What Does a Firewall Do?
防火牆是一種網路安全系統,可根據一組預先定義的規則監控輸入和輸出的網路流量。防火牆允許或禁止特定類型的流量,並作為內部網路的守門員。
防火牆的工作原理
防火牆使用網路管理員定義的一組規則來檢查和過濾傳入流量和傳出流量。
交通檢查
防火牆使用稱為深度封包檢查 (DPI) 的程序來檢查透過公共網路傳送的資料封包的封包標頭和有效負載。DPI 可分析封包資料,包括
- 協議
- 目的地連接埠
- 應用程式-層資訊
這有助於他們偵測未經授權或惡意的存取嘗試,即使流量已加密。作為流量檢查的一部分,防火牆會分析每個封包的各個方面,例如:
- 來源和目的地 IP 位址
- 連接埠號碼 (例如,22 表示 SSH,443 表示 HTTPS)
- Protocols (e.g., TCP, UDP, ICMP)
- 應用程式-層資訊 (例如 HTTP 標頭、FTP 指令)
透過分析這些因素,防火牆可區分正常使用者活動與包含未經授權或潛在威脅的流量。
流量過濾
然後,流量會根據預先設定的安全規則被封鎖或允許。
網路管理員定義適合特定業務使用情況的流量類型。篩選條件包括
- IP 位址es: 允許或拒絕特定 IP 位址或 IP 範圍的流量。
- 連接埠號:強制指定連接埠只允許特定類型的流量 (例如,只允許連接埠 443 上的 HTTPS 流量)。
- 通訊協定:根據使用的通訊協定封鎖或允許流量(例如,封鎖所有 ICMP 流量)。
- 應用程式:允許或拒絕存取應用程式或服務 (例如,開啟連接埠 5432 以啟用網路路徑存取資料庫)。
- 其他標準:使用者身分、地理位置和時間都是潛在的因素,可對流量進行更仔細的控制。
只要小心設定,防火牆就能讓使用者完成工作任務,同時也能保護網路免於未經授權的存取,並將安全風險降至最低。
防火牆的主要安全功能
以下是防火牆為確保網路安全所採用的主要安全功能。
狀態偵測
狀態檢查是防火牆的一項功能,可讓防火牆追蹤活動連線的狀態,確保網路上的裝置之間只進行授權通訊。
例如,每次裝置啟動與伺服器的連線時, 狀態防火牆都會在狀態表中建立一個項目。條目包括來源和目的地 IP 位址、連接埠和使用的通訊協定等資訊。防火牆會在裝置之間的整個資料交換過程中監控和更新此項目,確保只允許授權流量。
狀態檢測可防禦常見的網路攻擊,改善惡意流量模式的偵測,並減少誤報,從而增強防火牆的流量識別和封鎖能力。
應用程式中的資訊
進階防火牆應用程式具備 OSI 模型第 7 層的感知能力,意即能夠辨識並控制網路上執行的特定應用程式。 這是透過 DPI 或通訊協定分析來實現的。
應用程式感知提供多種優點,例如
- 限制存取敏感應用程式或服務的能力。
- 重要業務應用程式的優先流量存取。
- 透過詳細的應用程式使用報告,提高網路活動的可見性。
- 增強識別和封鎖不需要的網路流量的能力。
- 簡化複雜網路環境的自動化管理。
入侵偵測與防禦
防火牆可透過分析透過網路傳送的資料封包,找出顯示攻擊或入侵的模式,以偵測和防止未經授權的存取。入侵偵測與防禦系統 (IDPS) 可以專用網路裝置的形式存在,並與防火牆緊密整合。
先進的防火牆可以本機提供 IDPS 功能。
有了這些功能,防火牆可以監控網路流量以找出已知的攻擊訊號,並可參考第三方威脅情資資料庫以找出潛在的安全風險。 然後,他們可以封鎖違規流量,並提醒安全人員有關威脅。
這些關鍵功能可讓 強大的防火牆抵禦網路威脅,確保只有授權使用者才能存取。
附加功能
接下來,我們將探討防火牆提供的其他功能,以增強其功能並提供額外的保護層。
- VPN 支援:防火牆可提供虛擬私人網路路 (VPN) 存取功能,讓遠端使用者連接到網路路,確保所有與使用者之間傳輸的資料都經過加密,從而防止未經授權的存取。 遠端存取 VPN 使用者也可根據細粒度的零信任安全政策,進一步限制到特定區域或應用程式。
- 內容過濾:有些防火牆能夠封鎖惡意網站的存取,或強制執行公司政策,阻止與工作無關的活動,例如使用社交媒體或線上遊戲平台。
