防火墙存在了三个十年,但他们已经急剧发展到包括作为独立的设备,并在拉外部收集的数据做出什么网络流量允许,哪些流量块更明智的决策出售的功能。
现在在网络防御的生态系统中只有一个不可避免的元素,最新的版本被称为企业防火墙或下一代防火墙(NGFW),以表明谁应该使用它们,并且它们还在不断地添加功能。
什么是防火墙?
防火墙是网络设备进出网络和块的监控数据包,或者允许他们根据已经建立,以界定什么交通允许的,哪些流量是没有规则。
有几种类型的防火墙已经发展了多年,变得越来越复杂,在决定是否允许流量通过时需要考虑更多的参数。防火墙最初是作为包过滤器使用的,但是最新的防火墙可以做的更多。
最初放在可信和不可信网络之间的边界处,防火墙现在也部署到网络的保护内部段,如雷竞技电脑网站数据中心,来自组织网络的其他部分。
它们通常被部署为单个供应商构建的设备,但也可以作为虚拟设备(客户安装在自己的硬件上的软件)购买。
以下是主要类型的防火墙。
基于代理的防火墙
这些防火墙作为谁请求数据和数据源端用户之间的网关。主机设备连接到代理,并且代理使得所述数据的源的单独连接。作为响应,源装置使所述代理连接,并且代理作出到主机装置的单独连接。传递数据包发送到目的地址之前,代理可以过滤他们执行政策和掩盖接收者的设备的位置,同时也为了保护收件人的设备和网络。
基于代理的防火墙的优点是受保护的网络之外的机器只能收集有限的网络信息,因为它们从来没有直接连接到网络。
基于代理的防火墙的主要缺点是,终止传入连接并产生传出连接加滤波导致延迟,可降低性能。反过来,这可以消除使用跨防火墙的一些应用,因为响应时间变得太慢。
有状态的防火墙
与基于代理的防火墙相比,有状态防火墙的性能有所提高,它可以跟踪关于连接的领域信息,使防火墙不必检查每个包。这大大减少了防火墙带来的延迟。
例如,通过维护连接状态,这些防火墙可以预先检查它们标识为对已检查过的合法传出连接的响应的传入包。初始检查确定连接是允许的,并且通过在其内存中保留该状态,防火墙可以通过该会话的后续流量,而不必检查每个包。
Web应用程序防火墙
Web应用程序防火墙在支持Web应用程序和internet的服务器之间建立逻辑关系,保护它们免受特定的HTML攻击,如跨站点脚本编制、SQL注入等。它们可以是基于硬件或云的,也可以嵌入到应用程序中,以确定是否应该允许试图访问服务器的每个客户端。
下一代防火墙
分组可以使用多于连接和源地址和目的地址的状态进行过滤。这是NGFWs发挥作用。它们采用什么个人应用程序和用户被允许这样做,并融合在一起,使什么交通允许,哪些流量下降更明智的决策,从其他技术收集的数据的规则。
例如,有些NGFWs执行URL过滤,可以终止安全套接字层(SSL)和传输层安全性(TLS)连接,并支持软件定义的广域网(SD-WAN)改善的动态程度SD-WAN连接左右决策的效率得到执行。
防火墙是不够的
在历史上是由单独的设备处理的功能现在包括在许多NGFWs,其中包括:
入侵防御系统(IPS)
虽然基本的防火墙技术识别并阻止某些类型的网络流量,IPSes使用更细粒度的安全,如签名跟踪和异常检测,以防止威胁进入网络。一旦独立的平台,IPS功能就越来越成为标准的防火墙功能。
深包检查(DPI)
深度数据包检测是一种信息包过滤,它超越信息包的来源和去向,并检查它们的内容,例如,显示正在访问什么应用程序或正在传输什么类型的数据。这些信息可以使防火墙执行更智能、更细粒度的策略成为可能。DPI可以用于阻塞或允许流量,但也可以限制特定应用程序允许使用的带宽数量。它也可以成为保护知识产权或敏感数据不受安全网络影响的工具
SSL / TLS终止
SSL加密流量不受深度包检测,因为它的内容不能被读取。有些NGFWs可以终止SSL流量,检查它,然后创建第二个SSL连接到目的地地址。这可以用于预防,例如,从安全网络外部发送的专有信息,同时还允许合法流量流过恶意的员工。虽然这是从一个数据保护点好,DPI可以提高隐私问题。随着的到来传输层安全性(TLS)作为SSL的改进,这个终端和代理可以申请TLS为好。
沙盒
传入附件或通信与外部源可以包含恶意代码。使用沙盒,一些NGFWs可以隔离这些附件和它们所包含的任何代码,执行它,看看它是否是恶意的。该方法的缺点是这会消耗大量的CPU周期和在流过防火墙的流量引入明显的延迟。
NGFWs还可以包含其他一些特性。它们可以支持接收其他平台收集的数据,并使用这些数据做出防火墙决策。例如,如果研究人员发现了一个新的恶意软件签名,防火墙可以接收该信息并开始过滤掉包含该签名的流量。
曾经使用NGFW这个术语的Gartner现在表示,以前的防火墙已经过时了,他们现在简单地称NGFWs为企业防火墙。
最流行的防火墙厂商
按照Gartner最新排名企业防火墙,指定领导厂商检查点,思科,Fortinet公司和帕洛阿尔托网络。Sophos是对领导者象限的边缘,但正好落在在同时执行能力和完整性其愿景的害羞。
在Gartner的魔力象限四国领导人是当他们的收入产生的产品的量测,根据IDC也上衣。相结合,他们在去年的第一季度控制一半以上的防火墙市场份额,IDC说。
五年前,Gartner的防火墙领导人包括刚刚检查点和帕洛阿尔托,但在2017年Fortinet的突破,并于2018年加入思科的一个分类。
这些厂商中,Gartner还授予思科,Fortinet公司和帕洛阿尔托的客户选择奖,这是基于对自己产品的客户评论。总之,客户审查17家供应商,共3,406条评论中,其中2,943人左右的厂商列为领导提交。
其他12家未提及的供应商有:AhnLab、Barracuda Networks、Forcepoint、GreyHeller、Hillstone Networks、华为、Juniper Networks、New H3C、Sangfor、Sonic Wall、Stormshield和Watchguard。
相比之下,Forrester的行列许多顶级的防火墙厂商不仅在他们的防火墙,但在一个框架它设计了一个名为零信任,其中考虑到所有的安全组件供应商提供和以及他们如何被整合。依靠单独的防火墙是历史,据其报告“Forrester Wave报告:零信任扩展(ZTX)生态系统供应商,2018年第四季度”在这里面,Forrester公司给它的世界排名只是两家供应商,帕洛阿尔托和赛门铁克。