防火墙是网络安全的第一道防线,是目前应用最为广泛的网络安全防护技术产品。本文将围绕防火墙技术特点、产品类型及如何挑选一款优秀的防火墙等问题展开探讨。
防火墙,本是一建筑领域词汇,原指建筑中用于阻止火灾蔓延的墙。现多用于网络领域,指在内部网络与外部网络之间、专用网络和公共网络之间设置的一道保护屏障。防火墙是目前使用最为广泛的网络安全防护技术,也是解决网络隔离与连通矛盾的一种较好的方案,可在网络环境下构筑内部网和外部网之间保护层。
第一代防火墙诞生于1989年,采用静态包过滤技术,俗称包过滤防火墙。历经35年发展进化,防火墙由低级到高级、从简单到复杂。目前,防火墙已经发展成为了一款能够全面应对应用层深层威胁的集成式、高性能、智能化的网络安全领域的基础安全设施。
第一代防火墙:包过滤防火墙,采用静态包过滤技术,依附于路由器包过滤功能实现,根据定义好的过滤规则审查每个数据包,遵循“最小特权原则”允许管理员通过设定策略决定数据包是否能通过防火墙。
第二代防火墙:电路层防火墙,同样于1989年推出,通过使用TCP连接将可信任网络中继到非信任网络来工作,但客户端和服务器之间不会直接连接。电路层防火墙不能感知应用协议,必须由客户端提供连接信息。
第三代防火墙:应用层防火墙(也称代理防火墙)的初步结构,由贝尔实验室在1989年同步推出,应用层防火墙通过代理服务实现防火墙内外计算机系统的隔离。
第四代防火墙:基于动态包过滤技术的防火墙,采用动态设置包过滤规则的方法依据设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目标地址、所使用的端口确定是否允许通过。
第五代防火墙:使用自适应代理技术的防火墙,由NAI公司在1998年推出自适应代理技术,并在其产品中体现,给代理类型的防火墙赋予了全新意义。
第六代防火墙:IDC在2004年提出统一威胁管理(UTM)概念,将防病毒、入侵检测和防火墙安全设备划归统一威胁管理,包含多功能安全网关、综合安全网关、一体化安全设备等产品。
下一代防火墙:Palo Alto Networks公司在2008年发布下一代防火墙,以应用感知和全栈可视化、深度集成IPS、适用于大企业环境并集成外部安全智能为主要技术特点,解决统一威胁管理多功能同时运行情况下性能下降的问题,还可基于用户、应用和内容进行管控。
经历35年发展进化,防火墙形态各异,从构成形态上来看,防火墙又可分为硬件防火墙、软件防火墙和芯片防火墙。
硬件防火墙
最常见的防火墙形态,基于PC架构,软硬一体化产品,主要用于网络级安全防护。
软件防火墙
运行于独立的计算机上,需要计算机操作系统的支持,纯软件化产品,用于计算机主机的安全防护。
芯片防火墙
专有的ASIC芯片、多总线结构具有更快处理速度,更高处理能力,非x86架构,专用操作系统,具有更高的安全性。
而从部署应用上来看,防火墙又分为网络防火墙、主机防火墙和混合防火墙。
网络防火墙
通常部署在网络边界,用于子网之间访问控制的网络设备。
主机防火墙
针对于单个主机进行防护,以软件形式部署在主机操作系统上。
混合防火墙
将分布式技术与传统防火墙相结合,通常由内、外两部分构成,可自动根据具体情况完成内外主机直接通信,智能更新信息的过滤规则,自动配置过滤策略等智能化的防火墙系统。
近年来,随着工业4.0、数字化浪潮的到来,工业企业信息化、智能化建设不断推进,工业网络与互联网有了更多的连接与交互。原本存在于互联网的病毒、木马、勒索软件和黑客攻击正逐步向工业网络渗透,肆意破坏正常工业生产甚至危及国家安全。
防火墙作为网络防护的标准化产品,逐步被应用到工业网络的安全防护中。然而,由于工业网络与普通网络存在巨大差别,其使用环境更复杂,对防护产品稳定性要求更高、延时更低等特殊要求,促使安全厂商对防火墙做出针对性开发,工业防火墙就此诞生。
工业防火墙在我国各项法规标准中扮演着中流砥柱角色,并且市场中几乎所有的工业安全厂商都能够提供此类产品。那么,如何在繁杂的产品中选择一款优秀的工业防火墙产品就成为工业企业的一道必答题。
关于工业防火墙的产品选择,我们可以从功能、性能、稳定性等几个方面来综合考量。
功能是每一款工业防火墙产品安全防护能力的具体体现。优秀的工业防火墙需要具备以下功能:
1、工业协议的解析能力和支持能力
工业控制设备之间的通讯往往采用设备厂商的专有协议,公开的或半公开的,因为有比较直接的协议标准文档能够采用,所以相对来说比较容易理解和做到协议解析。但是对于专用的未公开协议,就需要依靠安全设备厂商的网络流量分析能力甚至是逆向解析能力。如果不支持特定通讯协议,工业防火墙的协议解析和保护能力就会大打折扣,当然,其他功能诸如流量隔离仍然可以发挥应有的作用。
2、链接状态检测和深度数据包解析能力
工业防火墙直接借鉴了传统IT防火墙的形态,目前直接在DPI应用层检测阶段。工业网络发展到现代,底层越来越多的采用以太网通讯协议,同时协议应用层采用动态端口协商技术,这就要求工业防火墙需要支持协议状态检测和动态端口协商技术。工业防火墙需要具备深度数据包解析能力,才能够支持以数据包解析为基础的很多安全功能。
3、白名单或者流量模型自学习模式
工业网络中的流量相对单纯和明确,本地自封闭局域网络,不与外部广域互联网相连或直接相连,区别于常见的基于各类漏洞库、病毒库、攻击特征库的黑名单防御机制,更多采用的是白名单的防御思维。
工业防火墙上线后,先作为一个流量的旁观者,默默学习一定的时间范围,进而自动生成待定的白名单目录,这时再配合自动化控制系统工程师进行策略调优和白名单确认,通过确认之后才作为通信安全基线正式生效。
4、工业级的可靠性和硬件支持
工业防火墙硬件需要采用工业级元器件进行设计制造,以保证产品长期稳定的运行。区别于传统墙,当现场环境恶略情况下,常使用无风扇封闭式形态硬件进行部署,并支持工业直流电源,满足IP40及以上防尘等级要求和宽温要求。
5、集中管控和设备联动能力
典型的工业防火墙部署数量都不只是单台设备,参考整个工业网络的范围和工艺工段的数量,数量有可能在十数台到数十台不等,所以设备的集中管控能力就显得异常重要,可以通过统一的管理平台进行集中管理会大大提高设备的调配能力和快速响应能力。
6、工控漏洞库、工控设备指纹库、工控攻击特征库等工业专有库能力
工业现场通常使用自动化控制设备,及其专用通信协议,专有库可以针对工业特殊环境进行有效防护,可以通过网络流量分析做到设备资产自动识别和网络拓扑描绘。
除上述功能之外,性能和稳定性也是考量的重要部分。工业网络环境里面对于设备的延迟要求很高,必须满足操作的实时性,否则容易影响工业设备的正常响应。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/75946.html
