标签：数据包 第5页

防火墙是重要的安全层，充当专用网络与外部世界之间的屏障。从第一代无状态防火墙到下一代防火墙，防火墙架构在过去四十年中发生了巨大的变化。如今，组织可以在多种类型的防火墙之间进行选择，包括应用程序级网关（代理防火墙）、状态检测防火墙和电路级网关，甚至可以同时使用多种类型的防火墙来实现深层、全面的安全解决方案。了解有关各种类型防火墙的基础知识、它们之间的区别以及每种类型如何以不同方式保护您的网络。,,防火墙是一种安全工具，可监控传入和/或传出网络流量，以根据预定义规则检测和阻止恶意数据包，只允许合法流量进入您的专用网络。作为硬件、软件或两者实施的防火墙通常是您抵御恶意软件、病毒和试图进入您组织的内部网络和系统的攻击者的第一道防线。,就像建筑物主入口处的金属探测器门一样，物理或硬件防火墙会在让每个数据包进入之前对其进行检查。它会检查源地址和目标地址，并根据预定义的规则确定数据包是否应该进入通过与否。一旦数据包进入您组织的内部网，软件防火墙可以进一步过滤流量以允许或阻止访问计算机系统上的特定端口和应用程序，从而更好地控制和保护内部威胁。,访问控制列表可以定义不可信任的特定互联网协议 (IP) 地址。防火墙将丢弃来自这些 IP 的任何数据包。或者，访问控制列表可以指定可信源 IP，防火墙将只允许来自那些列出的 IP 的流量。设置防火墙的技术有多种。它们提供的安全范围通常还取决于防火墙的类型及其配置。,在结构上，防火墙可以是软件、硬件或两者的组合。, 软件防火墙,软件防火墙单独安装在各个设备上。它们提供更精细的控制，允许访问一个应用程序或功能，同时阻止其他应用程序或功能。但它们在资源方面可能很昂贵，因为它们会利用安装它们的设备的 CPU 和 RAM，并且管理员必须为每台设备单独配置和管理它们。此外，Intranet 中的所有设备可能不与单个软件防火墙兼容，并且可能需要多个不同的防火墙。,, 硬件防火墙,另一方面，硬件防火墙是物理设备，每个都有自己的计算资源。它们充当内部网络和 Internet 之间的网关，将数据包和流量请求从私有网络之外的不受信任的来源保留下来。物理防火墙对于同一网络上有许多设备的组织来说很方便。虽然它们在恶意流量到达任何端点之前就将其阻止，但它们不提供针对内部攻击的安全性。因此，软件和硬件防火墙的组合可以为您组织的网络提供最佳保护。,防火墙也根据它们的操作方式进行分类，每种类型都可以设置为软件或物理设备。根据它们的操作方法，有四种不同类型的防火墙。, 1. 包过滤防火墙,包过滤防火墙是最古老、最基本的防火墙类型。它们在网络层运行，根据预定义的规则检查数据包的源 IP 和目标 IP、协议、源端口和目标端口，以确定是通过还是丢弃数据包。数据包过滤防火墙本质上是无状态的，独立监控每个数据包，而不会对已建立的连接或之前通过该连接的数据包进行任何跟踪。这使得这些防火墙抵御高级威胁和攻击的能力非常有限。,包过滤防火墙快速、便宜且有效。但是它们提供的安全性非常基本。由于这些防火墙无法检查数据包的内容，因此它们无法防范来自可信源 IP 的恶意数据包。由于是无状态的，它们也容易受到源路由攻击和微小碎片攻击。但是，尽管功能最少，但包过滤防火墙为提供更强大和更深入安全性的现代防火墙铺平了道路。,, 2. 电路级网关,在会话层工作，电路级网关验证已建立的传输控制协议 (TCP) 连接并跟踪活动会话。它们与数据包过滤防火墙非常相似，因为它们执行单一检查并使用最少的资源。但是，它们在开放系统互连 (OSI) 模型的更高层起作用。首先，它们确定已建立连接的安全性。当内部设备发起与远程主机的连接时，电路级网关代表内部设备建立虚拟连接，以隐藏内部用户的身份和 IP 地址。,电路级网关具有成本效益、简单、几乎不影响网络性能。然而，它们无法检查数据包的内容，这使得它们本身就是一个不完整的安全解决方案。包含恶意软件的数据包如果具有合法的 TCP 握手，则可以轻松绕过电路级网关。这就是为什么另一种类型的防火墙通常配置在电路级网关之上以提供额外保护的原因。, 3. 状态检测防火墙,领先于电路级网关、状态检查防火墙以及验证和跟踪已建立连接的步骤还执行数据包检查，以提供更好、更全面的安全性。它们的工作方式是在建立连接后创建一个包含源 IP、目标 IP、源端口和目标端口的状态表。他们动态创建自己的规则以允许预期的传入网络流量，而不是依赖基于此信息的一组硬编码规则。它们可以方便地丢弃不属于经过验证的活动连接的数据包。,状态检测防火墙检查合法连接以及源和目标 IP 以确定哪些数据包可以通过。尽管这些额外的检查提供了高级安全性，但它们会消耗大量系统资源并且会大大降低流量。因此，它们很容易受到 DDoS（分布式拒绝服务攻击）。, 4. 应用级网关（代理防火墙）,应用层网关，又称代理防火墙，是通过代理设备在应用层实现的。连接是通过代理防火墙建立的，而不是外部人员直接访问您的内部网络。外部客户端向代理防火墙发送请求。在验证请求的真实性后，代理防火墙代表客户端将其转发到其中一个内部设备或服务器。或者，内部设备可以请求访问网页，代理设备将转发该请求，同时隐藏内部设备和网络的身份和位置。,,与数据包过滤防火墙不同，代理防火墙执行状态和深度数据包检查，以根据一组用户定义的规则分析数据包的上下文和内容。根据结果??，他们要么允许要么丢弃数据包。它们通过阻止内部系统和外部网络之间的直接连接来保护敏感资源的身份和位置。但是，配置它们以实现最佳网络保护可能很棘手。您还必须牢记权衡——代理防火墙本质上是主机和客户端之间的额外屏障，会导致相当大的速度下降。, 哪种类型的防火墙最适合我的组织？,没有一种万能的解决方案可以满足每个组织的独特安全需求。每种不同类型的防火墙都有其优点和局限性。数据包过滤防火墙简单但提供有限的安全性，而状态检查和代理防火墙可能会损害网络性能。下一代防火墙似乎是一个完整的包，但并非所有组织都有预算或资源来成功配置和管理它们。,随着攻击变得越来越复杂，您的组织的安全防御必须迎头赶上。保护内部网络外围免受外部威胁的单个防火墙是不够的。专用网络中的每项资产也需要自己的个人保护。最好采用分层的安全方法，而不是依赖单个防火墙的功能。当您可以在专为您组织的安全需求优化的架构中利用多个防火墙的优势时，为什么还要选择一个。, 什么是下一代防火墙？,下一代防火墙 (NGFW) 旨在克服传统防火墙的局限性，同时提供一些额外的安全功能。尽管具有灵活的功能和体系结构，真正使防火墙成为下一代的是除了端口/协议和表面层数据包检测之外，它还能够执行深度数据包检测。根据Gartner的说法，虽然没有具体的、公认的定义，但下一代防火墙是“一种深度数据包检测防火墙，它超越了端口/协议检测和阻止，增加了应用程序级检测、入侵防御，并带来情报从防火墙外。”,,下一代防火墙在不影响网络性能的情况下将其他类型防火墙的功能组合到一个解决方案中。它们比它们的任何前辈都更强大，并提供更广泛和更深入的安全性。除了执行深度数据包检查以检测异常和恶意软件之外，NGFW 还具有用于智能流量和资源分析的应用程序感知功能。