国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★北京抖音信息服務有限公司嵇海麗周

關鍵詞：防火墻；安全管理；策略；風險評估；路徑；研究

互聯網不僅改變著我們的生活方式，還為全球連通性、無限可能性和現代便利性打開了一扇“仰望星空、觸摸世界”的大門。近年來，網絡威脅已發生新的變化，惡意軟件威脅變得日益嚴重，例如特洛伊木馬和勒索軟件等惡意病毒軟件，通過欺詐性電子郵件附件和欺騙性網站進行廣泛傳播，目的是獲取和破壞敏感信息和勒索錢財等。為滿足安全域間的防護以及安全訪問控制措施，設置防火墻成為人們網絡安全防護的“第一道防線”。

1　防火墻功能和工作原理

防火墻既可以是軟件工具，也可以是軟件和硬件組成的系統。它是處于安全的網絡（通常是內部局域網）和不安全的網絡之間的屏障，可以根據系統管理員設置的訪問控制規則，通過既定規則過濾傳入和傳出的網絡流量，進行實時監視安全設備系統保護內部網絡安全。防火墻通常內置于操作系統中，可以根據多個條件篩選網絡流量，包括源和目標IP地址、IP協議或源和目標端口令等?！霸础敝傅氖恰皣L試建立的連接來自哪里”。“目標”指的是“嘗試建立的連接到哪里”。它們實質上就是監視網絡流量并檢測潛在威脅的安全設備或程序，目的是將惡意文件和病毒在公共網絡上傳播的風險降至最低。

根據設置，防火墻可以保護單臺計算機或整個計算機網絡。設備根據預定義規則檢查傳入和傳出流量。防火墻對數據流有三種處理方式：允許數據流通過、拒絕數據流通過和將這些數據流丟棄。設置防火墻有三個基本要求：所有進出網絡的數據流都必須經過防火墻；只允許經過授權的數據流通過防火墻；防火墻自身對入侵是免疫的?；ヂ摼W的通信主要通過從發送方請求數據并將其傳輸到接收方。由于無法整體發送數據，因此將其分解為組成初始傳輸實體的可管理數據包，防火墻的作用是檢查往返主機的數據包，每個數據包均包含一個標頭（控制信息）和有效負載（實際數據），標頭提供有關發送方和接收方的信息。在數據包可以通過定義的端口進入內部網絡之前，它必須經過防火墻。這種轉移取決于它攜帶的信息以及它與預定義規則的對應關系。例如，防火墻可以具有排除來自指定IP地址的流量的規則。如果防火墻接收到標頭中具有該IP地址的數據包，則防火墻拒絕訪問。同樣，防火墻可以拒絕對除已定義的受信人員之外的任何人的訪問。有多種方法可以配置安全設備，對現有系統保護程度取決于防火墻的類型。

2　防火墻的類型及特性

盡管各類型防火墻都可以防止未經授權的訪問，防火墻結構不同，操作方法可能就有很大差異。根據防火墻的結構，可以將防火墻分為三種類型：一是軟件防火墻類型；二是硬件防火墻類型；三是其它防火墻類型，可以將它概述為軟件或硬件的防火墻技術。

2.1　軟件防火墻

軟件防火墻直接安裝在主機設備上，這種類型的防火墻也稱為主機防火墻。由于它連接到特定設備，因此必須利用其資源來工作。軟件防火墻的優勢在于可以在過濾傳入和傳出流量的同時區分程序。因此，它們可以拒絕訪問一個程序，同時又允許訪問另一個程序。軟件防火墻保護也存在局限性，它們必須安裝在網絡中的每臺計算機上。因此，它不可避免地要占用系統的某些RAM和CPU，會消耗關鍵的算力和內存。如果有多個設備，則需要在每個設備上安裝軟件。由于它需要與主機兼容，因此需要對每個主機進行單獨配置，從而影響用戶體驗。

