防火墙是什么(防火墙硬件设备)

编译自： https://www.networkworld.com/article/3230457/lan-wan/what-is-a-firewall-perimeter-stateful-inspection-next-generation.html

布兰登·巴特勒

译者:zjon

流行的防火墙是大多数组织的主要边界防御。

基于网络的防火墙在美国企业中已经无处不在，因为它们已经证明了它们对日益增长的威胁的防御能力。

根据网络测试公司NSS实验室最近的一项研究，多达80%的美国大型企业正在运行下一代防火墙。研究公司IDC估计，2015年防火墙和相关统一威胁管理市场的营业额为76亿美元，预计到2020年底将达到127亿美元。

如果你想升级，这里有“部署下一代防火墙需要考虑什么”[1]

什么是防火墙？

作为一种边界防御工具，防火墙监控流量-要么允许它，要么阻止它。多年来，防火墙的功能不断增强。现在，大多数防火墙不仅可以阻止一些已知的威胁，还可以实现高级的访问控制列表策略。他们还可以深入检查流量中的每个数据包，并测试数据包以确定它们是否安全。大多数防火墙被部署为用于处理流量的网络硬件和允许最终用户配置和管理系统的软件。越来越多的软件防火墙部署在高度虚拟化的环境中，以在隔离网络或IaaS公共云中实施策略。

随着防火墙技术的进步，在过去的十年中，新的防火墙部署选项不断涌现，因此现在部署防火墙的最终用户有了更多的选择。这些选项包括:

有状态的防火墙

最初创建防火墙时，它们是无状态的，这意味着当单独检查每个受监控的网络流量包时，流量通过的硬件被屏蔽或允许被隔离。从20世纪90年代中后期开始，防火墙的第一次重大发展是引入了状态。状态防火墙在更全面的上下文中检查流量，考虑网络连接的工作状态和特征，以便提供更全面的防火墙。例如，保持这种状态的防火墙可以允许某些流量访问某些用户，同时阻止其他用户访问相同的流量。

基于代理的防火墙

这些防火墙充当请求数据的最终用户和数据源之间的网关。所有流量在传送给最终用户之前都要经过该代理的过滤。这通过伪装信息原始请求者的身份来保护客户端免受威胁。

Web 应用防火墙（WAF）

这些防火墙位于特定应用程序的前面，而不是更大网络的入口或出口。基于代理的防火墙通常被认为是为了保护终端用户，而WAF则被认为是为了保护应用服务器。

防火墙硬件

硬件通常是简单的服务器，可以充当路由器过滤流量，运行防火墙软件。这些设备位于企业网络的边缘，介于路由器和互联网服务提供商(ISP)的连接点之间。通常，企业可能会在整个数据中心部署十几个物理防火墙。用户需要根据用户群的大小和互联网连接的速度来确定防火墙需要支持的吞吐能力。

防火墙软件

通常，最终用户部署多个防火墙硬件终端和一个中央防火墙软件系统来管理部署。这个中央系统是配置策略和功能的地方，在这里可以进行分析并对威胁做出响应。

下一代防火墙（NGFW）

多年来，防火墙增加了许多新功能，包括深度数据包检测、入侵检测和防御，以及加密流量的检测。下一代防火墙(NGFW)是指集成了许多高级功能的防火墙。

有状态的检测

拦截已知不需要的流量是防火墙的基本功能。

反病毒

搜索网络流量中的已知病毒和漏洞。此功能有助于防火墙接收最新威胁的更新，并保持更新以保护它们。

入侵防御系统（IPS）

这类安全产品可以作为独立产品部署，但IPS功能逐渐集成到NGFW中。虽然基本防火墙技术可以识别和阻止某些类型的网络流量，但IPS使用更精细的安全措施，如签名跟踪和异常检测，来防止不必要的威胁进入公司网络。该技术之前的版本是入侵检测系统(IDS)，侧重于识别威胁而不是遏制威胁，现已被IPS取代。

深度包检测（DPI）

DPI可以作为IPS的一部分，也可以与IPS结合使用，但它仍然成为NGFW的一个重要特性，因为它提供了细粒度流量分析的能力，这种分析可以针对流量头和流量数据。DPI还可用于监控出站流量，以确保敏感信息不会离开公司网络。这项技术被称为数据丢失防护(DLP)。

SSL 检测

安全套接字层(SSL)检测是一种检测加密流量以测试威胁的方法。随着越来越多的流量被加密，SSL检测成为NGFW正在实施的DPI技术的重要组成部分。SSL检测作为一个缓冲区，在流量被发送到最终目的地之前对其进行解码和检测。

沙盒

这是NGFW中相对较新的特性。它是指防火墙接收一些未知流量或代码，并在测试环境中运行，以确定其是否存在问题的能力。

via:https://www . network world . com/article/3230457/LAN-wan/what-a-firewall-perimeter-stateful-inspection-next-generation . html

作者:布兰登·巴特勒[2]译者:zjon校对:wxy

本文由LCTT原创，Linux中国隆重推出。

点击“了解更多”可访问文内链接