这些防火墙完全能够阻止 DDoS 攻击。它们具有安全套接字层 (SSL) 解密功能，以获得跨应用程序的完全可见性，使它们能够识别和阻止来自加密应用程序的数据泄露企图。,下一代防火墙可以识别用户和用户角色，但它们的前身主要依赖于系统的 IP 地址。这一突破性功能使用户能够利用无线便携式设备，同时在灵活的工作环境和自带设备 (BYOD) 策略中提供广谱安全性。它们还可能结合其他技术，例如防病毒和入侵防御系统 (IPS)，以提供更全面的安全方法。,下一代防火墙适用于需要遵守健康保险流通与责任法案 (HIPAA) 或支付卡行业 (PCI) 规则的企业，或者需要将多种安全功能集成到单一解决方案中的企业。但它们的价格确实高于其他类型的防火墙，并且根据您选择的防火墙，您的管理员可能需要为它们配置其他安全系统。, ,防火墙是重要的安全层，充当专用网络与外部世界之间的屏障。从第一代无状态防火墙到下一代防火墙，防火墙架构在过去四十年中发生了巨大的变化。如今，组织可以在多种类型的防火墙之间进行选择，包括应用程序级网关（代理防火墙）、状态检测防火墙和电路级网关，甚至可以同时使用多种类型的防火墙来实现深层、全面的安全解决方案。了解有关各种类型防火墙的基础知识、它们之间的区别以及每种类型如何以不同方式保护您的网络。,在结构上，防火墙可以是软件、硬件或两者的组合。,

真正的谈话？我们大多数人都知道防火墙是网络安全的重要组成部分，但不知道防火墙是如何工作的或它们实际做了什么。信不信由你，有多种类型的防火墙，每种类型都提供不同的保护、优点和缺点。为您的企业规模和类型选择正确的防火墙类型可以对您企业的在线安全产生巨大影响。别担心——我们随时为您提供帮助。,,我们已经深入研究了网络安全领域。我们已经弄清楚了行业术语，并弄清楚了数据包过滤和应用层检查之间的区别。我们还提供了一系列建议，旨在帮助您找到适合您业务需求的完美防火墙解决方案。,大多数人没有意识到他们的 Windows 或 Mac 计算机已经包含免费的防火墙软件。因此，如果您是一个独立经营小型企业的个人，您可能已经拥有所需的所有入侵保护——无需昂贵的第三方防火墙。,如果您有一台 Windows 计算机，则您的操作系统已经包含 Windows Defender — Microsoft 的免费防火墙软件。Windows Defender 是一个状态检查防火墙，因此它会在每次在线交换时分析 TCP 握手和数据包标签（稍后会详细介绍）。它已在您的计算机上预先启用，因此您无需执行任何操作即可开始使用。,在 Apple 计算机上，您会获得 OS X 应用程序防火墙——一种监控 TCP 握手的电路级网关软件。虽然它允许您设置自己的防火墙规则，但它不使用数据包过滤，这使得它不如免费的 Windows 防火墙可靠。而且它没有预先启用，因此请务必在连接到 Internet 之前打开您的防火墙软件。,还要记住，Windows Defender 和 OS X 应用程序防火墙都是软件防火墙，因此它们只能保护您的个人计算机 – 因此我们将它们推荐给个人，而不是大公司。它们也相当基础，因此如果您要处理大量敏感数据（如客户信用卡号、地址或电话号码），您可能需要升级到第三方软件防火墙。,,第三方防火墙补充了您计算机上现有的防火墙软件。它们提供额外的安全功能来帮助阻止潜在的网络犯罪分子。每个第三方防火墙解决方案都提供了不同的功能组合，因此您可能需要进行一些购物才能找到适合您需求的软件。但功能可能包括额外的深度数据包检测层、反垃圾邮件功能、数据备份等等——可能性几乎是无穷无尽的。,如果您是处理敏感数据的个人，我们建议您使用此选项，因为它为您提供了额外的工具和保护措施，以确保数据的安全，同时价格实惠且易于管理。,话虽如此，拥有多名员工的公司可能更喜欢硬件防火墙。由于软件防火墙只能保护安装了软件的设备，因此它不能保护您的整个网络。此外，您必须在网络上的每台设备（甚至是移动设备！）上手动安装和更新软件。根据软件的不同，您可能还必须为每台设备购买单独的许可证，这很昂贵——尤其是考虑到许多第三方防火墙的价格。,不过，不要误会我们的意思——在公司设备上安装软件防火墙仍然很重要。如果您网络上的每台设备都有软件防火墙，那么即使有一台设备被渗透，您的网络仍然受到保护。软件防火墙还允许您的员工在他们最喜欢的咖啡馆工作，并享受与办公室相同的在线安全性。我们只是说复杂的第三方软件防火墙可能不适用于大公司——至少不能作为您的主要网络安全解决方案。,您拥有的员工越多，您网络上的某个人就越有可能意外安装恶意软件或下载计算机病毒。这就是为什么我们认为最好的小型企业防火墙是防火墙+防病毒软件的组合。,包含防病毒软件的防火墙使用深度数据包检查来识别和拒绝包含恶意软件或病毒的文件、消息和其他形式的数据。因此，与常规防火墙相比，它们具有更好的入侵检测记录。通常，此类软件充当 Web 应用程序防火墙，因此无论您使用哪个应用程序访问互联网，它都能确保您的安全。,,请记住，此建议仍然是软件防火墙，因此它具有与第三方软件防火墙相同的所有缺点。话虽如此，我们认为如果您的员工人数超过几个，那么在每位员工的设备上安装和更新软件所带来的额外成本和不便都是值得的（因为“捕获”恶意软件或病毒的机会会随着您的人数增加而增加）带进来）。,如果您经营一家拥有多名员工的小型企业，那么您很可能已经投资了一个基本的 Wi-Fi 路由器，因此办公室中的每个人都可以同时连接到互联网。如果是这样，您已经获得了基本的防火墙保护。,Wi-Fi 路由器是一种出色的低预算、小型企业防火墙解决方案，因为路由器会自动阻止任何不符合基本安全参数（当然，由您设置）的外部流量。这基本上使您的路由器成为无状态防火墙，像保镖一样监控TCP 握手，以确保每个传入的请求都在您的内部网络的“列表”上。,当然，这意味着您的路由器只能提供最低限度的网络安全性——如果您要处理大量不想被泄露的敏感数据，这并不理想。在这种情况下，您可能应该升级到防火墙路由器或第三方软件防火墙。,不过，从好的方面来说，路由器是硬件防火墙，因此它可以保护网络上的所有设备。这可以节省您的资金，因为您不必为每个员工的计算机购买许可证。此外，您只需 10 美元就可以找到基本的路由器，而且您不必浪费宝贵的业务时间在每位员工的计算机上更新、监控和安装防火墙。,,随着业务的发展，在每个员工设备上安装和维护防火墙软件变得越来越不切实际——至少作为网络安全的主要形式。在这种情况下，一次保护整个网络的硬件防火墙可能是更好的解决方案。输入防火墙路由器。,防火墙路由器通过添加更复杂的防火墙规则来更好地识别安全威胁，从而升级您使用基本路由器获得的安全性。某些型号提供状态安全防火墙、内置防病毒软件（通过您的路由器而不是单个设备运行）、应用程序监控和“家长”控制，以阻止员工访问危险站点（或任何您认为不适合工作的站点）。,这意味着您可以获得软件防火墙的所有保护，但您可以在一台设备中控制所有设置和更新。此外，您还可以为连接到 Wi-Fi 网络的每台设备（包括移动设备）提供保护。