的,并且通常可以通过使用 VPN 服务或使用其他服务(如跳转站)来轻松绕过。
- 用户
- 应用程序
- 会话
- 端口和服务
- IP 地址
NGFW 的其他功能包括
- 识别和控制网络上的应用程序。
- 它可以虚拟化为软件防火墙。
- 通常提供简单直观的管理。
- 支持通过(“入侵防御系统”)抵御已知威胁。
- 通过沙箱解决方案检测和阻止未知威胁的可能性。
- 提供管理未知流量的可能性,例如无法归因于应用程序的流量。
- 终止和检查加密流量的能力。
- 可以通过各自的 IP 地址控制用户,而不仅仅是系统。
防火墙管理
防火墙通常可以通过专有的管理应用程序或通过 Web 浏览器通过 HTTP 访问防火墙的管理来管理。
防火墙的管理端口(包括组织的其他管理服务)应该理想情况下与常规用户访问隔离开来。理想情况下,管理服务的隔离应连接到组织的用户目录,例如 Windows 环境的 Active Directory。
分割
防火墙可以将主机和系统之间的流量分成段,有时称为区域。每个段都包含允许相互通信的服务。
防火墙应仔细控制对该段的任何连接或来自该段的任何连接,防止任何未经授权的连接成功连接。较小的段提供更多隔离,但需要更多管理。
如果没有任何分段,用户和系统可以直接相互通信,而无需防火墙的强制执行。这称为扁平网络。
添加更多分段,我们可以设想代表服务的段,其中每个段都是组织提供的服务。每个段可以包含使服务正常运行的不同服务器。允许段内的通信,但防火墙控制对段的任何进出访问。
另一个分段理念是根据其功能来控制段,例如将 Web 应用程序与其他 Web 应用程序一起聚类到一个段中,将数据库聚类到一个段中,将其他类型的服务聚类到其自己的段中。
最安全、最安全的分割类型称为零信任架构,它强制网络上的所有系统明确允许与不同的服务通信。
为了简化防火墙规则的管理,防火墙管理应理想情况下连接到组织的用户目录。这可以让防火墙管理员根据员工职责创建谨慎的规则,允许组织添加和删除应用于网络的权限,而无需在每次角色变更时向防火墙管理员请求更改。这有时被称为基于用户的策略控制。示例包括
- IT 管理员应该能够使用管理协议访问不同的服务。
- 人力资源员工应该被允许访问人力资源平台的 HTTPS。
- 技术支持员工只能访问与技术支持相关的服务。
- 可以识别和相应地配置无法识别的用户。
IPS(“入侵防御系统”)和 IDS(“入侵检测系统”)
有时 IPS 和 IDS 系统作为独立的系统部署在网络上,但通常它们包含在 NGFW 中。
IPS 和 IDS 系统具有签名、算法和启发式算法来检测网络或主机的攻击。在主机上部署的 IDS 或 IPS 称为 HIDS(“主机入侵检测系统”)。
在本课程中,IDS 和 IPS 术语可以互换使用,因为它们之间的区别通常只是它们操作方式的配置问题。IPS 系统的位置使其能够检测和阻止威胁,而 IDS 系统只能检测威胁。
IPS 系统可用于检测和阻止攻击者,并且通常依赖于加密流量中的频繁更新和检查。
内容和应用程序过滤
防火墙可以尝试了解哪些应用程序和内容正在穿越网络。这种检测可以进一步激活其他安全功能,例如 IPS,以保护防火墙之间的系统。
URL 过滤
NGFW 还可以保护通过 HTTP 访问的内容。防火墙可以查看包含域名列表及其各自分类的数据库中的域名。然后,防火墙可以强制执行用户只能允许可接受的域名类别,例如允许新闻但不允许赌博。
还可以检查域名年龄和有效性,防止用户访问最近创建尚未分类的域名,或通过分析域名内容来检查欺诈活动。
防火墙可以拦截请求,并将用户发送到所谓的专用 Web 门户,而不是拒绝访问网站。在这个门户上,可以提醒用户存在直接危险或违反公司政策,例如访问不可接受的内容。在某些情况下,您可以允许用户提供访问内容的原因,然后在他们提供原因后让他们继续。
