什麼是防火牆?| 防火牆定義
防火牆是一種網路安全性解決方案,可根據定義的安全性規則監控和管理流量,並據此接受、拒絕或丟丟流量。
防火牆的功能是透過監控和管理流量來保障網路主機的安全性。網路主機是在網路中進行通訊的裝置 (例如電腦)。它們的交換可以是在內部網路內,或是在內部與外部網路之間。
防火牆在網路安全中的作用至關重要。它是第一道防線,負責審查和控制網路流量,以阻擋潛在的網路威脅。防火牆系統能夠在可信賴與不可信賴的網路之間維持一道警戒屏障,對於確保組織資產與資料的數位安全至關重要。
防火牆會根據其規則集過濾和仔細檢查封包。如果封包不符合既定標準,則會拒絕進入。封包是用於線上傳輸的格式化資料。封包傳輸所有在網際網路上傳輸的資料。它們包含核心資料、資料來源、目的港及其他相關詳細資訊。
狀態封包檢測是一個舉足輕重的概念。每個封包都會在其原始會話的範圍內被仔細檢查。這可確保每個封包的旅程 (來源、目的地及其路徑) 都是已知的,以便針對潛在威脅進行全面評估。
防火牆依靠多種技術和方法來區分合法的網路流量和潛在的惡意活動。基本上,最低權限存苃規定實體只能存取其所需的內容。透過設定符合此原則的政策,使用者就不會在不經意間引入威脅。
他們還會進行嚴格的交通檢查。它們會將輸入的資料與已知威脅特徵資料庫進行比較。如果流量符合已知的威脅模式,就會被封鎖。必須注意的是,由於網路威脅的動態性質,僅依賴已知的簽章是不夠的。解決方案必須根據新出現的威脅模式不斷更新資料庫,並採用先進的方法來偵測之前未見過的威脅。
防火牆處理入站(inbound)和出站(outbound)網路流量的方式截然不同。入站流量(或稱南北流量)來自網際網路等外部來源。由於這些流量可能帶有惡意 URL 或惡意軟體,因此防火牆會徹底檢查,檢查是否有威脅,並確保沒有有害元素入侵周界。東西向(或稱內部流量)在內部網路的不同區段之間移動。儘管看起來可能比較安全,但檢查這些流量是非常重要的,因為威脅可能會繞過邊界或透過其他方式進入。
深入瞭解防火牆如何檢查 並過濾 網路流量,以確保只有經過授權的安全流量才能通過,請閱讀「 防火牆有什麼作用?」|防火牆如何運作。
防火牆類型
防火牆通常根據其保護的系統、外型尺寸、在網路基礎架構中的位置,或過濾資料的方式來分類。
受保護系統的防火牆類型
網路防火牆
根據預先設定的安全性政策,監視和控制傳入和傳出的流量,以保護整個網路。
主機型防火牆
這些裝置安裝在個別裝置或主機上,可監視特定裝置的傳入和傳出流量。
防火牆類型 (依型態)
硬體防火牆
硬體防火牆是安裝在網路元件與連接裝置之間的獨立實體裝置。
軟體防火牆
軟體防火牆是一種軟體外型,而非實體裝置,可部署在伺服器或虛擬機器上,以確保雲端環境的安全。
類型包括容器防火牆、虛擬防火牆 (也稱為雲端防火牆) 和管理服務防火牆。
閱讀我們的文章,瞭解如何在伺服器或虛擬機器上部署軟體防火牆,以確保雲端環境的安全: 「 什麼是軟體防火牆?」
防火牆類型 (依網路基礎建設內的位置排列)
內部防火牆
這些裝置設置在網路內部,而非邊緣,以防內部威脅。
分散式防火牆
這是一種可擴充的方法,解決方案分佈在多個裝置或伺服器上。
週邊防火牆
此防火牆位於網路的邊緣或邊界,可控制進入或離開網路的流量。
依資料過濾方法分類的防火牆類型
下一代防火牆 (NGFW)