,如果您的业务分布在多个办公室，或者您有远程员工，您就会知道让每个人都在同一页面上是多么困难。不过，好消息是：使用 VPN 路由器，它会变得更容易并提高您的安全性。,通常，只有 Internet 连接上的设备才能访问您的内部网络。这意味着设备必须物理存在于同一位置才能相互连接以进行文件共享、打印和其他内部网络功能。,但是使用虚拟专用网络（或 VPN），您可以通过 VPN 隧道将您的私有内部业务网络扩展到其他批准的设备和网络。这些隧道充当数据分层的另一层（例如将一封信放入盒子内的信封中），过滤掉试图渗透您内部网络连接的黑客的攻击。,VPN 路由器简化了这个过程。当您的每个地点都使用 VPN 路由器时，您的路由器可以相互通信，有效地将每个办公室的内部网络组合成一个大型专用网络。最后，这使得与远程员工和办公室的沟通和协作变得更加容易，同时仍然享受全公司范围内的高水平网络安全。,,如果您的企业在您自己的服务器上托管网站，那么除了您的专用网络防火墙解决方案之外，您可能还需要一个负载平衡器。托管网站时，您的服务器需要面向外部，这意味着公众可以访问存储在您服务器上的数据。否则，用户将无法加载您的网站。但您还希望保护您的服务器免受黑客和其他恶意在线实体的侵害。幸运的是，负载平衡器可以充当自动防火墙，就像内部网络的路由器一样。,负载均衡器在您的服务器之间分配传入流量。这样，没有单个服务器会被同时请求所淹没。负载平衡不仅使您的托管网站加载速度更快，还可以保护您的企业免受 DDOS 攻击（黑客劫持多个系统以压倒您的服务器并使您的网站崩溃）。,如果您已经在使用负载平衡，则可能不需要另一个防火墙来保护您的服务器。负载平衡器已经监视TCP 握手并执行数据包过滤功能以确定分发传入请求的最有效方式。换句话说，它已经充当了状态防火墙并丢弃了恶意传入流量。少一件需要担心的事情，对吧？,如果您经营大型企业级业务，您可能需要比路由器或单个软件更复杂的安全解决方案。在这种情况下，您可能需要考虑统一威胁管理 (UTM) 解决方案。,每个 UTM 产品都是不同的——有些是物理设备，有些是软件，有些是基于云的，有些是这三者的组合。但是，无论采用何种实施方法，所有 UTM 解决方案都旨在为您的所有安全需求提供一站式服务。,UTM 解决方案通常在一个地方提供防火墙、防病毒、VPN 和其他入侵检测和防御功能。这样一来，您就可以对 Wi-Fi 网络（或虚拟专用网络）上所有设备上的所有 Web 应用程序进行深度数据包过滤，但所有这些都在一个地方进行控制。,UTM 解决方案的确切成本可能会因您选择的提供商、业务规模以及 UTM 包含的特定功能组合而有很大差异。一些 UTM 的成本与第三方软件防火墙大致相同。但要为更高的总体成本做好准备——毕竟，您正在将防病毒保护、VPN 安全、软件防火墙和硬件防火墙整合到一个解决方案中。,,防火墙提供商使用了很多行话，这使得很难理解每个选项实际提供的内容。所以这里是我们在本文中经常使用的一些术语的快速和肮脏的细分。, TCP 握手,TCP听起来像是毒品或高端清洁产品，但实际上是传输控制协议的简称。每个在线设备都使用 TCP 连接到互联网，当两个设备想要相互连接时，它们使用 TCP 握手。,因此，假设您使用笔记本电脑并想要访问一个网站。您的计算机会向托管该网站的服务器发送称为SYNchronize的请求。然后，服务器将发回所谓的ACKnowledge响应。最后，您的计算机会以自己的ACKnowledge响应作为回报，并且——瞧！——你已连接到该网站。,这与防火墙和网络安全有什么关系？聪明的黑客可以伪造 TCP 握手并使用它来访问您企业的内部网络。这就是防火墙保护如此重要的最基本原因之一。, 电路级网关,一些防火墙充当电路级网关，这意味着它们监视您的设备或网络上的 TCP 握手以确定这些会话是否合法。这种类型的网络过滤是一种非常基本的安全解决方案，但它可以帮助保护您免受黑客试图伪造 TCP 握手以访问您公司的专用网络。,电路级网关还会屏蔽网络上每个设备的单独 IP 地址。相反，所有来自您网络的传出流量都会被赋予一个 ID，该 ID 与您的电路级网关设备（通常是路由器）的 IP 地址一起使用。这为您的公司和员工提供了额外的隐私保护。,, 包过滤,互联网上的数据是通过数据包传输的。将数据包想象成信封：外部标有递送信息（递送地址、退货地址等），而内部包含实际消息。TCP 握手完成后，您尝试访问的网站会发送一个数据包。该数据包标有您的 IP 地址（交付地址）和源 IP（发件人地址），其中包含您的计算机用于加载页面的少量数据。,包过滤是一个安全过程，您的防火墙会检查发送到您 IP 地址的任何数据包外部的标签。数据包过滤安全解决方案使用一组预定义的防火墙规则（由您控制​​）来确定（基于数据包标签）传入流量是否是恶意的。如果它是恶意的，防火墙会丢弃数据包，从而拒绝访问您的网络并保护您免受黑客攻击。, 无状态防火墙,无状态防火墙是一种仅使用数据包过滤来监控您的在线连接的防火墙。虽然包过滤无疑是阻止恶意流量进入网络的有效方法，但它仍然相当基本，因为它只考虑传入数据包的外部标签。因此，无状态防火墙（虽然通常有效）不会使用更复杂的加密来识别欺诈连接。也就是说，无状态防火墙可能仍带有其他安全功能（如应用程序监控），因此您当然不应该将它们排除在外。, 状态检测防火墙,状态检查防火墙稍微复杂一些，因为它结合了 TCP 握手监控和基本数据包过滤的数据包标签检查。这使得有状态检查防火墙比单独的电路级网关或无状态防火墙更安全，但它确实需要额外的计算资源。因此，如果您的小型企业买不起最新的设备，则状态防火墙可能会降低您的计算机和 Internet 加载速度。, 代理深度数据包检测,如果数据包是信件，那么代理深度包检测防火墙就是邮政检查员。使用深度数据包检查的安全防火墙代表您（通过代理）打开数据包，以便分析内部的实际内容并识别病毒、恶意软件或其他威胁。这意味着只要您网络中的某人试图访问可疑应用程序或单击电子邮件中的恶意链接，它就会保护您和您的员工。长话短说：深度数据包检测使您的防火墙的入侵检测更加强大。,, 下一代防火墙,许多网络安全公司喜欢说他们提供“下一代防火墙”。但老实说，这主要只是一个流行语。到目前为止，对于什么是下一代防火墙还没有行业标准，在线安全提供商通过在几乎所有的防火墙产品上贴上“下一代”标签来利用这一点。因此，如果您已经检查了一些选项并且对下一代防火墙是什么（以及您是否需要）感到困惑，请不要担心 – 这不是您。, ,真正的谈话？我们大多数人都知道防火墙是网络安全的重要组成部分，但不知道防火墙是如何工作的或它们实际做了什么。信不信由你，有多种类型的防火墙，每种类型都提供不同的保护、优点和缺点。为您的企业规模和类型选择正确的防火墙类型可以对您企业的在线安全产生巨大影响。别担心——我们随时为您提供帮助。,在 Apple 计算机上，您会获得 OS X 应用程序防火墙——一种监控 TCP 握手的电路级网关软件。虽然它允许您设置自己的防火墙规则，但它不使用数据包过滤，这使得它不如免费的...