- 網路位址轉換 (NAT):NAT 將內部 IP 位址轉換為單一公開 IP 位址,從而隱藏內部 IP,使公眾無法看到。
- 頻寬管理與流量整形:透過最佳化使用者存取內部和外部資源、優先處理重要應用程式而非較不重要的流量,確保有效使用公司頻寬。
接下來我們來看看常見類型的防火牆如何部署在網路中。
防火牆在網路中的用途
不同類型的防火牆在保護雲端基礎架構、複雜的企業網路、中小型企業 (SMB) 甚至家庭網路的安全方面扮演重要角色。
- 軟體 防火牆s:軟體防火牆通常安裝在執行商業應用程式的終端使用者工作站和伺服器上。它們針對特定機器提供保護,防止未經授權存取裝置的資源。
- Proxy 防火牆s: 代理防火牆在應用程式層過濾請求,作為使用者與網際網路之間的中介。它們透過防止直接連線和檢查流量中的惡意內容,提供額外的安全層級。
- 網路 防火牆 s網路防火牆:網路防火牆位於網路的邊界,保護內部資源免受外部威脅。 它們會根據預先定義的安全規則過濾流量,以保障企業和組織基礎架構的安全。
- 次世代防火牆 (NGFWs): NGFW 超越了傳統的狀態檢測 防火牆和封包過濾功能,可實現威脅情資饋送、入侵防禦、應用程式感知、深度封包檢測等進階功能,並確保 HTTPS/TLS 加密流量的安全。 NGFW 對於防禦複雜的網路威脅非常重要,例如網路釣魚、 勒索軟體、 惡意軟體、 DNS 和 IoT 攻擊、 DDoS 等等。
此外,防火牆也用來以這些方式保護網路安全:
- 監管工作站或虛擬機器 (VM) 與外部網路之間的流量。
- 將網路分割成較小的網路,減少攻擊面和在網路內橫向移動的可能性。
- 讓管理員能即時瞭解網路活動,以便迅速回應安全事故。
為何組織需要防火牆
以下是組織需要防火牆的原因。
- 防禦網路威脅:網路和系統遭受攻擊的次數不斷增加,因此需要強大的防禦能力。防火牆針對未經授權的存取和惡意活動提供一層保護,防止駭客滲透網路。
- 資料安全性:防火牆可執行規則,控制進入和離開網路的存取。它們強制執行限制存取連接埠、協定和 IP 位址的政策,確保經授權的使用者和裝置可以存取網路,確保敏感資源的合法存取。
- 合規要求:PCI-DSS、HIPAA 和 GDPR 等業界法規要求組織實施依賴防火牆來保護敏感資料和防止未經授權存取的安全措施。適當的防火牆實施和組態有助於組織展示合規性,並降低罰款或處罰的風險。
Check Point Force AI-Powered Firewalls and Security Gateways
We’ve seen how firewalls ensure reliable access to network resources while protecting both users and organizations alike from threats to security. Check Point’s Check Point Force next-generation firewall offers unprecedented AI-powered threat prevention and integrated threat intelligence capabilities, all while maintaining high performance and ease of use.
Learn more about Check Point’s industry-leading firewalls and how they can protect your organization against cyber threats. Schedule a demo of Check Point Force today or watch 1 min video about Check Point Force capabilities.
