網路安全 防火牆
防火牆
防火牆是任何網路的核心架構元素。它們旨在阻止所有網路流量,除非我們允許的流量。防火牆在第 4 層執行,通常控制對內部資產的 TCP 和 UDP 訪問。下一代防火牆在 OSI 模型的所有層上執行,包括第 7 層。
進入網路的流量,例如透過防火牆的流量,稱為入口流量。離開的流量稱為出口流量。
第 4 層防火牆
傳統防火牆是第 4 層防火牆,具有以下功能:
- NAT
- 路由
- 阻止或允許流量
- 跟蹤活動網路連線
- 支援 VPN 連線
NGFW(“下一代防火牆”)
現代防火牆的功能比第 4 層防火牆廣泛得多。這些功能通常是安全功能。
NGFW 防火牆也可以跟蹤活動網路連線,但通常也能夠跟蹤:
- 透過地理位置資料庫進行定位。這意味著防火牆可以根據使用者的位置執行阻止或允許操作。位置服務並不總是準確的,並且經常可以使用 VPN 服務或其他服務(如攻擊者的跳板機)輕鬆繞過。
- 使用者
- 應用程式
- 會話
- 埠和服務
- IP 地址
NGFW 的其他功能包括:
- 識別和控制網路上的應用程式。
- 可以虛擬化以作為軟體防火牆執行。
- 通常提供簡單直觀的管理。
- 支援透過(“入侵防禦系統”)保護已知威脅。
- 透過沙盒解決方案檢測和預防未知威脅的潛力。
- 提供管理未知流量的潛在能力,例如無法歸因於應用程式的流量。
- 終止和檢查加密流量的功能。
- 可以控制使用者,而不僅僅是透過相應的 IP 地址控制系統。
防火牆管理
防火牆通常可以透過專有的管理應用程式或透過 Web 瀏覽器訪問防火牆的 HTTP 管理進行管理。
防火牆的管理埠,包括組織的其他管理服務,理想情況下應與常規使用者訪問隔離開。理想情況下,管理服務的隔離應連線到組織的目錄,例如 Windows 環境的 Active Directory。
分段
防火牆可以將主機和系統之間的流量分段,有時稱為區域。每個段包含允許相互通訊的服務。
與該段的任何傳入或傳出連線都應由防火牆仔細控制,以防止任何未經授權的連線成功建立。較小的段提供更多的隔離,但需要更多的管理。
如果沒有任何分段,使用者和系統可以之間直接通訊,而無需防火牆強制執行。這被稱為扁平化網路。
新增更多分段,我們可以設想代表服務的段,其中每個段是組織中提供的服務。每個段可以包含負責使服務執行的不同伺服器。段內的通訊是被允許的,但是進出該段的任何訪問都由防火牆控制。
另一種分段的思路是根據功能控制段,例如將 Web 應用程式叢集到一個段中,將資料庫放在另一個段中,而其他型別的服務則放在各自的段中。
最安全的分段是零信任架構,強制網路上的所有系統明確允許與不同服務通訊。
為了簡化防火牆規則的管理,防火牆管理應理想地連線到組織的目錄。這可以允許防火牆管理員根據員工職責建立謹慎的規則,使組織能夠新增和刪除網路上應用的許可權,而無需在每次角色更改時都請求防火牆管理員進行更改。這有時稱為基於使用者的策略控制。例如:
- IT 管理員應能夠使用管理協議訪問不同的服務。
- 人力資源員工應被允許訪問 HR 平臺的 HTTPS。
- 幫助臺員工只能訪問與幫助臺相關的服務。
- 無法識別的使用者可以被識別並相應地進行配置。
IPS(“入侵防禦系統”)和 IDS(“入侵檢測系統”)
有時 IPS 和 IDS 系統作為獨立的系統部署在網路上,但通常它們包含在 NGFW 中。
IPS 和 IDS 系統具有簽名、演算法和啟發式方法來檢測網路或主機上的攻擊。部署在主機上的 IDS 或 IPS 稱為 HIDS(“主機入侵檢測系統”)。
在本課程中,IDS 和 IPS 這兩個術語互換使用,因為它們之間的區別通常僅在於它們操作方式的配置。IPS 系統被定位在可以檢測和阻止威脅的位置,而 IDS 系統僅能夠檢測威脅。
IPS 系統可用於檢測和阻止攻擊者,並且通常依賴於頻繁的更新和對加密流量的檢查。
內容和應用程式過濾
防火牆可以嘗試理解哪些應用程式和內容正在穿越網路。這種檢測可以進一步啟用其他安全功能,如 IPS,以保護防火牆之間的系統。
URL 過濾
NGFW 還可以保護透過 HTTP 訪問的內容。防火牆可以查詢包含域名列表及其分類的資料庫。然後,防火牆可以強制使用者僅允許可接受類別的域名,例如,允許新聞,但不允許賭博。