随着网络犯罪分子利用互联网使用增加的优势，DDoS（分布式拒绝服务）攻击的效力急剧增加。这是一种攻击，其中受害者的服务或网站被攻击者通过恶意流量淹没它而被破坏。在很大程度上，DDoS 数量增加的关键原因与攻击方法的采用增加有关：SYN（同步数据包洪水）攻击。,,以卡巴斯基2019 年和 2020 年的 DDoS 攻击统计为例，在DDoS 攻击类型中，SYN Flood 攻击在 2019 年 Q1 占据了相当大的份额。虽然2020 年 DDoS 攻击类型发生了一些明显的变化, SYN Flood 是榜单上唯一的不动产，但其份额持续增长并触及 92.6% 的最高纪录。,事实证明，超过 80% 的 DDoS 攻击使用 SYN 泛洪方法，这种方法可以造成与 DDoS 攻击相关的所有损害：消费者信任的丧失、收入的损失、财务数据、IP 或客户信息的盗窃，以及软件和硬件损坏。让我们探讨一下什么是 SYN（同步）攻击以及如何防止这种攻击。,SYN Flood攻击又称半开攻击，是一种协议攻击，它利用网络通信中的漏洞，使受害者的服务器对合法请求不可用。通过消耗所有服务器资源，这种类型的攻击甚至可以破坏能够处理数百万个连接的高容量组件。,由于SYN Flood DDoS 攻击利用 TCP 三向握手连接及其在处理半开连接方面的局限性，让我们从正常的 TCP 握手机制如何工作开始，然后继续讨论 SYN 攻击如何干扰连接。,在 SYN 泛洪攻击中，黑客伪装成客户端，以高于受害机器可以处理的速率发送 TCP SYN 连接请求。它是一种资源耗尽型 DoS 攻击。黑客可以通过三种不同的方式进行 SYN 洪水攻击：,, 1. 直接SYN洪水攻击,在这种方法中，黑客使用自己的 IP 地址发起攻击。他向服务器发送多个 SYN 请求。但是，当服务器以 SYN-ACK 响应时，作为确认，他不会以 ACK 响应，而是继续向受害服务器发送新的 SYN 请求。,在服务器等待 ACK 的同时，SYN 报文的到来使服务器资源保留了一定时间，连接会话处于半开状态，最终导致服务器无法正常运行，拒绝合法客户端的请求。,在这种直接攻击方法中，为了确保忽略 SYN/ACK 数据包，黑客会相应地配置防火墙或将流量限制为传出的 SYN 请求。由于黑客使用自己的 IP 地址，因此攻击者更容易被检测到。这种攻击很少使用。, 2. SYN 欺骗攻击,作为避免被检测到的替代方法，恶意攻击从欺骗/伪造的 IP 地址发送 SYN 数据包。服务器收到 SYN 请求后，向伪造的 IP 地址发送 SYN-ACK 并等待响应。由于欺骗源没有发送数据包，因此它们没有响应。,对于这种 SYN Flood 攻击，攻击者会选择未使用的 IP 地址，从而确保系统永远不会响应 SYN-ACK 响应。, 3. DDoS（分布式拒绝服务）SYN攻击,在这种 SYN 泛洪攻击的变种中，受害服务器在攻击者的控制下同时从多台受感染的计算机接收 SYN 数据包。这种被劫持机器的组合称为僵尸网络。,SYN Flood 的脆弱性早已为人所知，因此已经利用了几种 SYN Flood 攻击缓解措施。一些SYN攻击防护如下：,, 1. 增加积压队列,每个操作系统分配一定的内存来保存半开连接作为 SYN 积压。如果达到限制，它将开始断开连接。为了防止 SYN 攻击，我们可以增加 backlog 的限制，以避免拒绝合法连接。, 2. 回收最旧的半开连接,SYN 攻击保护的另一种方法是通过删除最旧的半开连接来重用 SYN 积压的内存。这为新连接创造了空间，并确保在洪水攻击期间系统在一定限度内保持可访问性。这种缓解方法对大容量 SYN Flood DDoS 攻击无效。,...

TCP SYN 洪水（又名 SYN 洪水）是一种 分布式拒绝服务 ( DDoS ) 攻击，它利用正常 TCP 三向握手的一部分 来消耗目标服务器上的资源并使其无响应。本质上，使用 SYN flood DDoS，攻击者发送 TCP 连接请求的速度比目标机器处理它们的速度更快，从而导致网络饱和。,, 攻击描述,当客户端和服务器建立正常的 TCP “三次握手”时，交换看起来像这样：,在 SYN 泛洪攻击中，攻击者经常使用虚假 IP 地址向目标服务器上的每个端口发送重复的 SYN 数据包。服务器在没有意识到攻击的情况下，接收到多个明显合法的建立通信请求。它使用来自每个开放端口的 SYN-ACK 数据包来响应每次尝试。,恶意客户端要么不发送预期的 ACK，要么——如果 IP 地址被欺骗——从一开始就不会收到 SYN-ACK。无论哪种方式，受到攻击的服务器都将等待对其 SYN-ACK 数据包的确认一段时间。,在此期间，服务器无法通过发送 RST 数据包来关闭连接，连接保持打开状态。在连接超时之前，另一个SYN 数据包将到达。这使得越来越多的连接处于半开状态——事实上，SYN 泛洪攻击也被称为“半开”攻击。最终，随着服务器的连接溢出表填满，对合法客户端的服务将被拒绝，服务器甚至可能出现故障或崩溃。,虽然上面描述的“经典”SYN 洪水试图耗尽网络端口，但 SYN 数据包也可用于DDoS 攻击，试图用假数据包堵塞管道以实现网络饱和。数据包的类型并不重要。尽管如此，还是经常使用 SYN 数据包，因为它们在默认情况下被拒绝的可能性最小。,, 缓解方法,尽管现代操作系统能够更好地管理资源，这使得连接表溢出变得更加困难，但服务器仍然容易受到SYN 洪水攻击。,有许多常用技术可以缓解 SYN 洪水攻击，包括：,显然，上述所有方法都依赖于目标网络处理大规模 DDoS 攻击的能力，流量以每秒数十千兆（甚至数百千兆）为单位。Imperva 缓解了 38 天的 SYN 泛洪和 DNS 泛洪 多向量 DDoS 攻击。,,Imperva DDoS 保护 利用 Anycast 技术 来平衡其高性能清理中心全球网络中传入的 DDoS 请求。凭借其全球网络的综合能力，Incapsula 可以经济高效地超过攻击者资源，从而使 DDoS 攻击无效。该服务可按需扩展，提供充足的资源来应对最大规模的 DDoS 攻击。,为确保业务连续性，Imperva 过滤算法不断分析传入的 SYN 请求，使用 SYN cookie 有选择地将资源分配给合法访问者。这实现了透明的 DDoS 缓解，没有停机时间，任何其他业务中断的延迟。, ,TCP SYN 洪水（又名 SYN 洪水）是一种 分布式拒绝服务 ( DDoS ) 攻击，它利用正常 TCP 三向握手的一部分 来消耗目标服务器上的资源并使其无响应。本质上，使用 SYN flood DDoS，攻击者发送 TCP 连接请求的速度比目标机器处理它们的速度更快，从而导致网络饱和。,恶意客户端要么不发送预期的 ACK，要么——如果 IP 地址被欺骗——从一开始就不会收到 SYN-ACK。无论哪种方式，受到攻击的服务器都将等待对其 SYN-ACK 数据包的确认一段时间。,

拒绝服务（通常缩写为DoS）是对网络的恶意攻击。这种类型的攻击本质上旨在通过用无用的流量淹没网络来使网络瘫痪。许多 DoS 攻击是通过利用TCP/IP 协议中的限制来进行的。,,黑客使用 DoS 攻击来阻止对计算机网络资源的合法使用。DoS 攻击的特点是试图淹没网络、试图中断两台计算机之间的连接、试图阻止个人访问服务或试图中断对特定系统或个人的服务。那些在 DoS 攻击的接收端的人可能会失去宝贵的资源，例如他们的电子邮件服务、互联网访问或他们的Web 服务器。某些 DoS 攻击可能会耗尽您的所有带宽，甚至耗尽所有系统资源，例如服务器内存。我们在过去几年中看到的一些最坏情况是网站，由于成功的 DoS 攻击而被数百万人使用，被迫停止运营。,DoS 攻击很可能看起来是系统或网络上的合法流量，但不同之处在于流量的数量和频率将增加到无法管理的水平。例如，对 Web 服务器的攻击不会是正常的访问者激增，而是在附近的大量点击，因此服务器无法跟上庞大的页面请求量。在邮件服务器上，可以在短时间内将数十万条消息发送到服务器，而服务器通常在同一时间段内只能处理不到一千条消息。目标服务器很可能会因 DoS 攻击而停止，因为它已用完交换空间、进程空间或网络连接。,虽然 DoS 攻击通常不会导致信息被盗或对公司造成任何安全损失，但它们可能会在网络服务中断时花费组织的时间和金钱。对于黑客（或经常使用 DoS 攻击的脚本小子）来说，DoS 攻击通常致力于向他们的同行或在线社区证明其黑客技能。,早期的 DoS 攻击包括从单一来源生成数据包的简单工具，然后针对单一目的地进行攻击。