防火墙是最受认可的用于保护网络的安全工具,也是任何安全基础设施的关键组件。防火墙被认为是大多数网络安全体系结构的守门人,只允许网络上定义的流量。基本上,防火墙监视传入和传出的网络流量,并根据一组已定义的安全规则来决定是否允许或阻止特定的流量。防火墙在可信网络和不可信网络之间(通常在Internet等关键链路上)建立屏障或“防火墙”。防火墙的主要目的是防止对专用网络的攻击,允许您在发生可疑活动时监视网络的安全性。防火墙还有助于控制互联网的使用,阻止不适当的材料或解除阻止适当的材料,同时监控使用WWW(万维网),FTP(文件传输协议)以及其他协议的服务。最重要的是,防火墙可以防止未经授权的访问您的网络,保护您的数据不受损害,并且与入侵防御系统(IPS)和安全信息和事件管理(SIEM)一起被认为是IT安全堆栈的基石。在这里,体育博彩平台推荐想回顾一下您可能需要部署哪些防火墙,以及管理内联防火墙可用性的最佳实践。
网络防火墙的演变
随着数字威胁的发展,防火墙也在不断发展,从而产生了一系列针对特定需求的附加功能。商业网络中使用防火墙来保护更广泛的网络,有两种基本类型——基于网络的防火墙或基于主机的防火墙。基于网络的防火墙战略性地在LAN或WAN内使用。它们可以是专门构建的硬件防火墙设备、在服务器等通用硬件中运行的防火墙软件,或者在虚拟主机管理程序上运行的虚拟防火墙。直接部署在主机上的基于主机的防火墙控制操作系统或代理应用程序内的网络流量,以提供保护。从基于网络的防火墙到基于主机的防火墙,在过去的25年里出现了越来越多的网络防火墙演进,你可能很熟悉:
1包过滤防火墙
包过滤防火墙会对路由器、交换机等内联设备连接和处理数据的网段之间的报文进行检测。此防火墙维护访问控制列表或建立标准,用于过滤允许的IP地址、数据包类型、目的端口和数据包协议头。这些标准过滤器确定数据包是否被转发、标记或丢弃。包过滤防火墙在处理包方面效率很高,并且以启用复杂的安全策略而闻名。这些防火墙不能在应用层进行过滤,配置复杂,容易受到欺骗攻击。
2-状态检测防火墙
现在被认为是“传统的”防火墙,状态检查防火墙跟踪网络操作和连接,根据状态、端口和协议允许或阻止流量。这些防火墙检查每个数据包,并跟踪它们是否属于已建立的TCP或其他网络会话的一部分。状态检查防火墙具有阻止针对协议网关漏洞和拒绝服务攻击(DDoS)的攻击的能力,可以通过使用更少的开放端口来减少攻击服务,并且倾向于提供比包过滤更高的安全性。这些防火墙往往对无状态协议无效,并且已知会影响网络性能。
3-应用防火墙(代理防火墙)
应用程序级防火墙,也称为代理防火墙或Web应用程序防火墙,是一个网络应用程序到另一个网络应用程序之间的网关,用于控制任何OSI层到应用层的网络流量。此防火墙过滤由目的端口或其他特征(如HTTP请求字符串)指定的数据包。应用层过滤处理应用程序和协议,如FTP (File Transfer Protocol)、DNS (Domain Name System)或HTTP (Hypertext Transfer Protocol),从而识别不需要的应用程序。应用层网关过滤器提供了良好的数据安全性,用于掩盖私有网络的详细信息,但配置起来可能很复杂,并且会影响网络性能,带来很高的处理开销。
4-下一代防火墙(NGFW)
