企业防火墙:商业网络中的放置指南

防火墙是任何业务网络的重要组成部分。它们充当网络和任何外部流量之间的过滤器,充当抵御外部威胁的第一道防线。然而,企业防火墙配置比使用标准消费级防火墙要复杂一些。与作为软件与主机操作系统一起运行的个人防火墙不同,企业防火墙在网络中某处的专用机器上运行。这意味着在网络拓扑中放置业务防火墙更为重要。

企业防火墙:商业网络中的放置指南-南华中天

企业防火墙可以为业务网络做什么?

企业防火墙可能采用具有防火墙功能的路由器或连接到网络的专用防火墙设备的形式。在最基本的情况下,企业防火墙可以防止不受信任的流量进入网络上的机器。

例如,如果一家公司在自己的网络上托管其网站,那么防火墙将允许进出公司网站服务器的外部流量,但会阻止进出具有敏感数据的内部计算机的未经授权的流量。此功能可以帮助防止黑客窃取公司数据,并可以阻止在公司网络中复制的恶意软件的传播。

防火墙还可以帮助防止拒绝服务 (DoS) 攻击。对于具有“状态检查”功能的防火墙尤其如此,这些功能允许他们实时分析流量——他们将能够看到流量的趋势和模式,并相应地调整设置。通过减轻 DoS 攻击的影响,即使在重大网络攻击期间,防火墙也可以帮助确保业务连续性。

通过正确的设置,企业可以创建所谓的非军事区 (DMZ),或公司网络内包含面向公众的服务的区域。DMZ 可能包含邮件、FTP 和 VoIP 服务器以及公司网站。

许多大型企业网络在其网络中实施了多个防火墙,从而创建了各种访问“区域”,例如多个非军事区和不同访问级别的区域。这种分区可以帮助保持业务网络的活力并隔离正在传播的恶意软件。

企业防火墙:商业网络中的放置指南-南华中天

这如何转化为网络拓扑?

所有外部流量都必须通过防火墙才能到达网络。从逻辑上讲,这意味着防火墙应该放置在互联网和网络之间。最基本的配置之一是连接到广域网 (WAN) 的路由器,然后是连接到路由器的防火墙,在将所有流量分发到整个网络之前过滤所有流量。为提高安全性,您可以选择在将路由器发送到防火墙之前运行路由器的板载防火墙功能,但可能会导致性能下降。

使用这种设置创建一个非军事区并不难。防火墙将连接到 WAN、DMZ 和公司网络。使用防火墙的安全策略,内部网络的流量将与 DMZ 的流量隔离。这种配置的问题是只有一个设备处理流量过滤——如果它因任何原因受到损害,那么内部网络也可能受到损害。

更安全的方法是使用具有两个防火墙的配置。在这种情况下,第一个防火墙是最外层的设备,被称为“外围防火墙”。它正常连接到 WAN 并将流量发送到 DMZ 网络。然后,第二个路由器,即内部防火墙,接收通过 DMZ 的内部流量并将其过滤到内部网络中。如果使用来自不同供应商的防火墙,后一种方法会更加安全。这样,一个设备中的安全漏洞就不能被两个设备利用。

业务防火墙的类型

有不同类型的防火墙,每种防火墙在网络中都有自己的用途。

网络级网关

这些简单的防火墙检查每个网络数据包的标头,检查它们的来源和目的地。它们具有出色的性能并消耗很少的资源,但绕过起来微不足道,并且可能被 DoS 攻击淹没。类似的防火墙(称为电路级网关)检查 TCP 握手的合法性,而不是每个数据包的标头。它们也相当简单且易于规避,但运行效率也很高。

企业防火墙:商业网络中的放置指南-南华中天

应用级网关

这些是更复杂的防火墙,可以分析数据包的内容,而不仅仅是包头。通过分析数据包使用的协议,他们可以更有效地过滤数据包并控制来自不同类型流量的访问。

状态检查

状态检查网关可以分析多个级别的流量,甚至可以使用随着时间的推移收集的洞察力来做出过滤决策。它们非常先进,可以防止比其他防火墙类型更广泛的威胁,但它们也是资源密集型的。