2.2　硬件防火墻

硬件防火墻是安全設備，是放置在內部和外部互聯網間的單獨硬件。此類型也稱為設備防火墻。與軟件防火墻不同，硬件防火墻具有其資源，并且不會占用主機設備的任何CPU或RAM。它是一種物理設備，充當用于進出內部網絡的流量的網關，擁有在同一網絡中運行多臺計算機的中型和大型組織都使用它們。在這種情況下，使用硬件防火墻比在每個設備上安裝單獨的軟件更為實際。配置和管理硬件防火墻，需要專業知識和技能。

2.3　其它防火墻

其它防火墻可以概述為軟件或硬件的防火墻技術。

2.3.1　包過濾防火墻。根據防火墻的操作方法劃分防火墻類型時，其最基本的類型是數據包或包過濾防火墻。包過濾防火墻是我們所謂的“在線防御”，它用作連接到路由器或交換機的內聯安全檢查點。數據包過濾技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱為訪問控制表。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素，或它們的組合來確定是否允許該數據包通過。它通過傳入數據包攜帶的信息過濾來監視網絡流量。每個數據包包括一個標頭和它發送的數據。此類防火墻根據標頭信息決定是允許還是拒絕訪問數據包。為此，它將檢查協議、源IP地址、目標IP、源端口和目標端口。根據數字與訪問控制列表的匹配方式（定義所需/不需要的流量的規則），數據包將繼續傳遞或丟棄。如果數據包不符合所有必需的規則，則將不允許它到達系統。數據包過濾防火墻是一種快速解決方案，不需要大量資源。關于包過濾防火墻優缺點、保護等級詳見表1。

表1 包過濾防火墻優缺點、保護等級

2.3.2　電路級網關（防火墻）。電路級網關是一種在OSI模型的會話層工作的防火墻，它遵守TCP（傳輸控制協議）連接和會話，主要功能是確保已建立的連接是安全的。在大多數情況下，電路級網關防火墻內置于某種類型的軟件或已經存在的防火墻中。像包過濾防火墻一樣，它不檢查實際數據，只檢查有關交易的信息。電路級網關非常實用，易于設置，并且不需要單獨的代理服務器。關于電路級網關（防火墻）優缺點、保護等級詳見表2。

表2 電路級網關（防火墻）優缺點、保護等級

2.3.3　狀態檢查防火墻。由于整個惡意軟件行業都專注于創建避開檢測網格的變體，因此需要一種能夠檢查每個軟件包內容的防火墻。狀態檢查防火墻或多或少地相當于海關官員的IT部門，負責檢查每個包裹和手提箱，然后所有者才能將其取回并開展業務。狀態檢查防火墻通過監視TCP3跟蹤連接狀態，可以跟蹤整個連接-從頭到尾-僅允許預期的返回流量入站。啟動連接并請求數據時，狀態檢查將建立數據庫（狀態表）并存儲連接信息。在狀態表中，它記下每個連接的源IP、源端口、目標IP和目標端口。使用狀態檢查方法，可以動態創建防火墻規則以允許預期的流量。此類防火墻用作附加安全性。與無狀態過濾器相比，它執行更多檢查，并且更安全。但是，與無狀態或數據包篩選不同，有狀態防火墻檢查跨多個數據包而不只是標頭傳輸的實際數據。因此，它們還需要更多的系統資源。關于狀態檢查防火墻優缺點、保護等級詳見表3。

表3 狀態檢查防火墻優缺點、保護等級

2.3.4　代理防火墻。代理防火墻可視為包過濾防火墻和電路級網關的最愛，用技術術語說，此數據包檢查技術在客戶端（您的計算機）與互聯網的其余部分之間插入了啟用防火墻的代理服務器，充當通過互聯網通信的內部和外部系統之間的中間設備，通過轉發來自原始客戶端的請求并將其掩蓋為自己的網絡來保護網絡。代理的意思是充當替代者，因此，代理就發揮了作用。它代替了發送請求的客戶端。當客戶端發送訪問網頁的請求時，代理服務器將與該消息相交。代理將消息轉發到Web服務器，假裝是客戶端。這樣做可以隱藏客戶端的標識和地理位置，從而保護其不受任何限制和潛在的攻擊。然后，Web服務器做出響應，并將請求的信息提供給代理，該信息將傳遞給客戶端。關于代理防火墻優缺點、保護等級詳見表4。

