成都H3C知识科普：防火墙的作用和用途

       防火墙是作为大多数组织的主要外围防御而创建的，但自创建以来，该技术已经产生了许多迭代：代理、有状态、Web 应用程序、下一代，这些都在此处进行科普。

　　防火墙已经存在了三十年，但它们已经发生了巨大的发展，包括过去作为单独设备出售的功能，并提取外部收集的数据，以就允许哪些网络流量和阻止哪些网络流量做出更明智的决策。

　　现在，最新版本只是网络防御生态系统中不可或缺的一个元素，被称为企业防火墙或下一代防火墙 (NGFW)，以指示谁应该使用它们以及它们正在不断添加功能。

　　什么是防火墙?

　　防火墙是一种网络设备，它监视进出网络的数据包，并根据已设置的规则阻止或允许它们，以定义允许哪些流量和不允许哪些流量。

　　多年来已经发展了多种类型的防火墙，它们变得越来越复杂，并且在确定是否允许流量通过时考虑更多参数。防火墙最初是作为数据包过滤器，但最新的防火墙的功能远不止于此。

　　防火墙最初放置在可信网络和不可信网络之间的边界，现在还部署防火墙来保护网络的内部部分(例如数据中心)免受组织网络其他部分的影响。

　　它们通常部署为由各个供应商构建的设备，但也可以作为虚拟设备购买 - 客户在自己的硬件上安装的软件。

　　以下是防火墙的主要类型。

　　基于代理的防火墙

　　这些防火墙充当请求数据的最终用户和该数据源之间的网关。主机设备连接到代理，代理与数据源建立单独的连接。作为响应，源设备与代理建立连接，并且代理与主机设备建立单独的连接。在将数据包传递到目标地址之前，代理可以对其进行过滤以实施策略并掩盖接收者设备的位置，同时还可以保护接收者的设备和网络。

　　基于代理的防火墙的优点是受保护网络外部的计算机只能收集有关网络的有限信息，因为它们从未直接连接到网络。

　　基于代理的防火墙的主要缺点是终止传入连接和创建传出连接以及过滤会导致延迟，从而降低性能。反过来，这可以消除跨防火墙使用某些应用程序，因为响应时间变得太慢。

　　状态防火墙

　　状态防火墙对基于代理的防火墙的性能进行了改进，状态防火墙可以跟踪有关连接的一系列信息，并使防火墙无需检查每个数据包。这大大减少了防火墙引入的延迟。

　　例如，通过维护连接状态，这些防火墙可以放弃检查它们识别为对已检查的合法传出连接的响应的传入数据包。初始检查确定连接是允许的，并且通过在内存中保留该状态，防火墙可以通过属于同一会话的后续流量，而无需检查每个数据包。

　　Web 应用程序防火墙

　　Web 应用程序防火墙逻辑上位于支持 Web 应用程序和互联网的服务器之间，保护它们免受特定 HTML 攻击，例如跨站点脚本、SQL 注入等。它们可以是基于硬件或基于云的，也可以嵌入到应用程序本身中，以确定是否应该允许每个尝试访问服务器的客户端进行访问。

　　下一代防火墙

　　不仅可以使用连接状态以及源地址和目标地址来过滤数据包。这就是 NGFW 发挥作用的地方。它们结合了允许单个应用程序和用户执行哪些操作的规则，并融合了从其他技术收集的数据，以便就允许哪些流量和丢弃哪些流量做出更明智的决策。

　　例如，其中一些 NGFW 执行 URL 过滤，可以终止安全套接字层 (SSL) 和传输层安全(TLS)连接，并支持软件定义的广域网 (SD-WAN)，以提高动态 SD-WAN 的效率。强制执行有关连接的 WAN 决策。

　　防火墙还不够

　　过去由单独设备处理的功能现在已包含在许多 NGFW 中，包括：

　　入侵防御系统 (IPS)

　　基本防火墙技术可识别并阻止某些类型的网络流量，而IPS使用更精细的安全性(例如签名跟踪和异常检测)来防止威胁进入网络。一旦独立的平台出现，IPS 功能就越来越成为标准的防火墙功能。

　　深度数据包检测 (DPI)

　　深度数据包检查是一种数据包过滤，它超越数据包的来源和去向并检查其内容，例如揭示正在访问什么应用程序或正在传输什么类型的数据。此信息可以使防火墙执行更智能、更精细的策略成为可能。DPI 可用于阻止或允许流量，但也可限制允许特定应用程序使用的带宽量。它还可以成为保护知识产权或敏感数据不离开安全网络的工具

　　SSL/TLS 终止

　　SSL 加密的流量不受深度数据包检查的影响，因为其内容无法读取。一些 NGFW 可以终止 SSL 流量，检查它，然后创建到预期目标地址的第二个 SSL 连接。例如，这可以用来防止恶意员工在安全网络之外发送专有信息，同时也允许合法流量通过。虽然从数据保护的角度来看这是件好事，但 DPI 可能会引发隐私问题。随着传输层安全 (TLS)作为 SSL 的改进的出现，这种终止和代理也可以应用于 TLS。

　　沙盒

　　传入附件或与外部来源的通信可能包含恶意代码。使用沙箱，一些 NGFW 可以隔离这些附件及其包含的任何代码，执行它并查明它是否是恶意的。此过程的缺点是会消耗大量 CPU 周期，并导致流经防火墙的流量出现明显延迟。

　　NGFW 中还可以包含其他功能。它们可以支持接收其他平台收集的数据并使用它来做出防火墙决策。例如，如果研究人员识别出新的恶意软件签名，防火墙可以接收该信息并开始过滤包含该签名的流量。

　　现在将 NGFW 简称为企业防火墙。