還可以檢查域名年齡和有效性等元素,阻止使用者訪問最近建立且尚未分類的域名,或透過分析域名內容來檢查欺詐活動。
而不是拒絕訪問網站,防火牆可以攔截請求並將使用者傳送到一個稱為強制門戶的頁面。在此門戶上,使用者可能會被警告即時危險或違反公司政策(例如訪問不可接受的內容)。在某些情況下,您可以允許使用者提供需要訪問內容的理由,然後讓他們繼續,如果他們提供了理由。
域名內的類別可能有很多,例如託管相關內容的網站
- 駭客攻擊
- 裸體
- 暴力
- 網路釣魚
- 約會
- 即時通訊
- 娛樂
- 匿名服務
應用程式
防火牆可以嘗試確定正在使用哪些應用程式,而不僅僅是協議。許多協議能夠承載其他應用程式,例如 HTTP 可以承載數千種不同的應用程式。防火牆可以嘗試解碼第 4 層的網路流,並嘗試確定第 7 層呈現的內容。
螢幕截圖顯示了當一個應用程式被阻止時使用者可能會看到的內容。
內容控制
隨著應用程式被識別,防火牆可以嘗試揭示應用程式內的特定內容,例如正在下載的內容
- Word 文件
- 可執行檔案
- 原始碼
- 指令碼
在這些檔案中,防火牆可以嘗試識別惡意軟體、不應離開網路的專有和機密資訊等等。
防火牆可以支援許多不同的協議以及其上的內容,例如
- HTTP
- SMB
- FTP
- IMAP & POP3
- SMTP
沙盒
在此上下文中,沙盒意味著在一個平臺上執行檔案,這些檔案可能是惡意的。沙盒會記錄和監控檔案的活動,以確定它是否惡意。
沙盒通常允許防火牆將可執行檔案轉發到此平臺,並在決定檔案是否惡意之前阻止使用者下載該檔案。
現代沙盒可以在多個不同平臺上執行檔案,例如
- Windows 7、8 和 10。
- Android 手機。
- Linux
有趣的可執行和探索的檔案不僅僅是可執行檔案。許多檔案都能夠在我們使用者的作業系統上執行惡意操作
- 包含要執行內容的 ZIP 檔案
- Office 文件
- PDF 檔案
- Java 應用程式
- JavaScript
- 螢幕保護程式
有許多線上沙盒您可以自己嘗試,除了 NGFW 可以提供的之外
- https://www.joesandbox.com/
- https://www.virustotal.com/
- https://www.hybrid-analysis.com/
- https://any.run/
也有一些您可以自己安裝的沙盒,例如
- https://cuckoosandbox.org/
解密流量
許多防火牆支援安裝證書,這些證書允許解密流量。如果內容被解密,就可以檢查內容是否存在威脅。
解密可以在出口或入口流量上進行,或兩者都進行。對於入口流量,防火牆可以保護伺服器免受傳入流量的侵害。出口流量允許防火牆保護需要出站通訊的使用者和系統。
防火牆通常會避免解密醫療保健和金融資料等流量,因為這可能涉及隱私和其他問題。解密流量需要組織付出更多努力來將金鑰分發給客戶端,這些金鑰由防火牆用於解密流量。
未知流量
有些流量無法被防火牆解密或完全理解。可能存在多種原因,例如專有應用程式傳送了防火牆不知道的資料。此類流量也可歸類為未知。防火牆管理員應考慮阻止此類應用程式,特別是來自被視為高風險的網路。
WAF(“Web 應用程式防火牆”)
雖然防火牆可以做得不錯,但它們通常缺乏對協議功能的完全理解。因此,也開發了協議特定的防火牆,其中 WAF 是更常見的之一。
WAF 提供了比普通防火牆更多的針對 HTTP 協議的功能,使其更能夠阻止威脅。
雖然 WAF 在阻止 HTTP 威脅方面做得很好,但它通常還為組織提供了其他非常有用的實用程式,使其不僅僅是阻止威脅。以下是一些示例:
- WAF 可以幫助構建冗餘,即擁有多個伺服器來提供相同的服務。這使得組織能夠以更高的可用性模式提供服務,允許他們離線一個伺服器,而其他伺服器仍然能夠服務嘗試訪問該服務的使用者。這很有用,因為諸如修補程式之類的概念通常需要您重新啟動服務,而冗餘使使用者仍然可以訪問服務。
- WAF 可以幫助強制執行最佳安全規則,例如在一個地方維護和強制執行加密、多因素身份驗證以及本課程涵蓋的其他概念。
- 它可以用於為 WAF 後面的多個 Web 伺服器開發一個統一的前端和保護機制。
