网络安全 防火墙
防火墙
防火墙是任何网络的核心架构元素。它们旨在阻止所有网络流量(我们允许的流量除外)。防火墙在第 4 层运行,通常控制对内部资产的 TCP 和 UDP 访问。下一代防火墙在 OSI 模型的所有层上运行,包括第 7 层。
例如通过防火墙进入网络的流量称为入口流量。离开的流量称为出口。
四层防火墙
传统的防火墙是第 4 层防火墙,具有以下功能:
- 网络地址转换
- 路由
- 阻止或允许流量
- 跟踪活动网络连接
- 支持VPN连接
下一代防火墙 ("Next-Generation Firewalls")
现代防火墙的功能范围比第 4 层防火墙广泛得多。这些功能通常是安全功能。
NGFW 防火墙还可以跟踪活动网络连接,但通常还能够跟踪:
- 通过地理位置数据库定位。这意味着防火墙可以根据用户的位置进行阻止或允许操作。位置服务并不总是准确的,并且通常可以使用 VPN 服务或使用跳转站等其他服务进行攻击轻松绕过。
- 用户
- 应用领域
- 会议
- 港口和服务
- IP地址
NGFW 的其他功能包括:
- 识别和控制网络上的应用程序。
- 它可以被虚拟化以作为软件防火墙运行。
- 通常提供简单直观的管理。
- 支持通过 ("Intrusion Prevention System") 防御已知威胁。
- 通过沙盒解决方案检测和预防未知威胁的潜力。
- 提供了管理未知流量的潜力,例如不能归因于应用程序的流量。
- 终止和检查加密流量的能力。
- 可以通过各自的IP地址控制用户,而不仅仅是系统。
防火墙管理
防火墙通常可以通过专有管理应用程序或通过 HTTP 访问防火墙管理的 Web 浏览器进行管理。
理想情况下,防火墙的管理端口(包括组织的其他管理服务)应与常规用户访问分开。理想情况下,管理服务的分段连接到组织用户目录,例如 Windows 环境的 Active Directory。
分割
防火墙可以将主机和系统之间的流量分段,有时称为区域。每个段都拥有允许彼此通信的服务。
任何进出该网段的连接都应由防火墙仔细控制,以防止任何未经授权的连接以建立成功的连接。较小的细分市场提供了更多的隔离,但需要更多的管理。
无需任何分段,用户和系统就可以直接相互通信,而无需防火墙强制执行。这称为扁平网络。
添加更多细分,我们可以设想代表服务的细分,其中每个细分都是组织中提供的服务。每个段可以包含负责使服务运行的不同服务器。允许网段内的通信,但任何进出该网段的访问均由防火墙控制。
另一种分段想法是根据分段的功能来控制分段,例如将分段内的 Web 应用程序与其他 Web 应用程序、一个分段内的数据库以及分段内的其他类型的服务聚集在一起。
最好、最安全的分段类型称为零信任架构,强制网络上的所有系统明确允许与不同的服务进行通信。
为了简化防火墙规则的管理,防火墙管理最好连接到组织用户目录。这可以允许防火墙管理员根据员工职责创建仔细的规则,允许组织添加和删除应用于网络的权限,而无需在角色更改时随时要求防火墙管理员进行更改。这有时称为基于用户的策略控制。示例包括:
- IT 管理员应该能够使用不同服务的管理协议。
- 应允许 HR 员工访问 HR 平台的 HTTPS。
- 帮助台员工只能访问与帮助台相关的服务。
- 无法识别的用户可以被识别并相应地配置。
IPS ("Intrusion Prevention System") 和 IDS ("Intrusion Detection System")
有时 IPS 和 IDS 系统作为独立系统部署在网络上,但通常它们包含在 NGFW 中。
IPS 和 IDS 系统具有签名、算法和启发式方法来检测网络或主机上的攻击。部署在主机上的 IDS 或 IPS 称为 HIDS ("Host Intrusion Detection System")。
在本课程中,术语 IDS 和 IPS 可以互换使用,因为它们之间的区别通常只是它们运行方式的配置问题。 IPS 系统的定位是可以检测和阻止威胁,而 IDS 系统只能检测威胁。
IPS 系统可用于检测和阻止攻击者,并且通常依赖于加密流量的频繁更新和检查。
内容和应用程序过滤
防火墙可以尝试了解哪些应用程序和内容正在穿越网络。此类检测可以进一步激活 IPS 等其他安全功能,以保护防火墙之间的系统。
网址过滤