NGFW 是一種更複雜的技術,它將傳統功能與入侵防護系統 (IPS) 和加密流量檢查等先進功能相結合。
封包過濾防火牆
此技術會檢查傳送至網路的每個資料封包。如果封包符合已建立的安全規則集,則允許;否則拒絕。
電路層級閘道
這些功能在會話層運作,可確保嘗試連線中封包的有效性。一經驗證,即允許網路間的持續連線。
Web 應用程式防火牆
此解決方案專為保護網路應用程式而設計,可過濾、監視及阻擋來自網路應用程式的 HTTP 流量,防禦跨網站指令碼編寫及 SQL 插入等威脅。
Proxy 防火牆
此解決方案在應用程式層運作,充當客戶請求的中介。它會根據安全規則集評估請求,並據此封鎖或允許請求。
狀態檢測防火牆
與無狀態防火牆不同,這些防火牆會記住過去的活動連線。決策基於設定的規則和情境,追蹤作用中連線的狀態。
閱讀我們的文章,瞭解每種類型防火牆的詳細資訊: 防火牆類型的定義和說明。
防火牆功能
隨著時代的演進,業務保護方法也必須與時俱進。值得注意的是,傳統防火牆可提供基本防禦,但下一代防火牆 (NGFW),包括以 ML 為動力的版本,則可反映現今先進的數位威脅。這些防火牆融合了新舊技術以增強網路安全性。
基本防火牆功能
封包過濾
封包過濾會評估通過防火牆的資料封包。防火牆會根據預先設定的標準(例如來源和目的地 IP 位址或埠號),決定是否允許或封鎖每個封包。
狀態檢測
狀態檢測會監控網路的活動連線。透過追蹤每個資料封包的狀態和屬性,可確保只有合法的流量才能通過,進而提升安全性。
網路位址轉換 (NAT)
NAT 會修改資料封包的來源或目的地 IP 位址。這不僅節省了 IP 位址,也隱藏了內部網路結構,讓潛在攻擊者更難深入瞭解網路。
記錄與監控
記錄會保留網路活動的記錄。這有助於深入瞭解流量模式,協助進行弱點評估,並促進對潛在安全漏洞的及時回應。
存取控制
存取控制規定哪些實體可以與系統通訊。透過定義一組規則,防火牆可決定哪些使用者、系統或 IP 位址可獲准或被拒絕存取網路資源。
進階防火牆功能
進階威脅防護
現代防火牆結合了進階威脅防護功能,可立即對抗零時差攻擊。此功能使用內嵌式深度學習引擎,可針對新型入侵嘗試和命令與控制機制提供卓越的防禦能力。它還支援廣泛接受的簽名格式的工作流程自動化。
進階 URL 過濾
尖端防火牆產品中的進階 URL Filtering 採用線上深度學習來即時分析網頁流量。此技術可有效阻止已知和新型的網路威脅,例如網路釣魚和惡意軟體,確保更安全的網頁瀏覽體驗。
DNS 安全性
DNS Security 可在當代防火牆技術中找到,利用預測分析和機器學習來挫敗利用 DNS 的複雜攻擊。其與防火牆的緊密整合可自動進行防護,提供更深入的威脅洞察力,並消除對獨立工具的需求。
物聯網安全性
IoT Security 為物聯網裝置提供強大的零信任安全方法,結合可視性、預防和執行。透過整合機器學習,現代防火牆可根據情境分割網路,降低風險,並保護物聯網及 IT 裝置免受各種威脅。
下一代 CASB
目前的防火牆技術引進了下一代 CASB,可即時保護跨企業的 SaaS 應用程式。有別於傳統的 CASB 解決方案,下一代版本提供全面的資料保護,滿足分散式工作團隊不斷演進的需求。
防火牆的優點
基本防火牆優點
監控和過濾網路流量