然而，DoS 攻击的演变现在看到针对多个目标的单源攻击、针对单个目标的多源攻击以及针对多个目标的多源攻击。, 缓冲区溢出,传输到缓冲区的数据超出缓冲区的存储容量并且部分数据溢出的情况。到另一个缓冲区，数据不打算进入的缓冲区。由于缓冲区只能保存特定数量的数据，因此当达到该容量时，数据必须流向其他地方，通常流入另一个缓冲区，这可能会破坏该缓冲区中已经包含的数据。恶意黑客可以发起缓冲区溢出攻击，其中带有破坏系统指令的数据被故意写入文件，完全知道数据将溢出缓冲区并将指令释放到计算机的指令中。,,Ping of Death,一种DoS 攻击，其中攻击者发送大于 65,536字节的ping请求，这是IP允许的最大大小。虽然大于 65,536 字节的 ping 太大而无法容纳在一个可以传输的数据包中，但TCP/IP允许对数据包进行分段，实质上是将数据包分成更小的段，最终重新组合。攻击利用此缺陷对数据包进行分段，当接收到的数据包总数超过允许的字节数时，会有效地导致接收端操作系统的缓冲区过载，从而使系统崩溃。, 蓝精灵攻击,一种网络安全漏洞，其中连接到Internet的网络充斥着对ICMP回显 ( PING ) 请求的回复。smurf 攻击者向 Internet广播地址发送 PING 请求。这些是向连接到子网的主机广播所有接收到的消息的特殊地址。每个广播地址最多可以支持 255 台主机，因此单个 PING 请求可以乘以 255 倍。请求本身的返回地址被欺骗成为攻击者受害者的地址。所有收到 PING 请求的主机都回复这个受害者的地址，而不是真正的发送者地址。单个攻击者每秒发送成百上千条这样的 PING 消息可以使受害者的T-1（甚至T-3）线路充满 ping 回复，使整个 Internet 服务陷入瘫痪。, TCP SYN 攻击,在SYN 攻击中，发送者传输了大量无法完成的连接。这会导致连接队列被填满，从而拒绝为合法TCP用户提供服务。,Teardrop,Teardrop是一种 DoS 攻击，当接收主机尝试重新组装碎片数据包时，它们会被伪造为彼此重叠。,在 2001 年初及前后，一种新型 DoS 攻击变得猖獗，称为分布式拒绝服务攻击或 DDoS。在这种情况下，使用多个包含的系统来攻击单个目标。流入目标的大量流量通常会迫使其关闭。与 DoS 攻击一样，在 DDoS 攻击中，对受影响系统的合法请求被拒绝。由于 DDoS 攻击是从多个来源发起的，因此它通常比 DoS 攻击更难检测和阻止。,, 预防措施,为了防止您的系统和网络成为 DoS 攻击的受害者，CERT/CC 提供了许多预防性解决方案，其中包括：, ,拒绝服务（通常缩写为DoS）是对网络的恶意攻击。这种类型的攻击本质上旨在通过用无用的流量淹没网络来使网络瘫痪。许多 DoS 攻击是通过利用TCP/IP 协议中的限制来进行的。,早期的 DoS 攻击包括从单一来源生成数据包的简单工具，然后针对单一目的地进行攻击。然而，DoS 攻击的演变现在看到针对多个目标的单源攻击、针对单个目标的多源攻击以及针对多个目标的多源攻击。,

您是否正在寻找合适的防火墙设置来保护您的企业免受潜在威胁？ 了解防火墙的工作原理有助于您决定最佳解决方案。本文解释了防火墙的类型，让您做出明智的选择。, 防火墙是监控网络流量的安全设备。它通过根据一组既定规则过滤传入和传出流量来保护内部网络。设置防火墙是在系统和  恶意攻击 之间添加安全层的最简单方法。,, 防火墙位于系统的硬件或软件级别，以保护其免受恶意流量的影响。根据设置，它可以保护单台机器或整个计算机网络。设备根据预定义的规则检查传入和传出流量。 通过 Internet 进行通信是通过从发送者向接收者请求和传输数据来进行的。由于数据不能作为一个整体发送，它被分解成可管理的数据包 ，这些数据包  构成了最初传输的实体。防火墙的作用是检查进出主机的数据包。, 防火墙检查什么？每个数据包由一个 报头  （控制信息）和 有效载荷  （实际数据）组成。标头提供有关发送者和接收者的信息。在数据包可以通过定义的端口进入内部网络之前，它必须通过防火墙。这种传输取决于它携带的信息以及它如何与预定义的规则相对应。, 例如，防火墙可以有一个规则来排除来自指定 IP 地址的流量。如果它接收到标头中带有该 IP 地址的数据包，防火墙将拒绝访问。同样，防火墙可以拒绝除已定义的受信任来源之外的任何人的访问。有多种方法可以配置此安全设备。它保护手头系统的程度取决于防火墙的类型。, 尽管它们都用于防止未经授权的访问，但防火墙的操作方法和整体结构可以是多种多样的。根据其结构，防火墙可分为三种类型——软件防火墙、硬件防火墙或两者兼而有之 。此列表中指定的其余防火墙类型是可以设置为软件或硬件的防火墙技术。, 主机设备上安装了软件防火墙。因此，这种类型的防火墙也称为主机防火墙 。由于它连接到特定设备，因此必须利用其资源才能工作。因此，它不可避免地会占用一些系统的 RAM 和 CPU。 如果有多台设备，则需要在每台设备上安装软件。由于它需要与主机兼容，因此需要为每个主机单独配置。因此，主要缺点是管理和管理每个设备的防火墙所需的时间和知识。 另一方面，软件防火墙的优势在于它们可以在过滤传入和传出流量的同时区分程序。因此，他们可以拒绝访问一个程序，同时允许访问另一个程序。, 顾名思义，硬件防火墙是一种安全设备，代表放置在内部和外部网络（互联网）之间的独立硬件。这种类型也称为设备防火墙 。 与软件防火墙不同，硬件防火墙有它的资源，不会消耗主机设备的任何CPU或RAM。它是一种物理设备，用作进出内部网络的流量的网关。 它们被在同一网络中运行多台计算机的中型和大型组织使用。在这种情况下使用硬件防火墙比在每台设备上安装单独的软件更实用。配置和管理硬件防火墙需要知识和技能，因此请确保有一个熟练的团队来承担此责任。, 当谈到基于其操作方法的防火墙类型时，最基本的类型是包过滤防火墙。它用作连接到路由器或交换机的内联安全检查点。顾名思义，它  通过根据传入的数据包携带的信息过滤传入的数据包来 监控网络流量。,, 如上所述，每个数据包由一个报头和它传输的数据组成。这种类型的防火墙根据标头信息决定是允许还是拒绝访问数据包。为此，它会检查协议、源 IP 地址、目标 IP、源端口和目标端口。根据数字如何匹配访问控制列表 （定义需要/不需要的流量的规则），数据包被传递或丢弃。, 如果数据包不符合所有要求的规则，则不允许它到达系统。 包过滤防火墙是一种不需要大量资源的快速解决方案。然而，这并不是最安全的。尽管它会检查标头信息，但它不会检查数据（有效负载）本身。因为恶意软件也可以在这部分数据包中找到，所以包过滤防火墙并不是增强系统安全性的最佳选择。, 电路级网关是一种防火墙，工作在 OSI 模型的会话层，观察 TCP（传输控制协议）连接和会话。它们的主要功能是确保已建立的连接是安全的。 在大多数情况下，电路级防火墙内置于某种类型的软件或已经存在的防火墙中。 就像口袋过滤防火墙一样，它们不检查实际数据，而是检查有关交易的信息。此外，电路级网关实用、易于设置，并且不需要单独的代理服务器。, 状态检查防火墙通过监视 TCP 3 次握手来跟踪连接状态。这允许它跟踪整个连接——从开始到结束——只允许预期的返回流量入站。 当启动连接并请求数据时，状态检查会建立一个数据库（状态表）并存储连接信息。在状态表中，它记录了每个连接的源 IP、源端口、目标 IP 和目标端口。使用状态检查方法，它动态创建防火墙规则以允许预期的流量。 这种类型的防火墙用作附加安全性。与无状态过滤器相比，它执行更多检查并且更安全。但是，与无状态/数据包过滤不同，有状态防火墙检查跨多个数据包传输的实际数据，而不仅仅是标头。因此，它们还需要更多的系统资源。, 代理防火墙充当通过 Internet 通信的内部和外部系统之间的中间设备。它通过转发来自原始客户端的请求并将其伪装成自己的来保护网络。代理意味着  充当替代品  ，因此，这就是它所扮演的角色。它代替了发送请求的客户端。 当客户端发送访问网页的请求时，该消息被代理服务器交叉。代理将消息转发到 Web 服务器，伪装成客户端。这样做会隐藏客户的身份和地理位置，保护它免受任何限制和潜在的攻击。然后，Web 服务器响应并向代理提供请求的信息，然后将其传递给客户端。, 下一代防火墙是一种结合了其他防火墙的多项功能的安全设备。它结合了数据包、有状态和深度数据包检测。简单地说，NGFW 会检查数据包的实际负载，而不是只关注标头信息。 与传统防火墙不同，下一代防火墙检查整个数据事务，包括 TCP 握手、表面层和深度数据包检查。 使用 NGFW 足以抵御恶意软件攻击、外部威胁和入侵。这些设备非常灵活，它们提供的功能没有明确的定义。因此，请务必探索每个特定选项提供的内容。, 云防火墙或防火墙即服务 (Faas) 是用于网络保护的云解决方案。与其他云解决方案一样，它由第三方供应商在 Internet 上维护和运行。 客户经常使用云防火墙作为代理服务器，但配置可以根据需求而变化。它们的主要优势是可扩展性。它们独立于物理资源，允许根据流量负载扩展防火墙容量。 企业使用此解决方案来保护内部网络或其他云基础设施 (Iaas/Paas)。, 在决定选择哪个防火墙时，不需要明确。使用一种以上的防火墙类型可提供多层保护。, 此外，请考虑以下因素：, , 您是否正在寻找合适的防火墙设置来保护您的企业免受潜在威胁？ 了解防火墙的工作原理有助于您决定最佳解决方案。本文解释了防火墙的类型，让您做出明智的选择。, 例如，防火墙可以有一个规则来排除来自指定 IP 地址的流量。如果它接收到标头中带有该 IP 地址的数据包，防火墙将拒绝访问。同样，防火墙可以拒绝除已定义的受信任来源之外的任何人的访问。有多种方法可以配置此安全设备。它保护手头系统的程度取决于防火墙的类型。,