表4 代理防火墻優缺點、保護等級

2.3.5　下一代防火墻。下一代防火墻（Next Generation Firewall，NGFW），是一款可以全面應對應用層威脅的高性能防火墻，它將傳統防火墻與其他網絡設備過濾功能相結合，例如使用在線深度包檢查（DPI）的應用防火墻，入侵防御系統（IPS）；也可以采用其他技術，例如TLS/SSL加密的流量檢查、網站過濾、QoS/帶寬管理、防病毒檢查和第三方身份管理集成（即LDAP，RADIUS，Active Directory）。通過深入洞察網絡流量中的用戶、應用和內容，并借助全新的高性能單路徑異構并行處理引擎，NGFW能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業務并簡化用戶的網絡安全架構。它結合了許多其他防火墻功能的安全設備，合并了數據包、狀態和深度數據包檢查。簡而言之，NGFW會檢查數據包的實際有效負載，而不是僅關注標頭信息。它與傳統防火墻不同，下一代防火墻檢查數據的整個事務，包括TCP握手、表面級別和深度包檢查。使用NGFW可以充分防御惡意軟件攻擊、外部威脅和入侵。這些設備非常靈活，并且沒有明確定義它們提供的功能。關于下一代防火墻優缺點、保護等級詳見表5。

表5 下一代防火墻優缺點、保護等級

2.3.6　云防火墻。集中管理互聯網與移動云VPC間的訪問控制，可自定義防火墻規則，提供對用戶內部網絡的整體安全防護。云防火墻分布式部署在每一個計算節點上，消除集中化部署，避免單點故障和性能瓶頸，為用戶提供分層次、全方位、可擴展的安全隔離和安全防護，以及互聯網訪問VPC的安全防護。通過管理界面可輕松創建云防火墻和防護規則，虛擬機遷移后防火墻規則自動跟隨，無需調整。云防火墻采用先進的SDN技術，可對傳統防火墻功能進行安全性、可靠性、穩定性優化，具備極高可靠性。關于云防火墻優缺點、保護等級詳見表6。

表6 云防火墻優缺點、保護等級

2.3.7　混合防火墻。又稱“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統，由若干個軟件、硬件組件組成，分布于內部、外部網絡邊界和內部各主機之間，既對內部、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾?；旌戏阑饓κ欠阑饓夹g的縮影，它結合了先進的數據包掃描技術（如深層數據包檢查）和防病毒反惡意軟件?；旌戏阑饓z查Web瀏覽會話的各個方面，一直到每個傳輸數據包的內容，并具有執行深度數據包分析的能力。

3　防火墻管理優化的主要策略

防火墻雖不能完全保護計算機免受高級持續性威脅侵害，但可以有效防止暴力攻擊之類的“復雜”惡意連接網絡的企圖。在決定選擇哪種防火墻雖沒有統一明確的標準，但使用不止一種防火墻類型可提供多層保護。防火墻管理優化就是通過全面分析和調整防火墻的配置策略，以提升設備運行性能和安全防護效果的過程。防火墻主要功能就是提供一定程度的保護，防止惡意者連接網絡企圖。

3.1　設置最佳防火墻策略應考慮的三個因素

3.1.1　組織規模。內部網絡有多大？是在每臺設備上管理防火墻，還是僅需要監視內部網絡的防火墻？決定選擇軟件防火墻還是硬件防火墻？搞清楚這些問題很重要。在這兩者之間做決擇很大程度上取決于指派管理設置的技術團隊的能力。

3.1.2　可用資源。是將防火墻放置在單獨的硬件還是云上？是否需要將防火墻與內部網絡隔離開？這都是需要考慮的問題。因為防火墻需要過濾的流量負載以及流量負載是否保持一致起著重要作用。