防火牆監控網路中的所有資料封包,主要使用狀態檢測來監控作用中的連線。作為最初的屏障,它會過濾傳入的資訊,確保有害的資料或模式被攔截,從而保護內部網路。
預防病毒入侵
防火牆與防毒軟體可提供有效的屏障,以對抗不斷演化的病毒。透過分析資料封包標頭,他們可以識別並中和惡意模式。下一代防火牆 (NGFW) 進一步提升了這種防禦能力,甚至可以捕捉到最先進的病毒。
阻止未經授權的存取
鑑於未經授權的存取嘗試越來越多,防火牆成為所有數位入口的守門員。尤其是網路防火牆,它利用存取控制來確保只有可信賴的來源才能與系統互動。
維護資料隱私
防火牆會仔細檢查進入或離開網路的資料,確保防止未經授權的存取,並維護私人資料的機密性。在數位環境中,它們對於保護敏感的商業資訊免於外部威脅是不可或缺的。
支援監管合規性
防火牆執行嚴格的資料保護,控制並記錄敏感資訊的存取。這些記錄是監管稽核的重要證據。透過維護資料完整性及提供可驗證的日誌,防火牆可協助組織保持合規性並促進信任。
進階防火牆的優點
強化使用者身分保護
現代防火牆可精確辨識使用者,確保安全政策符合特定的業務需求。這種微調控制僅允許特定使用者群組執行特定任務。
控制應用程式的使用
精密的防火牆可以識別和控制應用程式存取,確保只使用經過核准的應用程式。這種平衡可確保安全性,同時允許基於業務需求的應用程式彈性。
不影響隱私的加密流量安全性
先進的防火牆可以在不損害使用者隱私的情況下解密惡意流量,允許在不侵犯使用者權利的情況下徹底檢查潛在威脅。
進階威脅防護
隨著網路威脅不斷升級,許多當代防火牆都提供整合式解決方案,以保護各種攻擊媒介,確保能防禦已知和新興的威脅。
自動化威脅情報分享
有些先進的防火牆可自動偵測威脅、分析和回應,從全球收集洞察力,以便迅速進行安全更新。
零信任原則
先進的防火牆強調「零信任」(Zero Trust)方式,要求對所有網路動作進行一致的驗證與認證,確保偵測並處理每個潛在威脅。
閱讀「 防火牆有哪些好處?
防火牆挑戰
選擇適當的防火牆
市場提供各種類型,從基本的封包過濾到具備增強功能的進階次世代。篩選過程要求清楚瞭解組織需求。通常,組織會部署多個解決方案,以確保最佳化的安全性、成本效益和效能平衡。
有效配置
適當的配置是必要的。由於沒有適合所有人的通用設定,因此必須量身打造 網路分割、頻寬優先順序和應用程式控制等功能。指定允許的服務、應用程式和網路的詳細政策是有益的。
定期更新
威脅環境不斷演變。因此,防火牆需要定期更新,以處理漏洞和刷新敵意流量定義。為了確保最大程度的保護,建議採用一致的檢閱和更新時間表。在更新之前,必須評估其影響,例如潛在的中斷或效能問題。
規則與政策的管理
隨著時間和環境的變化,規則和政策需要重新審視。不斷地增加規則會導致系統雜亂無章,並可能產生效能問題和潛在漏洞。有效的管理工具可深入瞭解哪些規則是多餘的或需要最佳化。
防止誤判
過於嚴格的政策可能會錯誤地將合法流量識別為威脅。雖然嚴格的規則比寬鬆的規則可取,但卻會妨礙終端使用者的活動。自訂規則和組態對於區分特定流量類型非常重要。隨著時間的推移,了解每日流量概況可以減少這些挑戰,提供更好的保護。
監控與警報管理
不斷地監控效能與可用性是非常重要的。與裝置運作相關的指標有助於及早偵測潛在問題。例如,追蹤裝置高可用性故障移轉可以在問題升級前找出可能的軟體錯誤或硬體問題。