NGFW 还可以保护通过 HTTP 访问的内容。防火墙可以在包含域列表和相应分类的数据库中查找域。然后,防火墙可以强制只允许用户允许可接受的域类别,例如允许新闻,但不允许赌博。
还可以检查域名年龄和有效性等元素,防止用户访问最近创建且尚未分类的域名,或通过分析域名内容来检查欺诈活动。
防火墙不会拒绝对网站的访问,而是会拦截请求并将用户发送到所谓的强制网络门户。在此门户上,用户可能会收到有关直接危险或违反公司政策(例如访问不可接受的内容)的警告。在某些情况下,您可以允许用户提供他们需要访问内容的原因,然后在他们提供原因后让他们继续。
域内的类别可以有很多,例如托管与以下内容相关的内容的网站:
- 黑客攻击
- 裸露
- 暴力
- 网络钓鱼
- 约会
- 即时通讯
- 娱乐
- 匿名服务
应用领域
防火墙可以尝试确定哪些应用程序正在使用,而不仅仅是协议。许多协议能够承载其他应用程序,例如HTTP可以承载数千种不同的应用程序。防火墙可以尝试解码第 4 层上的网络流并尝试确定第 7 层上呈现的内容。
屏幕截图显示了应用程序被阻止时用户可以看到的内容。
内容控制
当应用程序被识别时,防火墙可能会尝试显示应用程序中的特定内容,例如正在下载的内容:
- Word文档
- 可执行文件
- 源代码
- 脚本
在此类文件中,防火墙可以尝试识别恶意软件、不应离开网络的专有和机密信息等等。
防火墙可以支持许多不同的协议以及通过它们运行的内容,例如:
- HTTP协议
- 中小企业
- 文件传输协议
- IMAP 和 POP3
- 邮件传输协议
沙盒
在这种情况下,沙箱意味着让平台执行可能是恶意的文件。沙箱记录并监视文件的活动,以确定它是否是恶意的。
沙箱通常允许防火墙将可执行文件转发到该平台,并阻止用户下载该文件,直到做出是否恶意的判决。
现代沙箱能够在多个不同平台上运行文件,例如:
- Windows 7,8 和 10。
- 安卓手机。
- Linux
在沙箱中执行和探索感兴趣的文件不仅仅是可执行文件。许多文件能够在我们用户的操作系统上执行恶意操作:
- 包含要运行内容的 ZIP 文件
- 办公文件
- PDF 文件
- Java应用程序
- JavaScript
- 屏保
除了 NGFW 可以提供的功能之外,还有许多在线沙箱可供您尝试:
- https://www.joesandbox.com/
- https://www.virustotal.com/
- https://www.hybrid-analysis.com/
- https://any.run/
您还可以自行安装沙箱,例如:
- https://cuckoosandbox.org/
解密流量
许多防火墙支持安装允许解密流量的证书。如果内容被解密,则可以检查内容是否存在威胁。
解密可以在出口或入口流量上进行,或者在两者上进行。对于入口流量,防火墙可以保护服务器免受传入流量的影响。出口流量允许防火墙保护需要出站通信的用户和系统。
防火墙通常会避免解密医疗保健和财务数据等流量,因为这可能会产生隐私和其他影响。流量解密需要组织付出更多努力来将密钥分发给客户端,防火墙使用这些密钥来解密流量。
未知流量
某些流量无法被防火墙解密或完全理解。可能有很多原因,例如专有应用程序发送了防火墙不知道的数据。此类流量也可以归类为未知。防火墙管理员应考虑阻止此类应用程序,尤其是来自被视为高风险的网络的应用程序。
WAF ("Web Application Firewall")
虽然防火墙可以做得很好,但它们通常缺乏对协议功能的充分了解。因此,还开发了特定于协议的防火墙,其中 WAF 是最常见的防火墙之一。
与常规防火墙相比,WAF 允许更多特定于 HTTP 协议的功能,使其更有能力阻止威胁。
虽然 WAF 试图很好地阻止 HTTP 上的威胁,但它通常为组织提供其他非常有用的实用程序,使它们不仅可以阻止威胁,还可以实现更多功能。这里有些例子:
- WAF 可以帮助构建冗余,即让多个服务器提供相同的服务。这允许组织以更高的可用模式提供服务,允许他们将服务器脱机,而其他服务器仍然能够为尝试访问该服务的用户提供服务。这很有用,因为修补等概念通常需要您重新启动服务,而冗余允许用户仍然访问该服务。
- WAF 可以帮助实施最佳实践安全规则,例如维护和实施加密的单一位置、多因素身份验证以及本课程涵盖的其他概念。
- 它可用于为 WAF 后面的多个 Web 服务器开发单一前端和保护机制。