域名内的类别可以很多,例如托管以下内容相关的网站
- 黑客
- 裸体
- 暴力
- 网络钓鱼
- 约会
- 即时通讯
- 娱乐
- 匿名服务
应用程序
防火墙可以尝试确定正在使用的应用程序,而不仅仅是协议。许多协议能够承载其他应用程序,例如 HTTP 可以容纳数千种不同的应用程序。防火墙可以尝试解码第 4 层的网络流,并尝试确定在第 7 层呈现的内容。
屏幕截图显示了应用程序被阻止时用户可能看到的内容。
内容控制
随着应用程序的识别,防火墙可以尝试揭示应用程序中的特定内容,例如正在下载的内容
- Word 文档
- 可执行文件
- 源代码
- 脚本
在这些文件中,防火墙可以尝试识别恶意软件、不应离开网络的专有和机密信息等等。
防火墙可以支持许多不同的协议和通过它们的运行内容,例如
- HTTP
- SMB
- FTP
- IMAP 和 POP3
- SMTP
沙箱
在这种情况下,沙箱意味着有一个平台执行可能存在恶意软件的文件。沙箱记录和监视文件的活动,以查看它是否恶意。
沙箱通常允许防火墙将可执行文件转发到此平台,并阻止用户下载文件,直到确定文件是否恶意。
现代沙箱具有在多个不同平台上运行文件的能力,例如
- Windows 7、8 和 10。
- Android 手机。
- Linux
在沙箱中执行和探索的文件不仅仅是可执行文件。许多文件能够对我们用户的操作系统执行恶意操作
- 包含要运行内容的 ZIP 文件
- Office 文档
- PDF 文件
- Java 应用程序
- JavaScript
- 屏幕保护程序
除了 NGFW 可以提供的之外,还有许多在线沙箱可以供您自己尝试
- https://www.joesandbox.com/
- https://www.virustotal.com/
- https://www.hybrid-analysis.com/
- https://any.run/
您也可以自己安装沙箱,例如
- https://cuckoosandbox.org/
解密流量
许多防火墙支持安装证书,允许解密流量。如果内容被解密,则可以检查内容是否存在威胁。
解密可以在出站流量或入站流量,或两者上进行。对于入站流量,防火墙可以保护服务器免受传入流量的攻击。出站流量允许防火墙保护需要进行出站通信的用户和系统。
防火墙通常会避免解密诸如医疗保健和金融数据之类的流量,因为这可能对隐私和其他方面产生影响。流量解密需要组织付出更多努力,将密钥分发给客户端,这些密钥由防火墙用于解密流量。
未知流量
防火墙无法完全解密或理解某些流量。原因很多,例如,专有应用程序发送防火墙不知道的数据。此类流量也可以归类为未知流量。防火墙管理员应该考虑阻止此类应用程序,尤其是来自被认为存在高风险的网络的应用程序。
WAF(“Web 应用程序防火墙”)
虽然防火墙可以完成相当好的工作,但它们通常缺乏对协议功能的全面了解。因此,也开发了特定于协议的防火墙,其中 WAF 是最常见的防火墙之一。
WAF 允许比普通防火墙更多特定于 HTTP 协议的功能,使其更能阻止威胁。
虽然 WAF 试图在阻止 HTTP 上的威胁方面做得很好,但它通常为组织提供其他非常有用的工具,使其不仅仅是阻止威胁,而是变得非常可行。以下是一些示例:
- WAF 可以帮助构建冗余,即拥有多个服务器来提供相同的服务。这允许组织以更高的可用模式拥有服务,使他们能够将服务器下线,而其他服务器仍然能够为尝试访问服务的用户提供服务。这很有用,因为诸如修补之类的概念通常要求您重新启动服务,而冗余允许用户仍然访问服务。
- WAF 可以帮助执行最佳实践安全规则,例如一个地方来维护和执行加密、多因素身份验证和本课程涵盖的其他概念。
- 它可用于为位于 WAF 后面的多个 Web 服务器开发一个单一的前端和保护机制。