对于每个重大违规行为，数百次攻击会摧毁小型企业及其客户。仅靠防火墙和反恶意软件程序不足以保护整个网络免受攻击。完善的安全策略还应包括入侵检测系统 (IDS)，一旦可疑流量通过防火墙并进入网络，该系统就会查明可疑流量。本文介绍了入侵检测系统 以及 IDS 在网络安全中的作用。继续阅读以了解这些系统是如何工作的，以及为什么它们对于防止代价高昂的停机和数据泄露至关重要。,,入侵检测系统 (IDS) 是一种应用程序或设备，用于监控入站和出站网络流量，持续分析活动以发现模式变化，并在检测到异常行为时向管理员发出警报。然后管理员查看警报并采取措施消除威胁。,例如，IDS 可能会检查网络流量携带的数据，以查看它是否包含已知的恶意软件或其他恶意内容。如果它检测到此类威胁，则会向您的安全团队发送警报，以便他们进行调查和补救。一旦您的团队收到警报，他们必须迅速采取行动以防止攻击接管系统。,为确保 IDS 不会降低网络性能，这些解决方案通常使用交换端口分析器 (SPAN) 或测试访问端口 (TAP) 来分析内联数据流量的副本。然而，一旦威胁进入网络，它们就不会像入侵防御系统那样阻止威胁。,无论您是设置物理设备还是 IDS 程序，系统都可以：,来自入侵检测系统的信息还可以帮助安全团队：,除了网络安全方面的好处，IDS 还有助于实现合规性。更高的网络可见性和更好的日志记录确保网络运营符合所有相关法规。,仅靠防火墙并不能针对现代网络威胁提供足够的保护。恶意软件和其他恶意内容通常使用合法类型的流量传送，例如电子邮件或网络流量。IDS 能​​够检查这些通信的内容并识别它们可能包含的任何恶意软件。,IDS 的主要目标是在黑客完成其目标之前检测异常。一旦系统检测到威胁，IDS 就会通知 IT 人员并提供以下有关危险的信息：,入侵检测系统的次要目标是观察入侵者并识别：,公司的 安全运营中心 (SOC) 和分析师可以使用这些信息来改进网络安全策略。,,异常检测和报告是入侵检测系统的两个主要功能。但是，某些检测系统可以响应恶意活动，例如自动阻止 IP 地址或关闭对敏感文件的访问。具有这些响应能力的系统是入侵防御系统 (IPS)。,IDS 监视进出网络上所有设备的流量。该系统在 防火墙后面运行， 作为恶意数据包的二级过滤器，主要寻找两个可疑线索：,入侵检测系统通常依靠 模式关联 来识别威胁。这种方法允许 IDS 将网络数据包与具有已知网络攻击特征的数据库进行比较。IDS 可以通过模式关联标记的最常见攻击是：,一旦 IDS 发现异常，系统就会标记该问题并发出警报。警报的范围可以从审核日志中的简单注释到给 IT 管理员的紧急消息。然后，团队对问题进行故障排除并确定问题的根本原因。,根据安全团队设置它们的位置，有两种主要类型的 IDS：,入侵检测系统检测可疑活动的方式还允许我们定义两个类别：,根据您的用例和预算，您可以部署 NIDS 或 HIDS 或依赖这两种主要 IDS 类型。这同样适用于检测模型，因为许多团队建立了一个具有 SIDS 和 AIDS 能​​力的混合系统。,在确定策略之前，您需要了解 IDS 类型之间的差异以及它们如何相互补充。让我们看看四种主要 IDS 类型中的每一种，它们的优缺点，以及何时使用它们。,,基于网络的入侵检测系统监控和分析进出所有网络设备的流量。NIDS 从网络内的一个战略点（或多个点，如果您部署多个检测系统）运行，通常在数据阻塞点。,NIDS 的优点：,NIDS 的缺点：,HIDS 从特定端点运行，在该端点监视进出单个设备的网络流量和系统日志。,这种类型的 IDS 安全依赖于常规 快照，即捕获整个系统状态的文件集。当系统拍摄快照时，IDS 会将其与之前的状态进行比较，并检查丢失或更改的文件或设置。,HIDS 的优点,HIDS 的缺点,SIDS 监视通过网络移动的数据包，并将它们与已知攻击特征或属性的数据库进行比较。这种常见的 IDS 安全类型会寻找特定的模式，例如字节或指令序列。,,小岛屿发展中国家的优点,小岛屿发展中国家的缺点,AIDS 监控正在进行的网络流量并根据基线分析模式。它超越了攻击签名模型并检测恶意行为模式而不是特定的数据模式。,这种类型的 IDS 使用机器学习在带宽、协议、端口和设备使用方面建立预期系统行为（信任模型）的基线。然后，系统可以将任何新行为与经过验证的信任模型进行比较，并发现基于签名的 IDS 无法识别的未知攻击。,例如，销售部门的某个人第一次尝试访问网站的后端可能不是 SIDS 的危险信号。然而，对于基于异常的设置，第一次尝试访问敏感系统的人是需要调查的原因。,部署 IDS 的明显优势在于对网络活动的关键洞察力。及早发现异常行为有助于将网络攻击的风险降至最低，并确保整体网络健康状况更好。,使用 IDS 保护网络是提高安全性的有效策略。当与强大的反恶意软件程序和防火墙配合使用时，IDS 可确保团队：,IDS（甚至 IPS）也变得更便宜且更易于管理，因此即使是预算较少且 IT 人员较少的 SMB 也可以依赖此策略。然而，尽管有这些好处，IDS 也有一些独特的挑战：,IDS 的最大挑战是避免错误，因为即使是最好的系统也可以：,太多误报意味着 IT 团队对 IDS 的警告信心不足。然而，误报意味着恶意数据包在没有引发警报的情况下进入网络，因此过度敏感的 IDS 始终是更好的选择。,,一旦您知道需要设置哪种 IDS 类型和检测模型，请确保您的策略遵循以下最佳实践：,培训 IT 人员。确保设置 IDS 的团队对您的设备清单和每台机器的角色有透彻的了解。,确定基线。为确保您的 IDS 从异常行为中检测到正常行为，请建立一个基线，以便您了解网络上的情况。请记住，每个网络承载的流量类型不同。定义明确的初始基线有助于防止误报和误报。,IDS 部署。在最高可见性点部署 IDS，以免系统被数据淹没。理想情况下，将 IDS 放置在网络边缘的防火墙后面。如果您需要处理主机内流量，请在网络上安装多个 IDS。系统和部署位置的正确选择取决于网络和安全目标。,将 IDS 调整到网络。仅在对网络有意义的地方更改 IDS 的默认设置。配置 IDS 以适应网络上的所有设备、应用程序、端口、协议和安全点。通过自定义配置以应用于您的网络基础设施，您可以为检测奠定坚实的基础。,设置隐身模式。将 IDS 设置为以隐身模式运行，以使系统难以检测到恶意行为者。最简单的方法是确保 IDS 有两个网络接口，一个用于网络，另一个用于生成警报。IDS 应该只使用被监控的接口作为输入。,测试 IDS。测试 IDS 以确保它检测到潜在威胁并正确响应它们。使用测试数据集，或者更好的是让安全专业人员进行渗透测试（渗透测试）。定期运行这些测试以确保一切继续按预期工作。随着时间的推移，改进您的测试方法以跟上可能发生的攻击类型的变化。,平衡假阳性和阴性。小心不要过度调整您的 IDS 或以其他方式错误配置它，以免造成误报或漏报。两者中的任何一个都可能使您的 IT 和安全团队不堪重负，甚至使您的组织面临更大的攻击风险。结合 NIDS 设置和 网络分段 ，使检测更有效且更易于管理。,调查和响应事件。定义准备采取行动的事件响应计划。该计划必须包括熟练的安全人员，他们知道如何快速有效地做出响应，同时尽量减少对日常运营的干扰和对组织的影响。如果您的组织必须遵守某些行业要求，例如HIPAA、GDPR或SOC 2，请定义适当的控制并遵循既定协议。考虑在...