3.1.3　所需保護級別。防火墻的數量和類型應符合內部網絡所需的安全措施。處理敏感客戶端信息的企業，應通過加強防火墻保護來確保數據免受黑客攻擊。

3.2　防火墻優化設置的主要策略

3.2.1　漏洞防范和高等級安全。首先，防止攻擊并在惡意軟件進入內部時快速檢測。防火墻的首要任務應該是防止違規行為并保證組織安全。預防性的措施永遠不會是100%有效的，設置的防火墻就應該具有現代化能力，以快速檢測先進的惡意軟件，防止它逃避你的前沿防御。投資具有以下功能的防火墻將非常必要：在攻擊進入內部之前進行預防；內置一流的下一代IPS，可快速發現隱形威脅并阻止它們；URL過濾，以在數億個URL上實施策略；內置沙盒和先進的惡意軟件保護。

3.2.2　用最新情報阻止新出現的威脅。人們不能保護看不見的東西。這就需要時刻監控網絡上發生了什么，隨時發現不良行為并迅速制止。所設置的防火墻應該能提供活動的整體視圖以及前后動態的變化，主要包括：跨用戶、主機、網絡和設備的威脅活動；威脅起源于何地和何時，以及它現在在做什么；活躍的應用程序和網站；虛擬機之間的通信、文件傳輸等。

3.2.3　靈活的管理和部署選項。定制以滿足每個組織的獨特需求。無論是中小型企業還是大型企業，設置的防火墻應該滿足其獨特要求：對每個用例進行管理-從onbox中選擇管理器或所有設備集中管理；通過虛擬防火墻部署在本地或云中；使用滿足個性化需求的功能進行定制。

3.2.4　最快檢測時間。加速惡意軟件檢測以降低風險。目前的行業標準時間檢測威脅一般是在100天到200天之間。下一代防火墻應該能夠在幾秒鐘內檢測到威脅；在數小時或數分鐘內檢測到成功的違規行為；區分警報的優先級，以便能夠迅速、準確地采取行動消除威脅；通過部署易于維護的一致策略，在組織內部實現自動執行。

3.2.5　建立集成的安全體系。集成的安全體系實現了自動化，降低了復雜性。下一代防火墻不應該是孤立的工具。它應該與組織的安全架構的其它部分進行通信和協作。選擇一個防火墻：能與同一供應商的其他工具無縫集成；自動共享威脅信息、事件數據、策略和上下文電子郵件、web、端點和網絡安全工具的信息；自動化安全任務，如影響評估、策略調整和用戶標識。

4　防火墻安全風險和威脅及其評估路徑思考

防火墻安全風險評估也稱為防火墻規則集審查，旨在發現設備配置、防火墻規則、管理和合規性中的不足，以確保其正常運行并保護你的網絡免受網絡威脅。除做好防火墻管理優化策略外，鑒于防火墻自身存在的內在風險和威脅，應定期進行防火墻安全風險評估，這對確保和維護組織網絡安全非常關鍵和至關重要。

4.1　防火墻安全面臨的風險和威脅

保護防火墻的第一步首先是要了解它們可能面臨的風險和威脅。

4.1.1　防火墻安全常見的風險。（1）不安全的配置：固件版本、管理協議配置、文件傳輸/遠程管理協議是防火墻審核期間的常見問題。（2）不安全的日志記錄和監視控制：審查日志記錄和監視控制措施，以識別事件收集、存儲、分析和威脅識別中的缺陷。（3）大攻擊面：隨著組織越來越多地采用云服務以及混合工作模式（到公司上班/在家工作），其網絡和相關攻擊面變得越來越大，越來越復雜。尤其是防火墻服務提供商或客戶的IT團隊的變動，由此帶來的第三方風險擴大了攻擊面幾率。（4）規則集/防火墻規則審查：防火墻規則的審核通常顯示存在噪聲（不必要的廣播協議）、重復規則、臨時規則、注釋、使用ANY/大型規則。防火墻使用定義的規則來評估通過防火墻傳遞的所有流量，以確定流量是否與允許或拒絕條件匹配。如果沒有允許流量的規則，則默認情況下拒絕流量。（5）加密缺陷：配置和使用HTTPS、SSH、VPN轉換（如果是VPN）、靜態數據和傳輸中的數據的加密方法。（6）管理限制：對內部（內部網絡/DMZ）和外部（通過互聯網）的管理和管理接口的限制通常在滲透測試和PCI防火墻審查期間（必須進行分段）發現。（7）身份驗證和授權：負責用戶身份驗證、內部集成（RADIUS/AD/等）、接口限制以及授權的身份驗證和授權機制。

