防火墙是最识别的安全工具,用于保护您的网络,是任何关键组成部分安全基础设施。防火墙被认为是大多数网络安全体系结构的网关,只允许网络上定义的流量。
基本上,防火墙监视传入和传出的网络流量,并根据一组已定义的安全规则来决定是否允许或阻止特定的流量。防火墙在可信网络和不可信网络之间建立一道屏障或“防火墙”,通常是在Internet等关键链接上。
防火墙的主要目的是防止攻击私有网络,允许您在警报发生可疑活动时监视网络的安全性。防火墙还有助于控制互联网的使用,阻止不适当或解除适当的材料,同时使用WWW(万维网),FTP(文件传输协议)以及其他协议监控服务。
底线,防火墙可以防止未经授权的网络访问,保护您的数据受到损害,并被视为IT安全堆栈的基岩入侵预防系统(IPS)和安全信息和事件管理(SIEM)。在这里,我们想回顾您可能需要部署哪些防火墙,以及管理内联防火墙可用性的最佳实践。
网络防火墙的演变
随着数字威胁的发展,因此防火墙 - 导致一系列用于特定需求的额外功能。使用防火墙保护更广泛网络的业务网络有两个基本类别 - 基于网络或基于主机的防火墙。
基于网络的防火墙在LAN或WAN中战略性地使用。这些都是一个目的内置的硬件防火墙设备,防火墙软件像服务器一样的通用硬件运行,或虚拟防火墙运行虚拟主机虚拟机管理程序。
基于主机的防火墙直接部署在主机上,控制操作系统或代理应用程序内的网络流量以进行保护。
从基于网络和基于主机的防火墙,在过去的25年里出现了越来越多的网络防火墙演变,你可能熟悉:
1盒过滤防火墙
包过滤防火墙检查网段之间传输的包,内联设备如路由器和交换机连接和处理数据。该防火墙维护一个访问控制列表或已建立的标准,用于过滤允许的IP地址、包类型、目的端口和包协议头。这些条件过滤器确定数据包是否被转发、标记或丢弃。
包过滤防火墙在处理包时效率很高,并且以启用复杂的安全策略而闻名。这些防火墙不能在应用层进行过滤,配置起来可能很复杂,而且容易受到欺骗攻击。
2状态检查防火墙
现在被认为是“传统”防火墙的是一种状态检查防火墙,它跟踪网络操作和连接,允许或阻止基于状态、端口和协议的流量。这些防火墙检查每个数据包,并跟踪它们是否属于已建立的TCP或其他网络会话的一部分。
状态检查防火墙有能力阻止针对协议网关的攻击和拒绝服务攻击(DDoS),通过使用更少的开放端口操作,可以减少攻击服务,并倾向于提供比任何一种包过滤更高的安全性。这些防火墙往往对无状态协议不起作用,并且已知会影响网络性能。
3应用防火墙(代理防火墙)
应用程序级防火墙,也称为代理防火墙或Web应用程序防火墙,是一个网络应用程序到另一个网络应用程序之间的网关,用于控制任何OSI层上的网络流量到应用层。此防火墙过滤由目标端口指定的数据包或其他特征,如HTTP请求字符串。
应用层过滤处理应用程序和协议,例如文件传输协议(FTP),域名系统(DNS)或超文本传输协议(HTTP),允许其识别不需要的应用程序。应用层网关过滤器提供良好的数据安全性,用于模糊私有网络细节,但可以复杂,可以影响高处理开销的网络性能。
4-Next-generation防火墙(NGFW)
下一代防火墙被认为是扩展超出数据包过滤和状态检查的下一步,用于识别和阻止高级恶意软件和其他危险攻击。
NGFWS将标准的状态检查防火墙功能与入侵检测/预防,深度数据包检测和恶意软件过滤组合,提供高级保护,并且能够通过应用层监视从第2层的网络协议7.已知不同安全功能的合并创建可能的点未发生故障,已知是复杂的和过程密集。
其他类型的防火墙包括电路级网关防火墙,用于快速识别恶意内容、监控TCP握手和其他网络协议会话。统一威胁管理(Unified threat management, UTM)防火墙通常将状态检查防火墙的功能与入侵防御和反病毒功能结合起来。
>>现在下载:网络弹性的3个密钥
(免费白皮书)
防火墙最佳实践,以避免停机时间
防火墙体系结构基于您使用的防火墙类型、需要保护的链接——特定服务器之间、单个端点之间或网络边缘上的链接,以及您计划如何管理可用性。内联防火墙的部署策略包括许多配置、协议以及故障和恢复场景。内联部署工具会带来创建网络停机的固有风险。以下是3个最佳实践避免停机时间使用您的防火墙部署。
1.沙箱部署
防火墙是坐在网段之间的内联设备,以查看通过该点的所有流量。使用外部旁路部署防火墙,允许您使用实时数据包数据在真实环境中的沙箱,而不会影响网络的可用性。这允许您在部署它在网络中的频段外,可以评估和优化防火墙。正在测试的防火墙暴露于相同的数据,它将监视生产部署,而不是测试数据,增加所执行的试验的置信度。
2.内联生命周期管理
今天的防火墙具有多种高级功能和功能,以保护网络。通过这些额外的功能是错误控制和错过维护的实际潜力。这些问题导致慢速系统,盲点和最终停机。
内联生命周期管理(ILM)是管理防火墙的可用性的策略 - 最终通过加急问题解决方案分辨率而无需影响网络连接。ILM允许您轻松地携带防火墙以进行更新,安装修补程序,执行维护或故障排除以在推送内联之前优化和验证。
3.准备用于计划内或计划外停机
由于内联防火墙坐在网络段之间,管理停机风险是部署这些解决方案时的重大考虑因素。停机时间,无论是计划还是计划生,都不只会影响网络的功能,而且会影响到公司的声誉和收入。乐动体育 足球快讯
IT团队通常面临停机时间:
- 部署防火墙
- 超额信用设备,降低网络性能
- 错误配置和丢失维护
- 设备故障
外部旁路点击提供了三种弹性技术,可以为内联防火墙,网络故障,心跳技术和远程管理进行打击计划计划的网络停机。
失效保护确保旁路TAP本身,并通过扩展防火墙,不会成为一个单一的故障点。如果旁路TAP失去电源或发生故障,故障安全技术只是触发网络端口绕过TAP和连接的防火墙,保持网络正常运行,或自动触发冗余高可用性(HA)解决方案。
心跳包监控防火墙的健康状况。旁路抽头而不是依赖网络的直接连接,而是专门设计,专门设计用于通过连接设备来传递心跳数据包来通过连接的设备来检测问题。如果从点击发送的心跳未收到后,表示设备脱机,则水龙头将自动绕过防火墙,即使设备脱机,即使设备脱机,也会保持联网。没有网络停机时间。没有单点失败。
远程管理启用与旁路间隙的直接交互以管理内联安全设备生命周期。使用API级别访问权限,内联设备的远程管理可以自动化和缩放数十个/数百个远程位置。这使Netops团队能够快速修补和升级关键设备,同时保持与所有远程位置的远程连接。
计划性停机也会影响网络运行。外部旁路水龙头提供管理隔离,导致没有或最小的维护窗口。利用外部Bypass TAP提供了为更新、安装补丁、执行维护或故障排除实现内联生命周期管理的独特能力。
旁路点击已快速成为任何内联工具,尤其是防火墙的基本补充。希望在防火墙部署中添加旁路解决方案,但不确定在哪里开始?加入我们的简短网络设计- it咨询或演示。没有义务 - 这就是我们喜欢做的事情。