没有一刀切的解决方案可以满足每个组织的独特安全要求。事实上，每一种不同类型的防火墙都有其自身的优点和局限性。数据包过滤防火墙很简单，但提供的安全性有限，而状态检查和代理防火墙可能会影响网络性能。防火墙似乎是一个完整的软件包，但并非所有组织都有预算或资源来成功配置和管理它们。,随着攻击变得越来越复杂，您组织的安全防御必须迎头赶上。保护内部网络外围免受外部威胁的单个防火墙是不够的。专用网络中的每项资产也需要自己的单独保护。最好采用分层的安全方法，而不是依赖单个防火墙的功能。当您可以在专为组织的安全需求而优化的架构中利用多个防火墙的优势时，为什么还要选择一个。,, 什么是防火墙？,防火墙 (NGFW) 旨在克服传统防火墙的局限性，同时还提供一些额外的安全功能。尽管具有灵活的功能和架构，但真正成为防火墙的原因在于，除了端口/协议和表面级数据包检测之外，它还能够执行深度数据包检测。尽管没有具体的、商定的定义，但根据Gartner 的说法，防火墙是“一种深度包检测防火墙，它超越了端口/协议检测和阻止，增加了应用程序级检测、入侵防御和从在防火墙之外。”,防火墙在不影响网络性能的情况下将其他类型防火墙的功能组合到一个单一的解决方案中。与它们的任何前辈相比，它们更强大，并提供更广泛、更深入的安全性。除了执行深度数据包检查以检测异常和恶意软件外，NGFW 还具有用于智能流量和资源分析的应用程序感知功能。这些防火墙完全有能力阻止 DDoS 攻击。它们具有安全套接字层 (SSL) 解密功能，可以获得跨应用程序的完整可见性，使他们能够识别和阻止来自加密应用程序的数据泄露企图。,防火墙可以识别用户和用户角色，但它们的前辈主要依赖于系统的IP地址。这一突破性功能使用户能够利用无线便携式设备，同时在灵活的工作环境中提供广谱安全性并自带设备 (BYOD) 策略。它们还可能结合其他技术，例如防病毒和入侵防御系统 (IPS)，以提供更全面的安全方法。,防火墙适用于需要遵守健康保险流通与责任法案 (HIPAA) 或支付卡行业 (PCI) 规则的企业，或者适用于需要将多个安全功能集成到单个解决方案中的企业。但是它们的价格确实比其他类型的防火墙要高，并且根据您选择的防火墙，您的管理员可能需要使用其他安全系统来配置它们。, ,没有一刀切的解决方案可以满足每个组织的独特安全要求。事实上，每一种不同类型的防火墙都有其自身的优点和局限性。数据包过滤防火墙很简单，但提供的安全性有限，而状态检查和代理防火墙可能会影响网络性能。防火墙似乎是一个完整的软件包，但并非所有组织都有预算或资源来成功配置和管理它们。,防火墙在不影响网络性能的情况下将其他类型防火墙的功能组合到一个单一的解决方案中。与它们的任何前辈相比，它们更强大，并提供更广泛、更深入的安全性。除了执行深度数据包检查以检测异常和恶意软件外，NGFW 还具有用于智能流量和资源分析的应用程序感知功能。这些防火墙完全有能力阻止 DDoS 攻击。它们具有安全套接字层 (SSL) 解密功能，可以获得跨应用程序的完整可见性，使他们能够识别和阻止来自加密应用程序的数据泄露企图。,

防火墙是一个基本但必不可少的安全层，充当您的专用网络和外部世界之间的屏障。从第一代无状态防火墙到下一代防火墙，防火墙架构在过去的四年里发生了巨大的变化。今天，组织可以在多种类型的防火墙之间进行选择——包括应用程序级网关（代理防火墙）、状态检测防火墙和电路级网关——甚至可以同时使用多种类型的防火墙，以获得更深层、全面的安全解决方案。了解有关各种类型防火墙的基础知识、它们之间的差异以及每种类型如何以不同方式保护您的网络。,, 什么是防火墙，它的用途是什么？,防火墙是一种安全工具，可监控传入和/或传出的网络流量，以根据预定义的规则检测和阻止恶意数据包，只允许合法流量进入您的专用网络。作为硬件、软件或两者兼而有之，防火墙通常是您抵御恶意软件、病毒和试图进入组织内部网络和系统的攻击者的第一道防线。,就像建筑物主入口处的穿行式金属探测器门一样，物理或硬件防火墙会在让每个数据包进入之前对其进行检查。它会检查源地址和目标地址，并根据预定义的规则确定数据包是否应该通过与否。一旦数据包进入组织的 Intranet，软件防火墙可以进一步过滤流量，以允许或阻止访问计算机系统上的特定端口和应用程序，从而更好地控制和安全抵御内部威胁。,访问控制列表可以定义无法信任的特定 Internet 协议 (IP) 地址。防火墙将丢弃来自这些 IP 的任何数据包。或者，访问控制列表可以指定可信源 IP，防火墙将只允许来自这些列出的 IP 的流量。有几种设置防火墙的技术。它们提供的安全范围通常还取决于防火墙的类型及其配置方式。, 软件和硬件防火墙,在结构上，防火墙可以是软件、硬件或软件和硬件的组合。, 软件防火墙,软件防火墙单独安装在各个设备上。它们提供更精细的控制，因为它们可以允许访问一个应用程序或功能，同时阻止其他应用程序或功能。但是它们在资源方面可能很昂贵，因为它们使用安装它们的设备的 CPU 和 RAM，并且管理员必须为每个设备单独配置和管理它们。此外，Intranet 中的所有设备可能无法与单个软件防火墙兼容，并且可能需要多个不同的防火墙。, 硬件防火墙,另一方面，硬件防火墙是物理设备，每个设备都有自己的计算资源。它们充当内部网络和互联网之间的网关，将来自私有网络之外的不受信任来源的数据包和流量请求保留下来。物理防火墙对于在同一网络上拥有许多设备的组织来说很方便。虽然它们在恶意流量到达任何端点之前就阻止了它，但它们不能提供针对内部攻击的安全性。因此，软件和硬件防火墙的组合可为您组织的网络提供最佳安全性。,防火墙还根据其运行方式进行分类，每种类型都可以设置为软件或物理设备。根据它们的操作方法，有四种不同类型的防火墙。, 1.包过滤防火墙,包过滤防火墙是最古老、最基本的防火墙类型。在网络层操作，他们只是根据预定义的规则检查数据包的源 IP 和目标 IP、协议、源端口和目标端口，以确定是通过还是丢弃数据包。数据包过滤防火墙本质上是无状态的，独立监控每个数据包，而不会跟踪已建立的连接或之前通过该连接的数据包。这使得这些防火墙在防御高级威胁和攻击方面的能力非常有限。,数据包过滤防火墙快速、廉价且有效。但是它们提供的安全性是非常基本的。由于这些防火墙无法检查数据包的内容，因此它们无法防范来自受信任源 IP 的恶意数据包。由于是无状态的，它们也容易受到源路由攻击和小片段攻击。但是，尽管它们的功能最少，包过滤防火墙为提供更强大和更深入安全性的现代防火墙铺平了道路。, 2. 电路级网关,在会话层工作，电路级网关验证已建立的传输控制协议 (TCP) 连接并跟踪活动会话。它们与包过滤防火墙非常相似，因为它们执行单一检查并使用最少的资源。