4.1.2　防火墻安全面臨的主要威脅。（1）內部攻擊：一些最危險的防火墻來自組織內部，具有過多權限的用戶無需任何防火墻干預即可突破外圍防御。當他們獲得內部網絡資源的訪問權限時，就可以竊取數據或破壞數字基礎設施。（2）DDoS攻擊：DDoS攻擊涉及惡意入侵者的大量訪問請求或數據包注入。如果沒有適當的過濾器，大量流量可能會占用網絡資源，這會導致停機或數據丟失等。（3）防火墻漏洞：防火墻漏洞有多種形式。例如，某些漏洞可能是由防火墻配置或維護中的錯誤引起的，而其他漏洞可能是由于防火墻操作方法中的特定缺陷引起的。

4.2　防火墻安全風險評估最佳路徑思考

防火墻安全風險評估具有識別并限制內部系統暴露，以應對不斷變化的威脅；識別配置和管理過程中的弱點以提高網絡性能；服務質量是安全工作的基礎；驗證你的變更管理或控制流程；符合PCI DSS、ISO27001、GDPR合規性要求等優勢。通過實施全面防火墻安全風險評估的最佳路徑，可以顯著降低數據泄露、網絡停機和其他安全事件的風險，從而幫助維護客戶、合作伙伴和利益相關者的聲譽和信任。

4.2.1　定義評估的范圍和目標。防火墻風險評估首先涉及確定要審核的防火墻和關聯的網絡設備，并確定審核持續時間。為了確保審查和評估所有關鍵領域，審核范圍必須遵守法律要求和行業標準，不僅可以降低處罰和罰款的風險，還可以提高企業在客戶和利益相關者中的聲譽。通過定義審核范圍，可以清楚地了解將要審核的領域和要實現的目標。

4.2.2　收集相關信息。從以前的審核中收集所有相關的安全策略、防火墻日志和報告。審查和匯總相關的防火墻供應商信息，并在可靠的系統中更新它們，因為每年可能會進行多次審核。收集所有這些信息將幫助制定有效的審計計劃，通過識別需要解決的漏洞和風險來增強網絡安全。

4.2.3　查看防火墻配置。查看防火墻設置和配置，確保它們符合組織的安全策略。還應查看訪問控制策略、安全規則和日志文件等關鍵區域。同時，必須驗證最近對防火墻所做的更改是否經過授權和記錄。所有這些審查和驗證將有助于識別潛在的安全漏洞，并提供增強網絡安全的解決方案。

4.2.4　查看防火墻日志。防火墻日志包含網絡流量的來源和目標以及防火墻對該流量的響應等信息。通過查看這些日志，你可以識別潛在的安全風險，例如開放端口或不安全的網絡服務，這些風險可能使網絡容易受到攻擊。它還有助于識別任何未經授權的訪問嘗試或成功的防火墻違規。如果發現任何可疑活動，應進一步調查它們以確定其根本原因，并提供有關改進網絡安全狀況的建議。

4.2.5　清理和優化防火墻規則。優化防火墻規則可以對工作效率和性能產生積極影響，同時可簡化審核過程。刪除任何無用、過期和不活動的規則和對象，并評估其余規則的有效性和順序。未使用的鏈接和過度寬松的規則可以根據策略和實際使用場景進行識別和調整。