動態環境中的變革管理
IT 系統經歷不斷的變更。每增加一個網路,就需要更新規則。有時候,供應商文件可能無法清楚說明應用程式通訊協定或連接埠,因此必須進行故障排除,以確保正確存取。
強大的修補程式管理
所有 IT 系統都存在漏洞。全面的安全性裝置修補程式管理流程對於確保漏洞不會成為入侵點至關重要。監控安全性通知並定期更新軟體版本,可確保網路環境的安全性。
將業務邏輯轉換為防火牆規則
防火牆的固有架構可能會造成翻譯上的挑戰。CISO 和其他主管可以設定基於業務邏輯的安全意圖。然而,並非所有廠商都能輕鬆地將此業務邏輯轉換為規則。如果設計無法隨時適應這種轉譯,結果可能是一套複雜、低效的規則。
第 7 層轉換難度
傳統的第 3 層、第 4 層防火牆通常會隨著時間累積複雜的規則集。從這些根深蒂固的系統過渡到應用層級的第 7 層解決方案可能會令人望而生畏。這種轉變需要捨棄舊的政策,採用更清晰、更合理的方法。
平衡安全性與效能
防火牆管理並檢查大量流量,有可能成為網路瓶頸。管理員經常必須在增強安全性功能與最佳化網路速度之間做出抉擇。防火牆超載會導致網路作業緩慢或停止,影響業務活動。
過度依賴單一解決方案可能會導致效能問題或系統全面癱瘓。現代的解決方案提供 AIOps 等預測工具,讓管理員能夠預見容量問題,並作出相應調整。
防火牆威脅與漏洞
設定錯誤
防火牆的有效性主要取決於正確的設定。在此過程中,任何偏差或疏忽都可能導致惡意實體意外開啟。例如,當預設設定維持不變,裝置就會變得更容易成為攻擊目標。熟悉流行產品的攻擊者可以利用這些預設值,為網路入侵鋪路。定期檢閱和調整組態有助於防止此類漏洞。
過時軟體
不斷地軟體更新是維持效率的必要條件。製造商會發佈修補程式,以對抗新發現的威脅和漏洞。在過時軟體上運作的防火牆不僅容易受到這些威脅,還可能遇到與較新系統不相容的問題,導致無法預見的安全漏洞。及時的軟體更新在維護保護完整性方面扮演著關鍵的角色。
非作用中的安全功能
防火牆通常配備一系列安全功能。但是,如果不啟動,這些功能會處於休眠狀態,無法提供真正的保護。例如,需要啟動防偽裝措施,以偵測並阻擋偽裝的惡意流量。例行的系統稽核可確保所有這些工具都處於活動狀態,並能以最佳化方式運作。
文件不足
防火牆組態、規則和協定的完整文件至關重要。文件可以協助疑難排解、確保一致的防火牆管理,以及簡化新 IT 人員的入職程序。如果沒有它,組織就會冒著不一致的風險,尤其是在人事變動期間,使得系統更容易受到攻擊。
內部威脅
擁有系統存取權限的惡意或心懷不滿的員工有時會利用他們對內部系統的深入瞭解,繞過防火牆。監控內部流量和例行檢閱使用者權限對於對抗這類威脅是非常重要的。
弱密碼通訊協定
薄弱的密碼作業方式會大大削弱防火牆的效能。簡單、易於猜測或預設的密碼對網路攻擊者來說是很有吸引力的進入點。透過建立強大的密碼協定,並規定定期變更密碼,組織可以大幅降低這種弱點。
基本檢驗規範
傳統裝置通常依賴最基本的檢查方法,檢查資料封包的來源和目的地。惡意行為者可以使用欺騙等技術輕易規避這些方法。相比之下,新世代則採用先進的策略,例如深度封包檢測 (deep packet inspection),它會仔細檢查資料封包內的內容,確保能更徹底地篩檢傳入的流量。
過度依賴防火牆
