網路防火牆定義
防火牆是一種網路安全方案,保護您的網路免受不必要的流量影響。防火牆根據一組預定的規則來封鎖傳入的惡意軟體。這些規則能防範網路使用者存取某些網站和程式。
防火牆是基於一個簡單的概念,即在移動到更安全的環境之前,應該對來自不太安全環境的網路流量進行身分驗證和審查。這可以防止未經授權的使用者、裝置和應用程式進入受保護的網路環境或區段。如果沒有防火牆,電腦和裝置容易受到駭客攻擊,容易成為攻擊目標。
雖然考量到現今複雜的網路威脅情勢,進階的防火牆無法再單獨為網路提供防護,但這些裝置仍被視為建立適當網路安全系統的基礎。作為抵禦網路攻擊的第一道防線,防火牆提供對所有流量的必要監控和過濾,包括發送端流量、應用層流量、線上交易、通訊和連接性(如 IPSec 或 SSL VPN)及動態工作流程。適當的防火牆組態也很重要,因為預設功能可能無法提供最有效的網路攻擊保護。
隨著數位環境變得越來越複雜,裝置、使用者和跨界應用程式越來越多(尤其隨著 IoT 和終端使用者裝置的不斷成長),以及 IT 和資安團隊的整體集中控制較少,企業更易遭受網路攻擊。因此,瞭解防火牆的運作方式、各種可用類型,以及保護網路區域的最佳方式至關重要。
防火牆有哪些功用?
最初,防火牆分為兩大陣營:代理防火牆和狀態防火牆。隨著時代進步,狀態檢測越來越複雜,而代理防火牆的效能過低。今天,幾乎所有防火牆都是狀態防火牆,並分為網路防火牆和主機型防火牆兩大類型。
主機型或電腦防火牆僅能保護一台電腦,也就是「主機」, 通常應用在家庭或個人裝置,整併在作業系統中。但有些狀況下,這些防火牆也可以用於企業環境,以提供額外的保護。考量到主機型防火牆必須單獨在每台裝置上安裝和維護,擴充性因而有限。
另一方面,防火牆網路則能為通過分界點的所有設備和流量提供防護,提供廣泛的可擴充性。顧名思義,網路防火牆在網路層運作,即 OSI 模型第 3 和第 4 層,掃描外部來源和區域網路 (LAN) 之間的流量,或網路中不同區段之間的流量。作為第一道防線,防火牆被放置在網路或網路區段的周邊,並透過執行深度封包檢測和封包過濾來監控流量。如果封包的内容不符合先前根據網路管理員或安全團隊建立的規則條件,防火牆 會拒絕並封鎖該流量。
網路防火牆重要性為何?
如果沒有網路防火牆,網路安全性就會受到破壞,組織形同對不肖人士敞開大門,任其竊取資料或利用惡意軟體感染您的網路。在網際網路上,防火牆是有效監控所有流量進出的必要工具。 否則,網際網路流量將毫無限制地進出您的網路,帶有惡意威脅的流量也是。
網路防火牆是維護組織基礎設施安全的基石。其主要任務是監控進出傳輸的流量,並允許或封鎖流量。其有助於保護網路免受以下威脅:
- 惡意軟體
- 漏洞攻擊
- 惡意網站
防火牆入侵的即刻影響是全公司網路中斷,這會導致生產率下降。長期問題包括資料外洩和聲譽損害。
防火牆類型
除了網路和主機型防火牆之外,還有其他必須了解的類型。這些類型的防火牆包括:
網站應用程式防火牆 (WAF)
整合式威脅管理 (UTM) 防火牆
網路位址轉換防火牆
內網安全防火牆 (ISFW)
新一代防火牆 (NGFW)
網站應用程式防火牆
網站應用程式防火牆的操作層級與網路防火牆不同,會檢查開放式系統互聯模型 (OSI) 第 5 到 7 層通訊協定的傳入流量。第 5 層為工作階段層,提供在終端使用者應用程式程序之間打開、關閉和管理工作階段的機制。第 6 層負責資訊傳遞和格式化至應用層,以進行進一步處理或顯示。而第 7 層允許使用者直接與軟體應用程式互動。
網站應用程式防火牆可透過檢查、保障所有網頁及應用程式型流量的完整性,來增加一層保護。這類的防火牆解決方案具有優勢,不僅能檢查傳入流量的網路位址和連接埠數目,更可深入評估來自應用程式通訊協定(如 HTTP 和 FTP)的威脅。此外還具備日誌記錄功能,對調查資安事件的資安團隊而言是無價之寶。
整合式威脅管理 (UTM) 防火牆
統一威脅管理 (UTM) 防火牆在單一主控台下整合數個重點安全功能,提供現代化的安全管理方法。這些防火牆解決方案將狀態檢查防火牆的元件與其他關鍵安全元素相結合,例如防毒、入侵預防系統 (IPS)、反垃圾郵件、虛擬私人網路 (VPN) 等。UTM 防火牆通常以獨立安全方案進行配置,提供多項資安功能。透過在組織網路上層化安全功能,資安團隊可確保完整的保護,及更強大的網路威脅防護。
UTM 防火牆為資安團隊簡化作業,使其能以有限的人力和資源保護並防禦網路。一般及中小企業 (SMB) 在其網路上都有一系列完整的供應商,每個供應商都有自己的資安功能,只要將資安交給同一個保護傘,就能降低複雜性與營運負擔。只需要一個資安團隊,即可使用 UTM 防火牆(即使有多個分支機構需要保護)。
網路位址轉換防火牆
網路位址轉換 (NAT) 防火牆透過單一閘道裝置將流量匯集到網路。其通常不會進行任何流量檢查,而是在外部裝置上隱藏内部網路,並使用單一 IP 位址進行外部連接,然後使用廣泛的一組可用内部位址來管理流量,從而保護有限的 IP 位址。NAT 閘道通常部署在 Wi-Fi 路由器上,但有時也會透過 VPN 服務部署。
內網安全防火牆
內網安全防火牆 (ISFW) 位於内部網路的策略據點,即位於內含重要智慧財產的特定伺服器,或一組雲端裝置或網路應用程式的前面,提供進出網路特定區域時立即「可見」的流量。其同時亦提供主動式分段功能,與網路存取控制 (NAC)等解决方案合併使用,可根據各種條件動態分配新裝置和工作流程至網路的特定部分。
新一代防火牆 (NGFW)
新一代防火牆 (NGFW) 與專門用來攔截現代威脅的 UTM 防火牆類似。它們結合了前一代防火牆的功能與能力(如狀態檢測),搭配能因應持續不斷演變的威脅情勢之科技與技術。尤其要注意的是,網路犯罪集團的攻擊手法越來越精密,因此防火牆面對的網路及資料與裝置風險也越來越高。
Fortinet 如何提供協助
Fortinet 的 FortiGate NGFW可提供優於產業標準的卓越防護能力,連續十二次榮獲 Gartner 魔力象限網路防火牆認可。FortiGate 解决方案,將各種所有防火牆集結成單一整合式平台,包括新的 SD-WAN 功能。其單一面板管理功能,可為多種使用情境提供簡化的使用體驗,在整個網路邊緣進行靈活配置。Fortinet 以安全為導向的網路方案,讓安全性從根本上整合到網路的各個層面中。
