防火墙是最识别的安全工具,用于保护您的网络,是任何关键组成部分安全基础设施。防火墙被认为是大多数网络安全体系结构的看门人,只允许网络上已定义的流量。
基本上,防火墙监视传入和传出的网络流量,并根据一组定义好的安全规则决定是否允许或阻止特定的流量。防火墙在受信任的网络和不受信任的网络之间建立一道屏障,通常是在像Internet这样的关键链接上。
防火墙的主要目的是防止攻击私有网络,允许您在警报发生可疑活动时监视网络的安全性。防火墙还有助于控制互联网的使用,阻止不适当或解除适当的材料,同时使用WWW(万维网),FTP(文件传输协议)以及其他协议监控服务。
底线,防火墙可以防止未经授权的网络访问,保护您的数据受到损害,并被视为IT安全堆栈的基岩入侵预防系统(IPS)和安全信息与事件管理(SIEM)。在这里,我们希望查看您可能需要部署和最佳实践的防火墙,以管理内联防火墙的可用性。
网络防火墙的演变
随着数字威胁的发展,因此防火墙 - 导致一系列用于特定需求的额外功能。使用防火墙保护更广泛网络的业务网络有两个基本类别 - 基于网络或基于主机的防火墙。
在LAN或WAN中战略性地使用基于网络的防火墙。它们要么是专门构建的硬件防火墙设备,要么是在服务器等通用硬件中运行的防火墙软件,要么是在虚拟主机管理程序上运行的虚拟防火墙。
基于主机的防火墙直接在主机本身上部署,控制操作系统内的网络流量或用于保护的代理应用程序。
从基于网络的防火墙和基于主机的防火墙,在过去的25年里出现了越来越多的网络防火墙的演变,你可能熟悉:
1盒过滤防火墙
包过滤防火墙检查在内联设备(如路由器和交换机)连接和处理数据的网段之间传输的包。此防火墙维护一个访问控制列表或已建立的标准,过滤允许的IP地址、包类型、目的端口和包协议头。这些条件过滤器确定数据包是否被转发、标记或丢弃。
数据包过滤防火墙在处理数据包中有效,并且已知用于启用复杂的安全策略。这些防火墙无法在应用程序层中过滤,可以复杂配置,并且易于欺骗攻击。
2-Stateful检查防火墙
现在被认为是“传统的”防火墙,状态检查防火墙跟踪网络操作和连接,允许或阻止基于状态、端口和协议的流量。这些防火墙检查每个包,并跟踪它们是否是已建立的TCP或其他网络会话的一部分。
状态检测防火墙有能力阻止针对协议网关攻击和拒绝服务攻击(DDoS)的攻击,通过使用更少的开放端口操作,可以减少攻击服务,而且往往比包过滤提供更多的安全性。这些防火墙往往对无状态协议不起作用,而且已知会影响网络性能。
3申请防火墙(代理防火墙)
应用程序级防火墙,也称为代理防火墙或Web应用程序防火墙,是一个网络应用程序到另一个网络应用程序之间的网关,用于控制任何OSI层上的网络流量到应用层。此防火墙过滤由目标端口指定的数据包或其他特征,如HTTP请求字符串。
应用层过滤处理各种应用和协议,如FTP (File Transfer Protocol)、DNS (Domain Name System)或HTTP (Hypertext Transfer Protocol),以识别不需要的应用程序。应用层网关过滤器提供了良好的数据安全性,并用于掩盖专用网络的细节,但配置起来可能很复杂,并且可能会影响网络性能,从而带来较高的处理开销。
4-Next-generation防火墙(NGFW)
下一代防火墙被认为是扩展超出数据包过滤和状态检查的下一步,用于识别和阻止高级恶意软件和其他危险攻击。