但是，它们在开放系统互连 (OSI) 模型的更高层起作用。首先，它们确定已建立连接的安全性。当内部设备发起与远程主机的连接时，电路级网关代表内部设备建立虚拟连接，以隐藏内部用户的身份和IP地址。,电路级网关经济高效、简单并且对网络性能几乎没有任何影响。然而，它们无法检查数据包的内容，这使它们本身成为一个不完整的安全解决方案。如果包含合法的 TCP 握手，包含恶意软件的数据包可以轻松绕过电路级网关。这就是为什么通常在电路级网关之上配置另一种类型的防火墙以增加保护的原因。, 3. 状态检测防火墙,领先于电路级网关的状态检测防火墙除了验证和跟踪已建立的连接外，还执行数据包检测以提供更好、更全面的安全性。一旦建立连接，它们通过创建包含源 IP、目标 IP、源端口和目标端口的状态表来工作。他们动态创建自己的规则以允许预期的传入网络流量，而不是依赖基于此信息的硬编码规则集。它们可以方便地丢弃不属于经过验证的活动连接的数据包。,状态检查防火墙检查合法连接以及源和目标 IP，以确定哪些数据包可以通过。尽管这些额外检查提供了高级安全性，但它们会消耗大量系统资源并且会显着降低流量。因此，它们容易受到 DDoS（分布式拒绝服务攻击）的影响。, 4. 应用层网关（代理防火墙）,应用层网关，也称为代理防火墙，是通过代理设备在应用层实现的。连接是通过代理防火墙建立的，而不是外部人员直接访问您的内部网络。外部客户端向代理防火墙发送请求。在验证请求的真实性后，代理防火墙代表客户端将其转发到内部设备或服务器之一。或者，内部设备可以请求访问网页，代理设备将转发请求，同时隐藏内部设备和网络的身份和位置。,与包过滤防火墙不同，代理防火墙执行状态和深度包检查，以根据一组用户定义的规则分析数据包的上下文和内容。根据结果​​，他们要么允许，要么丢弃数据包。它们通过阻止内部系统和外部网络之间的直接连接来保护敏感资源的身份和位置。但是，配置它们以实现最佳网络保护可能有点困难。您还必须牢记权衡——代理防火墙本质上是主机和客户端之间的额外屏障，会导致相当大的速度减慢。, ,防火墙是一个基本但必不可少的安全层，充当您的专用网络和外部世界之间的屏障。从第一代无状态防火墙到下一代防火墙，防火墙架构在过去的四年里发生了巨大的变化。今天，组织可以在多种类型的防火墙之间进行选择——包括应用程序级网关（代理防火墙）、状态检测防火墙和电路级网关——甚至可以同时使用多种类型的防火墙，以获得更深层、全面的安全解决方案。了解有关各种类型防火墙的基础知识、它们之间的差异以及每种类型如何以不同方式保护您的网络。,访问控制列表可以定义无法信任的特定 Internet 协议 (IP) 地址。防火墙将丢弃来自这些 IP 的任何数据包。或者，访问控制列表可以指定可信源 IP，防火墙将只允许来自这些列出的 IP 的流量。有几种设置防火墙的技术。它们提供的安全范围通常还取决于防火墙的类型及其配置方式。,

自1980 年代后期问世以来，可用的防火墙类型已经发生了巨大的变化，以对抗对计算机网络日益复杂的攻击。许多客户知道某种类型的防火墙对于完善的网络安全系统是必要的，但不知道这些行业不可或缺的工具是如何工作的。这篇文章回顾了两种主要的防火墙类型——基本的流量扫描设备和交互式层检查机。目前市场上的防火墙技术种类：包过滤、电路级网关、状态检测、应用级网关、多层检测和UTM。,, 包过滤防火墙,扫描数据包标头并将其与网络安全团队提出的访问控制列表或 ACL 进行比较的防火墙类型被称为数据包过滤器。防火墙分解位于数据包头中的信息，例如 IP 地址和端口号，以查看数据包是否被允许/安全用于网络。如果数据包未通过此防火墙类型的设置标准，则会被丢弃并且无法进入网络。包过滤防火墙快捷方便，但并非万无一失。它们本质上是肤浅的，并且可能/已经被黑客破坏，他们操纵数据包头使其看起来无害，从而愚弄过滤器。, 电路级网关防火墙,电路级网关防火墙的工作方式与其同名防火墙类似——通过网关。这些类型的防火墙只允许请求的信息进入网络，充当传入信息的“看门人”。他们将工作站的 IP 地址重新路由到防火墙的 IP 地址，通过隐藏该网络中所有计算机的 IP 地址来进一步保护网络。电路级网关防火墙类型还会关闭网络内用户未请求使用的端口。用户未请求的所有传入流量将立即丢弃并且无法到达网络。在用户访问不安全的站点或文件之前，这些类型的防火墙是安全的。那么网络很容易被攻破。, 状态检查防火墙,状态检查类型的防火墙，也称为动态包过滤，类似于包过滤防火墙，但更强大。这些防火墙类型不仅仅扫描数据包。它们能够在整个应用层分析数据包的内容。他们还会查看以前的通信模式，并将传入的数据包与过去已批准的数据包进行比较。状态检查防火墙类型也会关闭任何未使用的端口。这通过欺骗始终打开的端口地址来防止黑客访问您的网络，从而增加了另一层保护。这些类型的防火墙通常需要更多内存才能运行，并且可能更难安装。因此，加载新连接可能需要更长的时间。, UTM 防火墙,UTM 防火墙比一般的防火墙类型更进了一步，因为它们在设计中包含了更多的安全程序。UTM 类型的防火墙通常提供的一些额外功能包括反恶意软件、反间谍软件、防病毒、VPN 和 DOS/DDOS 保护。, 应用级网关防火墙,与电路级网关类似，应用级网关类型的防火墙也隐藏了公司内部网络中计算机的 IP 地址。然而，在分析传入流量时，应用程序级网关防火墙类型会一直扫描整个应用程序层。它们也是特定于应用程序的。这意味着这些类型的防火墙不允许传入流量进入网络，除非它是在指定的应用程序中创建的。应用级网关在数据包扫描能力方面比电路级网关更彻底，因为它们扫描通过的数据包的实际内容。然而，应用级网关类型防火墙的用户在进入网络之前可能必须多次登录网络，从而降低了此类技术的便利性。由于可能存在代理，这些类型的防火墙也会降低网络速度。, ,自1980 年代后期问世以来，可用的防火墙类型已经发生了巨大的变化，以对抗对计算机网络日益复杂的攻击。许多客户知道某种类型的防火墙对于完善的网络安全系统是必要的，但不知道这些行业不可或缺的工具是如何工作的。这篇文章回顾了两种主要的防火墙类型——基本的流量扫描设备和交互式层检查机。目前市场上的防火墙技术种类：包过滤、电路级网关、状态检测、应用级网关、多层检测和UTM。,电路级网关防火墙的工作方式与其同名防火墙类似——通过网关。这些类型的防火墙只允许请求的信息进入网络，充当传入信息的“看门人”。他们将工作站的 IP 地址重新路由到防火墙的 IP 地址，通过隐藏该网络中所有计算机的 IP 地址来进一步保护网络。电路级网关防火墙类型还会关闭网络内用户未请求使用的端口。用户未请求的所有传入流量将立即丢弃并且无法到达网络。在用户访问不安全的站点或文件之前，这些类型的防火墙是安全的。那么网络很容易被攻破。,