雖然防火牆是組織網路安全架構中不可或缺的一環,但單靠防火牆可能會造成危害。有效的安全性是多層次的,包括入侵偵測系統、防惡意軟體解決方案以及定期的安全性稽核。透過整合多重安全層級,組織可以確保即使其中一層受到攻擊,其他層級仍能保持完整,以消除潛在威脅。
威脅形勢不斷演變
僅依賴已知的威脅特徵來進行防禦已變得不夠。科技的進步讓駭客具備了精密的方法,使他們能夠以獨特或不斷演進的特徵產生新的威脅。這種現實狀況需要解決方案迅速適應,辨識並對抗不符合傳統規範的威脅。
進階攻擊與機器學習
黑客現在利用機器學習和 AI 來強化他們的攻擊方法。這些先進的威脅可以繞過傳統的簽章式防禦,要求防火牆加入更主動和智慧型的偵測機制。
防火牆設定
防火牆設定包括決定和設定規則、政策和其他標準,以保護網路。此程序需要根據特定標準(如來源和目的地 IP 位址或網域名稱)來決定應授予或拒絕存取哪些資料封包。
如何設定防火牆
保護防火牆
首先更新最新的韌體,以接收最新的安全修補程式。應變更或停用預設使用者帳戶和密碼。管理存取應受到限制,以減少受到威脅的機會。
設計防火牆區域和 IP 位址結構
根據網路資產的功能和風險,識別網路資產並將其分類。例如,與網際網路相連接的伺服器應該位於 DMZ 中,以保護內部網路。指定區域到指定介面,以確保正確的路由。
實作存取控制清單 (ACL)
ACL 定義區域之間允許或封鎖的流量。規則應特定於來源和目的地 IP 及埠號。以「拒絕所有」規則結束每個 ACL,確保只允許明確的流量。
啟動其他 Service 和 Logging
現代的解決方案提供 DHCP 和 IPS等附加服務;根據需要啟用,但停用不使用的服務。記錄是必要的:設定防火牆,將詳細記錄傳送至中央 Service。這些資料有助於管理員監督網路活動。
測試組態
設定後,使用 弱點掃描器 和滲透測試器測試防火牆。這可確認不需要的流量已被阻擋,而合法的流量則可以通過。確保組態的安全備份,以便快速復原。
持續監控與管理
不斷地監控記錄和警示,以達到最佳化的安全性。隨著威脅演進或網路作業改變而調整規則。記錄所有變更和更新,以確保清晰度和問責性。
健康狀況,例如 CPU 和記憶體使用率,是最重要的。AIOps 等工具不僅能監控防火牆是否符合安全最佳實務,還能隨著時間的推移評估其健康狀況。預測分析可標示潛在問題,協助主動進行修復。
防火牆架構
防火牆架構是指在各種環境中設計和部署防火牆,以保護網路、應用程式和資料。多年來,防火牆圖已因應不斷變化的技術環境和新興威脅而演進。
防火牆曾一度主要以類型來理解,例如封包過濾或入侵防護系統。然而,重點已從簡單地以特定技術將防火牆分類,轉為了解防火牆在不同環境中的角色。現代架構的主要目的仍然是保護網路和資料。
資料中心架構
資料中心代表一種獨特的架構。在許多資料中心內,防火牆通常被稱為「機架頂端」設備,用以保護伺服器和工作負載。這些解決方案已針對高速資料中心作業進行最佳化,但也能處理進階的威脅防護任務,例如停止惡意軟體。此外,由於資料中心的工作負載各不相同,因此分割變得非常重要。不論是對外的 Web 伺服器或內部伺服器,不同的伺服器都有不同的威脅環境。適當的組態可確保多樣化的工作負載受到充分保護。
公共雲端架構