NGFWS将标准的状态检查防火墙功能与入侵检测/预防,深度数据包检测和恶意软件过滤组合,提供高级保护,并且能够通过应用层监视从第2层的网络协议7.已知不同安全功能的合并创建可能的点未发生故障,已知是复杂的和过程密集。
其他类型的防火墙包括电路级网关防火墙(用于快速识别恶意内容)、监控TCP握手和其他网络协议会话,以及统一威胁管理(UTM)防火墙通常将状态检测防火墙的功能与入侵防御和反病毒功能结合起来。
>>立即下载:3个网络弹性的键
[免费白皮书]
防火墙最佳实践,以避免停机时间
防火墙体系结构基于您使用的防火墙类型、需要保护的链接(在特定服务器之间、单个端点或在网络边缘)以及您计划如何管理可用性。内联防火墙的部署策略包括许多配置、协议以及故障和恢复场景。内联部署工具会带来创建网络停机的固有风险。这里有3个最佳实践避免停机时间与您的防火墙部署。
1.沙箱部署
防火墙是位于一个网段之间的内联设备,用于查看通过该点的所有流量。部署带有外部旁路TAP的防火墙可以让您在真实环境中使用实时数据包数据进行沙箱操作,而不会影响网络的可用性。这允许您在将防火墙部署到您的网络之前,对其进行带外评估和优化。要测试的防火墙将暴露给它在生产部署中监视的相同数据,而不是测试数据,这增加了正在执行的测试的信心。
2.内联生命周期管理
今天的防火墙内置了许多先进的特性和功能来保护网络。有了这些额外的特性,就有可能出现错误配置和错过维护。这些问题会导致系统运行缓慢,出现盲点,最终导致停机。
内联生命周期管理(ILM)是管理防火墙的可用性的策略 - 最终通过加急问题解决方案分辨率而无需影响网络连接。ILM允许您轻松地携带防火墙以进行更新,安装修补程序,执行维护或故障排除以在推送内联之前优化和验证。
3。准备用于计划或计划外停机
由于内联防火墙位于网络段之间,因此在部署这些解决方案时,管理停机风险是一个重要的考虑因素。停机时间,无论是计划中的还是计划外的,不仅会影响网络的功能,还会影响公司的声誉和损失的收入。乐动体育 足球快讯
IT团队通常面临停机时间:
- 部署防火墙
- 超额信用设备,降低网络性能
- 错误配置和错过维护
- 设备故障
外部旁路抽点提供了三种弹性技术,用于对抗内联防火墙、网络故障安全、心跳技术和远程管理的计划外网络停机。
失败确保旁路TAP本身,并通过扩展防火墙,不会成为单点故障。如果旁路TAP断电或即将故障,故障安全技术会触发网络端口旁路TAP并连接防火墙以保持网络正常,或者自动触发冗余高可用性(HA)解决方案。
心跳包监控防火墙的健康状况。旁路抽头而不是依赖网络的直接连接,而是专门设计,专门设计用于通过连接设备来传递心跳数据包来通过连接的设备来检测问题。如果从点击发送的心跳未收到后,表示设备脱机,则水龙头将自动绕过防火墙,即使设备脱机,即使设备脱机,也会保持联网。没有网络停机时间。没有单点失败。
远程管理允许与旁路轻击直接交互,以管理内联安全设备的生命周期。通过API级访问,内联设备的远程管理可以实现自动化,并可在数十个/数百个远程位置进行扩展。这使得NetOps团队能够快速修补和升级关键设备,同时保持到所有远程位置的远程连接。
计划停机也会影响网络运行。外部旁路抽头提供管理隔离,导致没有或最小的维护窗口。利用外部旁路抽头提供了独特的能力,实现内联生命周期管理的更新,安装补丁,执行维护或故障排除。
旁路TAP已迅速成为任何内联工具的必要补充,特别是防火墙。希望在防火墙部署中添加旁路解决方案,但不确定从哪里开始?加入我们的简短网络设计咨询或演示。没有义务,这是我们喜欢做的。