下一代防火墙被认为是超越包过滤和状态检测的下一步发展,用于识别和阻止高级恶意软件和其他危险攻击。ngfw将标准的状态检测防火墙功能与入侵检测/防御、深度包检测和恶意软件过滤功能相结合,提供高级防护,具备从二层到应用层的网络协议监控功能。众所周知,整合不同的安全功能会创建一个可能的故障点,并且非常复杂且流程密集。其他类型的防火墙包括:电路级网关防火墙,用于快速识别恶意内容,监控TCP握手和其他网络协议会话;UTM (Unified threat management)防火墙,通常将状态检测防火墙的功能与入侵防御和反病毒功能相结合。
现在下载:3个关键的网络弹性
(免费白皮书)
避免宕机的防火墙最佳实践
防火墙架构取决于您使用的防火墙类型、需要保护的链路(特定服务器之间、单个端点或网络边缘)以及您计划如何管理可用性。内联防火墙的部署策略包括许多配置、协议以及故障和恢复场景。内联部署工具带来了造成网络停机的固有风险。以下是在防火墙部署中避免停机的3个最佳实践。
1. 沙箱部署
防火墙是位于网段之间的内联设备,用于查看通过该点的所有流量。部署带有外部旁路TAP的防火墙允许您在实际环境中使用实时数据包数据进行沙箱处理,而不会影响网络的可用性。这允许您在将防火墙部署到您的网络之前评估和优化带外防火墙。被测试的防火墙暴露于它将为生产部署监视的相同数据,而不是测试数据,从而增加了正在执行的试验的信心。
2. 内联生命周期管理
今天的防火墙有许多内置的高级特性和功能来保护网络。有了这些附加功能,就有可能出现配置错误和错过维护的情况。这些问题导致系统运行缓慢,出现盲点,最终导致停机。内联生命周期管理(ILM)是管理防火墙可用性的策略——最终通过在不影响网络连接的情况下快速解决计划外停机问题来提供操作隔离。ILM允许您轻松地将防火墙带外更新、安装补丁、执行维护或故障排除,以便在内联回推之前进行优化和验证。
3. 准备计划或计划外停机时间
由于内联防火墙位于网段之间,因此在部署这些解决方案时,管理停机风险是一个关键考虑因素。无论是计划内还是计划外的停机时间,不仅会影响网络的功能,还会影响公司的声誉和收入损失。IT团队通常面临停机:
- 部署防火墙
- 设备过度订阅,降低网络性能
- 错误配置和错过维护
- 设备故障
外部旁路tap提供了三种弹性技术来应对内联防火墙、网络故障安全、心跳技术和远程管理的意外网络停机。Failsafe确保旁路TAP本身,并通过扩展防火墙,不会成为单点故障。如果旁路TAP断电或发生故障,故障安全技术只需触发网络端口绕过TAP和连接的防火墙,保持网络正常,或自动触发冗余的高可用性(HA)解决方案。心跳包监视防火墙的健康状况。旁路TAP不依赖于网络与工具的直接连接,而是专门设计用于来回传递心跳数据包,以检测连接设备的问题。如果没有收到TAP发送的心跳,说明设备脱机,TAP将自动绕过防火墙,即使设备脱机也能保持网络正常。没有网络停机时间。无单点故障。远程管理可以与旁路tap直接交互,以管理内联安全设备的生命周期。通过API级访问,内联设备的远程管理可以在数十/数百个远程位置实现自动化和扩展。这使得NetOps团队能够快速修补和升级关键设备,同时保持与所有远程位置的远程连接。计划的停机时间也会影响网络运行。外部旁路tap提供管理隔离,导致没有或只有很少的维护窗口。利用外部Bypass TAP提供了独特的功能,可以实现内联生命周期管理,用于更新、安装补丁、执行维护或故障排除。旁路TAP已迅速成为任何内联工具的必要补充,尤其是防火墙。希望在防火墙部署中添加旁路解决方案,但不确定从哪里开始?加入体育博彩平台推荐,参加一个简短的网络Design-IT咨询或演示。没有义务——这是体育博彩平台推荐喜欢做的。