4.2.6　測試防火墻是否存在漏洞。對防火墻進行漏洞測試將使組織能夠更好地了解其網絡的安全風險。通過漏洞測試，你可以識別攻擊者可能試圖利用的潛在弱點，并采取措施緩解這些弱點。漏洞測試可以采取多種形式，包括試圖穿透防火墻防御的模擬攻擊。然后，可以使用此類測試的結果為改進防火墻的安全狀況提供建議。通過定期進行漏洞測試，你可以對新出現的安全威脅保持警惕，并領先于潛在攻擊者。

4.2.7　記錄結果。運行測試后，可以創建一個全面的報告，其中包括審核結果的摘要以及對任何已識別的漏洞或安全風險的詳細分析。此報告應包括對任何發現的漏洞的詳細說明，以及改進防火墻安全狀況的具體建議。這些建議可能包括實施新的安全策略、重新配置防火墻設置或更新安全軟件以解決已識別的漏洞。

4.2.8　提出實施建議。完成徹底的防火墻審核并收到改進建議后，下一步是實施建議的更改。對審核期間確定的防火墻規則、配置設置或其他安全措施進行所有必要的調整。請務必測試這些更改，以確保它們不會給系統帶來任何新的漏洞或風險。這些測試應包括漏洞掃描或滲透測試，以確保更改不會損害防火墻的安全狀況。

4.2.9　監視防火墻，循環重復上述步驟。成功實施和測試更改后，需要持續監控和維護，以確保防火墻在保護網絡免受潛在威脅方面保持安全有效。定期監控防火墻，以發現可能出現的任何新安全風險。定期進行防火墻評估，以確保防火墻保持安全并符合組織的安全策略和標準。

5　結語

“網絡安全為人民，網絡安全靠人民”。共筑網絡安全防線，維護網絡安全是全社會公民共同的責任。IT基礎設施發展和復雜網絡攻擊威脅出現，刺激并推動了防火墻技術不斷發展。防火墻不僅是監視某些端口、IP地址或地址之間的數據包活動和做出解決及拒絕決策的手段，在流量檢查和管理方面提供了組織可以激活包括URL、過濾、防病毒、垃圾郵件和機器人保護、數據泄露防護、移動設備的訪問控制等額外功能，添加和部署這些功能從而增強網絡安全并在出現新問題時得到及時解決。目前，防火墻正處于鼎盛時期，維護良好的防火墻是網絡安全的“第一道防線”，花費少量時間和資源，正確設置防火墻安全策略，執行全面防火墻風險評估，采取主動措施保護網絡免受潛在攻擊，將更有助于企業各項業務開展并確保數據安全。

作者簡介：

嵇海麗周（1993-），女，江蘇鹽城人，碩士，現就職 于北京抖音信息服務有限公司，主要研究方向為網絡信 息技術安全產品管理和技術品牌創新等。

參考文獻：

[1] Mitchell Telatnik. What is a Firewall? [EB/OL].(2023.03.28).

[2] heimdal. Why a Reliable Firewall is Essential to Enterprise Security? [EB/OL]. (2022.06.17).

[3] Cisco.5 Tips for Choosing a Next-Generation Firewall[EB/OL].(2022.01.02)[2024.03.01].

[4] Fortinet. what is firewall security[EB/OL].(2022.10.30).

[5] Tibor Moes. What is a Firewall? Everything You Need to Know[EB/OL].(2023.06.01),

[6] Cybersecurity-Automation.com Team, Firewalls explained: the different firewall types and technologies[EB/OL].(2022.11.01).  

[7] Kaspersky. What is a firewall? Definition and explanation[EB/OL].(2023.10.20).

[8] Franklin Okeke. 9 Steps for Performing a Firewall Audit: Easy Firewall Checklist[EB/OL].(2023.05.18) [2023.11.12].

[9] Nordlayer.Main firewall threats & vulnerabilities[EB/OL].(2023.06.13) .

[10] GBT 20281-2020. 信息安全技術 防火墻安全技術要求和測試評價方法[S] (2020.11.01).

摘自《自動化博覽》2024年5月刊