何謂網路防火牆?
網路防火牆是限制及允許網路間流量流動的硬體或軟體。網路防火牆會強制實施原則來封鎖未經授權的流量存取安全的網路,藉此協助防範網路攻擊。
網路防火牆說明
網路防火牆是為了限制網路之間的流量。防火牆通常架在安全的專用網路和具有不同安全狀態的網路 (例如網際網路) 之間。網路防火牆也可以放在整個安全的專用網路中,以降低網路攻擊風險,並防止他人未經授權而擅自存取敏感資源。
網路防火牆有什麼效用?
網路防火牆會分析傳入和傳出網路流量、檢查 IP 位址、通訊協定、內容類型和其他流量特徵。在分析流量的特徵之後,網路防火牆會根據已建立的防火牆原則來封鎖或允許流量流動。
網路防火牆安全性通常是實現安全、隱私和合規性要求的必要條件,例如美國聯邦資訊安全現代化法案 (FISMA) 和全球認可的支付卡產業資料安全標準 (PCI DSS) 等。
網路防火牆如何運作?
網路防火牆會根據存取控制機制來強制實施原則。這些機制可以是定義的原則、允許/拒絕規則集,以及指定如何根據流量特徵處理流量的其他指引。
網路防火牆會檢查四個傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 通訊層中的資料,分別是:(從最高到最低) 應用程式、傳輸、IP/網路和硬體/資料連結。TCP/IP 層會指引資料完成從來源到目的地的移動。網路防火牆安全性技術越先進,可檢查的層數就越多、層數越高。收集更多資訊的能力,讓進階網路防火牆得以提供更精細的流量控制和更詳細的計費功能。
哪種網路防火牆最好?
不同的網路防火牆具有不同的優勢。隨著混合工作模式、行動性和物聯網採用率的上升,使用以 IP 位址為基礎的網路防火牆規則和實體網路配置已無法滿足需求。Aruba Policy Enforcement Firewall (PEF) 提供以身分為基礎的控制來強制實施應用程式層的安全性和優先順序策略。
PEF 是成熟有效的技術,在全世界的安裝數量已超過 400 萬。使用 PEF 技術的組織可執行零信任存取模式,透過身分、流量屬性和其他內容,在初始連線時集中執行存取權限管理。由於技術優勢以及動態執行角色型安全原則的能力,PEF 能夠有效降低風險,因此榮獲 Marsh 評選為「Cyber Catalyst℠」解決方案。Cyber Catalyst 可將採用指定技術的客戶納入考量範圍,享受參與計畫之保險公司所提網路保險原則的強化型條款與條件。
網路防火牆安全性的優勢
- 強制實施存取權限原則以降低風險。網路防火牆僅允許明確允許的流量通過 (「預設為拒絕」),可以支援零信任安全性架構。
- 限制存取敏感資源。網路防火牆可以防止未授權的使用者存取敏感和機密資料,例如患者資料和財務資訊。
- 保護網路免於網路威脅。當組織內的使用者造訪惡意網站時,網路防火牆可以封鎖及防止從散播的惡意軟體發動的攻擊或威脅。
網路防火牆的運作原理
防火牆類型
| 防火牆類型 | 功用 |
|---|---|
| 封包過濾防火牆 | 檢查輸入 (傳入) 和輸出 (傳出) 流量,並根據來源和目的地等基本資訊允許/拒絕流量通過。封包過濾防火牆不會追踪傳入或傳出流量的狀態,因此也稱為無狀態防火牆。由於本身的限制,無狀態封包過濾防火牆可能容易受到瞄準 TCP/IP 堆疊的攻擊和惡意利用。 |
| 可設定狀態的防火牆 | 利用可設定狀態的檢查來追蹤流量,並封鎖偏離預期型態的流量。可設定狀態的防火牆會根據已建立並在資料表中追蹤的連線檢查連線,然後可以根據規則和未符合已建立連線的情況拒絕流量。所以,可設定狀態的防火牆能抵禦分散式阻斷服務 (DDoS) 等攻擊。 |
| 應用程式防火牆 | 建立在具有深層封包檢測功能的有狀態功能之上。應用防火牆會分析應用程式層的資料,將觀察到的事件與已建立的活動型態進行比較,藉此識別偏差並防止威脅。應用程式防火牆可以阻止由意外命令執行的攻擊,例如緩衝區溢位攻擊、DoS 攻擊和惡意軟體。 |
