防火墙是最公认的安全工具,用于保护您的网络,是任何安全基础设施.防火墙被视为大多数网络安全架构的网守,允许仅在网络上定义流量。
基本上是防火墙监控传入和传出网络流量,并基于定义的安全规则集防火墙决定是否允许或阻止特定流量。防火墙在可信网络和不受信任的网络之间建立屏障或“防火墙”,通常在互联网这样的关键链接上。
防火墙的主要目的是防止对私有网络的攻击,当可疑活动发生时,允许您监视网络的安全性。防火墙还有助于控制互联网的使用,屏蔽或解除屏蔽适当的材料,同时监控使用WWW(万维网)、FTP(文件传输协议)和其他协议的服务。
底线是,防火墙可以防止未经授权的访问您的网络,保护您的数据不被泄露,并被认为是IT安全堆栈的基石入侵防御系统(IPS)和安全信息和事件管理(SIEM).在这里,我们想回顾一下您可能需要部署哪个防火墙,以及管理内联防火墙可用性的最佳实践。
网络防火墙的演变
随着数字威胁的发展,防火墙也在不断发展,从而产生了一系列针对特定需求的附加功能。商业网络使用防火墙来保护更广泛的网络,有两种基本类别-基于网络或基于主机的防火墙。
基于网络的防火墙在局域网或广域网中战略性地使用。它们要么是专门构建的硬件防火墙设备,要么是运行在通用硬件(如服务器)中的防火墙软件,要么是运行在虚拟主机管理程序上的虚拟防火墙。
基于主机的防火墙直接部署在主机本身上,控制操作系统或代理应用程序中的网络流量以进行保护。
从基于网络和基于托管的防火墙,在过去的25年中出现了越来越多的网络防火墙演进,您可能熟悉:
1 - 数据包过滤器防火墙
数据包过滤防火墙检查网段之间传输的数据包,其中内联设备(如路由器和交换机连接和处理数据)。此防火墙维护访问控制列表或建立的标准,筛选允许的IP地址,数据包类型,目标端口和数据包协议标头。这些标准过滤器确定数据包是否已转发,标记或丢弃。
包过滤防火墙在处理数据包方面非常有效,并以启用复杂的安全策略而闻名。这些防火墙不能在应用层进行过滤,配置复杂,容易受到欺骗攻击。
2-Stateful检查防火墙
现在被认为是“传统”防火墙,一个有状态检查防火墙跟踪网络操作和连接,允许基于状态,端口和协议阻止流量。这些防火墙检查每个数据包并跟踪它们是否是已建立的TCP或其他网络会话的一部分。
有状态检查防火墙的能力阻止针对协议网关的攻击漏洞利用和拒绝服务攻击(DDOS),可以通过使用更少的开放端口运行来减少攻击服务,并且倾向于提供比数据包过滤更多的安全性。这些防火墙往往没有对无状态协议有效,并且已知影响网络性能。
3应用防火墙(代理防火墙)
应用程序级防火墙,也称为代理防火墙或Web应用程序防火墙,是一个网络应用程序与另一个网络应用程序之间的网关,用于控制从OSI层到应用层的任何网络流量。该防火墙过滤由目标端口或其他特征(如HTTP请求字符串)指定的包。
应用层过滤对FTP (File Transfer Protocol)、DNS (Domain Name System)、HTTP (Hypertext Transfer Protocol)等应用和协议进行处理,识别不需要的应用。应用层网关过滤器提供良好的数据安全性,并用于掩盖私有网络细节,但配置可能很复杂,并可能影响网络性能,处理开销很高。
4下一代防火墙(NGFW)
下一代防火墙被认为是超越包过滤和状态检查的发展的下一步,用于识别和阻止高级恶意软件和其他危险的攻击。
ngfw将标准状态检测防火墙功能与入侵检测/防御、深度包检测和恶意软件过滤功能相结合,提供高级防护,能够从二层到应用层监控网络协议。不同的安全功能的整合已知会产生可能的故障点,并且已知是复杂的和流程密集的。
Other types of firewalls include, Circuit-level gateway firewalls, which are used to quickly identify malicious content, monitoring TCP handshakes and other network protocol sessions, and Unified threat management (UTM) firewall’s typically combine the functions of a stateful inspection firewall with intrusion prevention and antivirus.
