跳转到主要内容

防火墙

本文约需 2 分钟阅读

防火墙 (Firewall) 是部署在网络边界、用于阻断非法访问和通信的安全机制。它监控外部网络与内部网络之间的通信,并根据预先定义的规则判断允许还是拒绝。防火墙不仅用于企业网络,也内置于个人电脑和家用路由器中。

防火墙的种类

包过滤型是基于 IP 地址和端口号控制通信的最基本方式。状态检测型会追踪通信的状态,仅允许属于已建立连接的数据包等,进行更高级的判断。下一代防火墙 (NGFW) 可检查到应用层,还能检测恶意软件和非法内容。2024 年以后,搭载利用 AI/ML 的威胁检测功能的 NGFW 正逐渐成为主流,对未知攻击模式的检测精度不断提升。Web 应用防火墙 (WAF) 专门处理 HTTP/HTTPS 流量,可防御SQL 注入和 XSS 等 Web 攻击。防火墙入门书 (Amazon)可以从基础开始学习。

现场使用案例

“通过下一代防火墙的日志分析,我们检测到了从公司内部发出的可疑外部通信。调查结果表明这是恶意软件的 C2 通信,于是立即隔离了受感染的终端。”

过滤概念图

外部网络
防火墙
根据规则允许 / 拒绝
内部网络

具体的应用场景

在家庭环境中,路由器内置的防火墙会阻断来自外部的非法访问,防止对 IoT 设备的攻击。在企业环境中,用防火墙隔离各部门之间的网络,即使万一发生入侵也能防止危害扩大。在云环境中,安全组和网络 ACL 充当防火墙的角色,控制对实例的访问。在远程办公环境中,将VPN 与防火墙结合,实现对公司内部资源的安全访问。

实务中的注意事项

防火墙是网络层的防御,但要保护账户,密码强度也不可或缺。即使防火墙被突破,强大的随机密码也会成为最后的防线。常见的陷阱是将防火墙规则设置为「暂且全部允许」。应基于最小权限原则,仅允许必要的通信,这一点很重要。基于多层防御的理念,请将网络防御与密码管理都做到位。安全架构相关书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena