目錄

什麼是電路層閘道?

目錄
What Is a Circuit Level Gateway?

電路層閘道是一種防火牆,在允許流量通過之前,會在 OSI 模型第 5 層驗證 TCP 或 UDP 會話。

迴路層閘道在受信任的用戶端或伺服器與不受信任的主機之間扮演握手裝置的角色。它可確保會話封包符合連線的既定規則,而無需檢查封包內的資料。閘道扮演檢查點的角色,可根據特定會話標準快速確認或拒絕流量。

 

電路層閘道如何運作

電路層級閘道圖,顯示外部主機與內幕主機之間透過閘道的多個 IN 和 OUT 通道進行的資料流。

電路層級閘道的功能是可信賴的內部網路與不可信賴的外部網路之間的半透明橋接。它在 OSI 模型的會話層運作,監控和驗證兩個傳輸層之間虛擬電路上的 TCP(傳輸控制通訊協定)和 UDP(使用者資料彙報協定)封包。透過確認每個階段都是合法且經過授權的,閘道就能控制流量,而無需檢查每個資料封包的內容。

在操作過程中,電路層閘道會仔細檢查 TCP 握手過程,以確保受信用戶端或伺服器與受信主機之間的會話啟動是真實的,反之亦然。如果初始握手符合既定的安全政策,閘道就會允許連線。它會在會話期間建立虛擬電路,允許所有流量不受阻礙地流過。

此類閘道會維護所有已建立會話及其對應安全屬性的表格。屬性包括來源和目的地 IP 位址、連接埠號碼,以及特定於階段的詳細資訊,例如逾時。閘道使用此資訊來管理進行中的流量,根據其會話的有效性允許或禁止資料封包。

雖然電路層閘道能有效確認 TCP 連線的有效性,但它不會檢查資料封包的有效負載。這表示,如果會話是正確建立的,後續的流量(包括可能的惡意內容)就可以通過,而無需進行更深入的檢查。此特性突顯了將電路層級閘道與更深入的防火牆技術 (例如下一代防火牆) 搭配使用,以提供全面網路保護的重要性。

當會話終止時,電路層級閘道會將其從會話表中移除,有效地關閉虛擬電路。此動作可確保陳舊或未經授權的連線不會持續存在,以維持內部網路安全性的完整性。

什麼是防火牆?

 

電路層閘道功能

會話層作業

電路層閘道在 OSI 模型的會話層運作。此定位可讓它透過監控和驗證建立網路連線的 TCP 或 UDP 握手來管理和驗證會話。

隱私權保護

由於閘道不會暴露內部網路的詳細資料,因此使用電路層級閘道的網路隱私得以提升。它扮演中間人的角色,向外部服務主機隱藏主機的身份,並只允許經過驗證的會話,這可維護網路的機密性。

獨立系統

作為獨立系統,閘道層級可獨立運作,以提供網路安全性。它不一定需要與其他安全系統整合,以管理和控制以會話為基礎的流量。

安全政策執行

閘道透過建立一套會話驗證規則來強制執行安全政策。在允許資料封包通過之前,它們會確保所有會話都符合預先定義的安全標準。

虛擬電路連接

電路層級閘道為每個已驗證會話建立虛擬電路,提供資料傳輸的安全通道。此功能有助於在整個活動階段維持連線的完整性。

報告與分析

透過提供報告功能,閘道層級閘道可讓網路管理員檢查及微調安全性方法。這些報告可讓您深入瞭解會話活動和潛在的安全漏洞。

 

閘道層級的優點

閘道層級閘道的優點:效能提升、配置簡單、成本效益高、資源利用率低、簡化網路安全性

強化網路效能

閘道層級可提高網路效率。它們在會話層運作,因此可以快速處理連線,無需進行深度封包檢查,並將延遲時間降至最低。

簡化組態

電路層級閘道的設定很簡單。它們專注於連線的狀態,降低了設定更先進防火牆解決方案所需的詳細規則的複雜性。

成本效益

電路級閘道是符合成本效益的解決方案。它們的複雜性較低,因此運作成本也較低,適合希望有效保護網路安全性的企業使用。

資源利用率低

電路層閘道主要在會話層運作,與其他防火牆類型相比,電路層閘道使用較少的資源。這種精簡的作業方式有利於維持整體系統效能。

簡化網路安全性

與其他防火牆不同,閘道層級閘道不需要為每個應用程式安裝獨立的 Proxy 伺服器,這簡化了網路安全性管理並降低了開銷。

 

閘道層級的挑戰

閘道層級的挑戰:檢查功能有限、頻繁的更新需求、缺乏資料洩漏保護、無流量監控、TCP/IP 堆疊修改的廠商依賴性

有限的檢驗能力

由於電路層級的 閘道不會檢查個別資料封包的內容,因此含有惡意內容的封包如果是已核准會話的一部分,就可以通過。

頻繁更新的需求

為了保持效能以對抗不斷演化的威脅,電路層閘道需要定期更新。這些更新可能是資源密集型的,需要 IT 人員注意以確保閘道的安全措施是最新的。

資料洩漏防護不足

在管理階段完整性的同時,閘道層級閘道無法防禦來自網路內部的資料洩漏。這就需要整合額外的安全解決方案,以保障敏感資訊的安全。

無流量監控

除了驗證會話握手之外,閘道層級閘道缺乏監控網路流量可疑行為的能力。這種狹隘的焦點可能會遺漏其他安全漏洞或網路問題的指標。

TCP/IP 堆疊修改依賴供應商

閘道層級只相容於 TCP 連線。電路層級閘道的效能與 TCP/IP 堆疊的適當配置息息相關,而 TCP/IP 堆疊通常需要供應商介入進行更新和修改。

 

何時應該使用電路層閘道?

電路級閘道可能適合速度和資源效率至上的環境。對於需要快速會話驗證,又不需要深度封包檢測處理開銷的組織,可能會發現它們很有用。當需要在基本安全性措施與網路效能之間取得平衡,以及擔心更全面的安全性系統所引進的網路延遲時,通常會採用這些方案。

中小型企業有時會使用這種閘道,因為他們需要符合成本效益的方式來確保網路會話的安全性。對於複雜的企業環境而言,電路層級閘道雖然不足以作為獨立的安全措施,但卻可成為完整安全策略的有用元件。與具備深度封包檢查和應用層監控功能的下一代防火牆一起使用時,它們可提供額外的安全層級。

防火牆類型的定義與說明

 

電路層級閘道常見問題

電路層閘道的主要缺點是無法檢查封包內容,如果會話看似合法,就有可能讓惡意資料通過。
電路閘道在 OSI 會話層驗證會話,不像其他防火牆可能會在不同的 OSI 層檢查封包內容或套用規則。
網路層級閘道通常是指透過在網路流量中應用規則和政策來控制網路存取的裝置。
使用電路層級的閘道以進行有效率的階段驗證,並將對網路效能的影響降至最低。
閘道層級閘道的主要功能是驗證網路會話,並確保它們符合安全性政策。
與在應用程式層檢查資料的應用程式層防火牆相比,迴路層閘道速度更快,使用的資源也更少。
電路層防火牆也稱為會話防火牆。
優點:成本效益高、效率高。缺點:檢查能力有限、潛在安全漏洞。
電路級閘道會根據 TCP 握手等會話建立通訊協定過濾封包。
Circuit 層級 Proxy 會驗證會話,而應用程式層級 Proxy 則會檢查和控制應用程式資料。
閘道層級閘道會驗證會話,而封包過濾防火牆則會檢查個別封包。
防火牆可控制網路的安全性存取,而閘道則可促進不同網路之間的資料傳輸。
閘道對於網路通訊是必要的。網路安全性需要防火牆。
閘道通常會依據其功能,在不同的 OSI 模型層級運作。
迴路層過濾會檢查工作階段初始通訊協定,例如 TCP 握手,而非封包內容。
相關內容
什麼是混合雲端安全?
混合雲端安全性是為了保護混合雲端環境中的資料、應用程式和基礎架構而建立的技術和程序的總和。
雲端 NGFW
瞭解雲端 NGFW 如何協助阻止攻擊者入侵、阻止資料外洩和命令與控制 (C2) 流量。
快速找到合適的軟體防火牆
業界領先的 Palo Alto Networks 軟體防火牆可隨時保護您在各種環境中的工作負載和應用程式的安全性。
您的混合基礎架構正遭受攻擊
瞭解專為混合架構設計的安全平台的主要特性。

取得最新資訊、活動邀請,以及威脅警示