隨著工作負載遷移至公共雲端環境,架構也需要適應。這些環境需要能夠保護特定雲端結構安全的防火牆。此外,隨著容器化應用程式的興起,需要能夠解決雲端環境中這類使用個案的解決方案。領先的供應商已開始提供直接整合至雲端平台的解決方案。這可從雲端介面直接進行規則管理,簡化作業並確保合規性。
分支架構
在討論分支機構或辦公室環境中的部署時,必須認清「架構」一詞是指使用個案,而非傳統的結構設計。在這種情況下,分支架構是指防火牆如何在辦公室中策略性地定位,以保護內部和外部流量。這包括考慮以區域為基礎的解決方案、使用身分的安全強制執行,以及應用程式 ID 等因素。分支機構環境中的現代化解決方案對於監控和防禦威脅至關重要,尤其是在工作負載和使用者活動不斷地演進的情況下。
防火牆規則
防火牆規則是網路管理員設定的規格,指示防火牆如何處理輸入和輸出的網路流量。防火牆可根據來源或目的地 IP 位址、連接埠和協定等參數,決定防火牆應如何處理流量,因此在維護 網路安全性方面扮演重要角色。
防火牆規則的類型
存取規則
存取規則透過評估來源和目的地位址、協定和連接埠號碼等參數來管理流量。根據這些評估,流量會被允許、阻擋或拒絕。
網路位址轉換 (NAT) 規則
NAT 規則對於在網路間移動流量時變更 IP 位址非常重要,它有助於路由選擇,並可保護私人網路免受外部威脅。
狀態封包過濾
狀態封包過濾會檢視個別資料封包與現有網路連線狀態的關係,經過比較後決定允許或封鎖流量。
應用層級閘道
應用層級閘道運行於 OSI 模型的 第 7 層 ,在網際網路和內部網路之間調解流量,通常用於控制存取。
電路級閘道
在 OSI 模型的第 5 層工作,電路層閘道透過監控 TCP 握手來驗證會話的合法性,著重於驗證遠端系統的合法性,而不是檢查個別封包。
防火牆最佳實務
妥善加固與配置
在部署之前,必須修補和強化作業系統。透過遵循供應商和有信譽的第三方來源(如網際網路安全中心)的組態指導方針,組織可以鞏固其第一道防線。
部署策略
防火牆是執行零信任安全原則的支柱。無論是網路間的宏觀分段連接,還是網路內的微觀分段隔離,它們在管制網路邊界存取與多樣化設定方面的作用都不容小覷。
增強防火牆安全性
提升防火牆安全性涉及多重措施。建議您停用不安全的通訊協定,例如 telnet 和 SNMP,必要時改用安全的組態。此外,維持備份、監控系統變更,以及隨時掌握已知的弱點也是非常重要的。
管理使用者帳戶
安全性從使用者管理開始。預設帳號和密碼應及時更改。透過強制執行多重要素驗證和嚴格的密碼規定,再加上以角色為基礎的存取控制,可以大幅降低未經授權存取的風險。
控制交通和存取
透過根據不同的類別(如外部、內部或特定的業務單位)來分類和控制流量,可維持有系統且有組織的流量。
保持合規性
使政策符合相關的監管規定是最重要的。通常,為了確保全面的安全性,必須整合 VPN、防毒程式和 入侵偵測系統 等輔助安全性機制。
定期測試
主動式方法包括使用工具進行路徑分析和驗證政策完整性。透過例行性的效能最佳化(不僅基於功能,也基於使用模式),組織可以確保有效率的運作。此外,滲透測試也是找出弱點的重要方法。
例行稽核
為了維護完整性,確認軟體和韌體的新舊程度以及日誌的功能性至關重要。為政策修改建立結構化的方法可確保即使進行調整,安全性也不會受到影響。
深入閱讀我們的文章,以確保您對防火牆最佳實務有最新的認識: 「 關鍵防火牆最佳實務」。
什麼是防火牆即服務 (FWaaS)?