>>立即下载:网络弹性的3个关键
(免费白皮书)
避免宕机的防火墙最佳实践
防火墙架构基于您使用的是哪种类型的防火墙,需要保护哪些链接 - 在特定服务器,单个端点或网络边缘之间以及您计划如何管理可用性之间。内联防火墙的部署策略包括许多配置,协议以及故障和恢复方案。部署工具内联含有创建网络停机的内在风险。以下是3个最佳实践避免停机时间您的防火墙部署。
1.沙箱部署
防火墙是位于网段之间的内联设备,用于查看通过该点的所有流量。通过部署带有外部旁路TAP的防火墙,您可以在真实环境中使用实时数据包数据进行沙箱操作,而不会影响网络的可用性。这允许您在将防火墙部署到您的网络之前,对其进行带外评估和优化。正在测试的防火墙暴露在它将在生产部署中监视的相同数据中,而不是测试数据,这增加了正在执行的试验的信心。
2.内联生命周期管理
今天的防火墙有许多先进的特性和内置的功能来保护网络。有了这些额外的特性,就有可能出现错误配置和错过维护。这些问题会导致系统运行缓慢、盲点和最终宕机。
内联生命周期管理(ILM)是一种管理防火墙可用性的策略——通过在不影响网络连接的情况下快速解决计划外停机问题,最终提供操作隔离。ILM允许您轻松地将防火墙带出,进行更新、安装补丁、执行维护或故障排除以优化和验证,然后再将其推回内联。
3.准备对于计划或计划计划的停机时间
由于内联防火墙位于网段之间,在部署这些解决方案时,管理宕机风险是一个关键的考虑因素。停机,无论是计划的还是计划外的,不仅会影响网络的功能,还会影响公司的声誉和收入损失。乐动体育 足球快讯
IT团队通常会面临停机时间:
- 部署防火墙
- 设备订阅过多,网络性能下降
- 错误配置和错过维护
- 设备故障
外部旁路水龙头提供了三种弹性技术,以应对内联防火墙、网络故障安全、心跳技术和远程管理的计划外网络停机。
失效保护确保旁路点击本身,并通过扩展防火墙,不会成为一个故障点。如果旁路拍摄失去电源或失败,故障安全技术只需触发网络端口,以绕过水龙头和连接的防火墙,并自动触发冗余高可用性(HA)解决方案。
心跳数据包监视防火墙的运行状况。旁路TAP不依赖于网络与工具的直接连接,而是专门设计的,用于来回传递心跳包,以检测连接设备的问题。如果没有接收到TAP发送的心跳信息,说明设备离线,TAP会自动绕过防火墙,即使设备离线,也会保持网络正常运行。没有网络停机时间。无单点故障。
远程管理允许与旁路tap直接交互,以管理内联安全设备生命周期。通过API级别的访问,内联设备的远程管理可以自动化,并跨数十/数百个远程位置进行扩展。这使得NetOps团队能够快速修补和升级关键设备,同时保持与所有远程位置的远程连接。
计划的停机时间也影响网络运营。外部旁路龙头提供管理隔离,导致无或最小的维护窗口。利用外部旁路TAP提供了实现内联生命周期管理的独特能力,以进行更新,安装修补程序,执行维护或故障排除。
旁路TAP已经迅速成为任何内联工具的必要补充,特别是防火墙。希望为防火墙部署添加一个旁路解决方案,但不确定从哪里开始?加入我们的简短网络设计 - IT咨询或演示.没有义务——这是我们喜欢做的事。
