防火墙已经存在了30年,但它们已经发生了巨大的变化,包括以前作为独立设备出售的功能,以及从外部收集的数据,以便更明智地决定允许哪些网络流量和阻止哪些流量。
现在,在网络防御的生态系统只是一个indespensible元素,其最新版本被称为企业的防火墙或下一代防火墙(NGFW),以表明谁应该使用他们,他们正在不断增加功能。
什么是防火墙?
防火墙是一种网络设备,它监视进出网络的数据包,并根据规定允许哪些流量是允许的,哪些流量是不允许的来阻塞或允许它们通过。
有几种类型的在过去几年开发的防火墙,变得越来越复杂,并确定流量是否应该被允许通过时采取更多的参数考虑进去。防火墙开始了作为数据包过滤器,但最新做的更多。
防火墙最初被放置在受信任和不受信任的网络之间,现在也被部署来保护网络的内部部分,比如2020欧洲杯预赛数据中心从组织的网络的其他部分。
它们通常部署由个别厂商建立家电,但它们也可以买来作为虚拟设备 - 软件,客户自行安装硬件。
以下是主要类型的防火墙。
基于代理的防火墙
这些防火墙充当请求数据的终端用户和数据源之间的网关。主机设备连接到代理,代理与数据源建立单独的连接。作为响应,源设备建立到代理的连接,而代理建立到主机设备的单独连接。在将信息包传递到目标地址之前,代理可以对它们进行筛选,以执行策略并屏蔽接收方设备的位置,但也可以保护接收方的设备和网络。
上攻基于代理的防火墙是网络外部的机器被保护能够收集有关网络的信息有限,因为它们永远不会直接连接到它。
基于代理的防火墙的主要缺点是,终止传入连接和创建传出连接以及过滤会导致延迟,从而降低性能。反过来,这可以避免跨防火墙使用某些应用程序,因为响应时间变得太慢了。
状态防火墙
在基于代理的防火墙的性能改进进来状态防火墙,它保持信息有关连接一个境界的轨道,并使其不需要防火墙检查每一个数据包的形式。这大大减少了防火墙引入的延迟。
通过保持连接的状态下,这些防火墙可以,例如,放弃检查传入数据包,它们标识为到已经被检查合法传出连接的响应。初始检查建立该连接是可允许的,并且通过保持在其存储器中该状态下,防火墙可以通过后续流量即不检查每个数据包相同的对话的一部分。
Web应用防火墙
Web应用防火墙坐逻辑服务器的支持Web应用程序和互联网,保护他们免受特定HTML攻击,如跨站脚本,SQL注入和其他人之间。他们可以基于云是硬件或或者它们可以被烤到应用程序本身来确定每个客户端试图访问该服务器是否应该被允许访问。
下一代防火墙
可以使用比连接状态、源地址和目标地址更多的信息来过滤数据包。这就是NGFWs发挥作用的地方。它们合并了单个应用程序和用户被允许做什么的规则,并将从其他技术收集的数据混合在一起,以便对允许哪些流量和减少哪些流量做出更明智的决策。
例如,一些这些NGFWs的执行URL过滤,可以终止安全套接字层(SSL)和传输层安全(TLS)连接和支持软件定义广域网(SD-WAN)提高有关连接的动态SD-WAN决策执行的效率。
防火墙是不够的
在历史上是由单独的设备处理的功能现在包括在许多NGFWs,其中包括:
入侵防御系统(IPS)
而基本的防火墙技术,识别并阻止某些类型的网络流量,“诱导多能性”使用更细粒度的安全性,如签名跟踪和异常检测,以防止进入网络的威胁。一旦独立的平台,IPS功能是越来越多的标准防火墙功能。
深度数据包检测(DPI)
深度包检测是过滤看起来超出其中分组从来来往往并检查它们的内容,显示,例如,被访问什么应用或正在发送什么类型的数据的类型的分组。这些信息可以使防火墙的强制执行可能更加智能和细粒度的策略。DPI可用于阻止或允许的流量,而且还限制了带宽的特定应用的量被允许使用。它也可能是保护知识产权或敏感数据离开一个安全的网络工具
SSL / TLS终止
ssl加密的流量不受深包检查的影响,因为它的内容无法被读取。一些NGFWs可以终止SSL通信流,检查它,然后创建到目标地址的第二个SSL连接。这可以用来防止,例如,恶意的员工发送专有信息到安全网络之外,同时允许合法的流量通过。虽然从数据保护的角度来看这是好的,但DPI可能会引起隐私问题。随着传输层安全性(TLS)作为对SSL的改进,这种终止和代理也可以应用于TLS。
沙箱
传入附件或通信与外部源可以包含恶意代码。使用沙盒,一些NGFWs可以隔离这些附件和它们所包含的任何代码,执行它,看看它是否是恶意的。该方法的缺点是这会消耗大量的CPU周期和在流过防火墙的流量引入明显的延迟。
有可能在NGFWs结合等特点。它们可以支持回吐通过其他平台的使用它来使防火墙的决定收集的数据。例如,如果一个新的恶意软件签名已经确定由研究人员,防火墙可以在这些信息,并开始过滤掉包含签名流量。
Gartner公司曾经使用的术语NGFW,现在说防火墙前生是过时的,而且他们现在称之为NGFWs只是企业的防火墙。
最流行的防火墙厂商
按照Gartner最新排名企业防火墙,指定领导厂商检查点,思科,Fortinet公司和帕洛阿尔托网络。Sophos是对领导者象限的边缘,但正好落在在同时执行能力和完整性其愿景的害羞。
国际数据公司(IDC)的数据显示,如果以产品创造的收入来衡量,高德纳魔力象限(Gartner Magic Quadrant)的四位领导者也位居榜首。IDC表示,去年第一季度,它们总共控制了防火墙市场一半以上的份额。
五年前,Gartner的防火墙领导人包括刚刚检查点和帕洛阿尔托,但在2017年Fortinet的突破,并于2018年加入思科的一个分类。
在这些供应商中,Gartner还向思科、Fortinet和帕洛阿尔托颁发了客户选择奖,该奖项基于客户对其产品的评价。客户总共评审了17家供应商,共提交了3406条评论,其中2943条是关于排名靠前的供应商的。
这里没有提到的其他12家厂商安博士,博威特,Forcepoint,GreyHeller,Hillstone山石网科,华为,Juniper网络,H3C新,深信服,索尼克墙,暴风之盾和Watchguard的。
相比之下,Forrester对许多顶级防火墙供应商进行了排名,不仅因为它们的防火墙,还因为它们设计了一个名为Zero Trust的框架,该框架考虑了供应商提供的所有安全组件以及它们的集成情况。根据其报告《Forrester Wave: Zero Trust eXtended (ZTX)生态系统提供商,2018年第四季度》,仅依赖防火墙已成为历史。在这份报告中,Forrester只将自己的最高排名给了两家供应商,帕洛阿尔托和赛门铁克。