防火牆即服務 (FWaaS) 將典型的功能從內部部署的設備轉移到雲端。FWaaS 提供 NGFW 中的進階網路安全性功能。這包括傳統的流量檢查以及入侵防禦、特定於應用程式的政策執行、URL Filtering 和進階惡意軟體偵測。
過渡到雲端後,FWaaS 可針對組織的特定需求,提供可擴充的安全措施。FWaaS 在雲端運作,因此不需要實體基礎架構,進而降低管理和維護需求。這對於遠端存取員工數目不斷增加或有多個辦公地點的組織來說尤其重要,因為無論員工在何處存取網路,都能確保一致的安全性協定。
FWaaS 將自己定位在網路與網際網路連線之間,藉由檢查傳入的流量來識別和對抗威脅。這包括檢查資料封包的標頭,以確定其來源和潛在的惡意指標。有些 FWaaS 解決方案甚至提供深度封包檢測功能,可深入檢視資料封包的內容,從而更全面地瞭解潛在威脅。
透過閱讀瞭解為何組織需要 Firewall as a Service (FaaS): 「 什麼是防火牆即服務?」
比較防火牆與其他安全技術
防火牆與防毒軟體
防火牆的主要任務是監控和管理網路進出的資料流量,目的是阻止未經授權的存取。它們既可以是硬體,也可以是軟體,並在網路協定層級運作,因此對於阻擋不想要的入侵非常重要。
另一方面,防毒軟體在電腦系統內運作,掃描檔案和程式以偵測惡意元素,例如病毒、蠕蟲和特洛伊木馬。透過偵測、防禦和消除這些威脅,防毒工具在保護電腦系統的完整性上扮演著重要的角色。然而,其限制之一是無法檢視唯讀檔案。
防火牆主要在網路層級提供保護,而防毒解決方案則強調端點安全性。當這兩種工具一起部署時,可針對廣泛的網路威脅提供全面的防禦。結合兩者可確保能同時處理外部和內部的威脅。
透過閱讀發現防火牆與防毒軟體功能的主要差異: 「 Firewall | Antivirus: 有何差異?」
防火牆 vs. IDS
防火牆會根據設定的規則主動檢查和過濾網路流量。透過分析網路封包的元資料,它可以判斷哪些流量應該被允許或拒絕,從而建立一道屏障,防止不想要的通訊。
相比之下,IDS 更像是一個可觀測性的觀察者。它會仔細檢查網路流量,並尋找與已知威脅相符的模式或活動。一旦識別到此類模式,就會發出警報,讓網路安全人員採取行動。IDS 不會干擾或攔截流量;它的主要作用是偵測和警示。
在許多現代的網路安全解決方案中,這些功能合而為一,在單一系統中同時提供流量過濾和威脅偵測功能。
防火牆的歷史
防火牆出現於 1980 年代末期,作為保護公司內部資源的解決方案。最早的封包過濾系統會檢查資料封包的目的地位址、協定和連接埠號碼。不遵守一組規則的流量會被丟棄或拒絕。
技術的進步導致了有狀態防火牆的發展。新世代會記錄電腦連線,保留資料封包以評估其狀態,然後再決定其合法性。這種判斷封包是否屬於現有或新連線的能力簡化了過濾程序。
2000 年代初期,統一威脅管理 (UTM) 裝置開始轉型。結合各種安全技術,UTM 提供單一平台來提供多層防護。他們整合了防火牆、防毒、入侵防禦等功能。儘管他們合併了多種網路安全性系統技術,但缺乏原生整合有時會造成安全性缺口、效能較慢、管理複雜等問題。
2008 年,下一代防火牆 (NGFW) 登場,而 Palo Alto Networks 則是這一領域的先驅。與 UTM 不同,PANW 及其他供應商提供的 NGFW 具備本機整合功能。他們強調根據應用程式、使用者和內容識別流量,並引入入侵防禦、Web 安全和加密流量檢查等功能。重要的是,Palo Alto Networks 的 NGFW 強調使用者身分保護的重要性,並強調許多安全漏洞都涉及憑證外洩。
最近的進展是在 2020 年推出機器學習驅動的下一代防火牆 (ML-Powered NGFWs)。它們利用機器學習來即時預測和對抗威脅。當業界開始適應 ML 驅動的 NGFW 時,Palo Alto Networks 是其中的佼佼者,它利用機器學習不僅能識別已知的威脅及其變種,還能偵測網路行為的異常,提供量身打造的安全性建議。
在向雲端運算轉移的背景下,雲端防火牆或雲端提供的安全解決方案已逐漸嶄露頭角。Palo Alto Networks 的 Prisma Access 產品在此扮演重要角色,為組織提供雲端原生安全性解決方案。
防火牆技術不斷地進步,其中整合機器學習和人工智慧是值得注意的里程碑。
常見問題
