防火墙概述
“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。这种隔离是选择性的,隔离“火”的蔓延,而又保证“人”可以穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
为什么需要防火墙?
安全无处不在。路由器和交换机构建了互联互通的网络,带来便利的同时也带来了安全隐患。
例如在网络边界,企业有了如下安全诉求:
- 外部网络安全隔离
- 内部网络安全管控
- 内容安全过滤
- 入侵防御
- 防病毒
什么是防火墙?
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。
防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。
严格意义上,防火墙还有更多的部署形态,例如桌面型防火墙(盒式防火墙的一种)。桌面型防火墙适用于小型企业、行业分支、连锁商业机构等场景。华为盒式防火墙同时支持传统模式和云管理模式。云管理模式由云端统一管理分支机构的安全接入,支持设备即插即用、业务配置自动化、运维可视化和网络大数据分析。
防火墙与交换机、路由器功能对比
以园区网为例,交换机作用是接入终端和汇聚内部路由,组建内部互联互通的局域网。
路由器作用是路由的分发、寻址和转发,构建外部连接网络。
防火墙作用是流量控制和安全防护,区分和隔离不同安全区域。
防火墙与路由器转发流程对比
防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有SPU(Service Processing Unit),用于实现防火墙的安全功能。
防火墙的典型应用场景
DMZ(Demilitarized Zone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。在企业中一般用于服务器的放置。
数据中心网络一般采用Spine-Leaf架构。Spine为骨干节点负责流量高速转发,Leaf为叶子节点负责服务器、防火墙或其他设备接入。Spine-Leaf之间全三层互联。
防火墙的发展历程
纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出,推动着防火墙的发展。
防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙,有以下特点:
- 访问控制越来越精细
- 防护能力越来越强
- 性能越来越高
包过滤防火墙
包过滤是指基于五元组对每个数据包进行检测,根据配置的安全策略转发或丢弃数据包。
包过滤防火墙的基本原理是:通过配置访问控制列表(Access Control List,ACL)实施数据包的过滤。
包过滤防火墙主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
包过滤防火墙的设计简单,非常易于实现,而且价格便宜。
包过滤防火墙的缺点主要表现以下几点:
- 随着ACL复杂度和长度的增加,其过滤性能呈指数下降;
- 静态的ACL规则难以适应动态的安全要求;
- 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
状态检测防火墙
状态检测是包过滤技术的发展,它考虑报文前后的关联性,检测的是连接状态而非单个报文。
状态检测防火墙就是支持状态检测功能的防火墙。
状态检测防火墙通过对连接的首个数据包(后续简称首包)检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制(转发或阻塞)。
AI防火墙
AI防火墙是结合AI技术的新一代防火墙。它通过结合AI算法或AI芯片等多种方式,进一步提高了防火墙的安全防护能力和性能。
华为AI防火墙,内置的恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针,支持与沙箱和华为大数据分析平台CIS联动检测,打造智能防御体系。
华为HiSecEngine USG6000E系列是业界首批推出的AI防火墙。AI防火墙没有统一的标准,例如通过用大量数据和算法“训练”防火墙,让其学会自主识别威胁;通过内置AI芯片,提高应用识别和转发性能,都可以被称为AI防火墙。
APT(Advanced Persistent Threat,高级持续性威胁)是指用先进的攻击手段对特定目标进行长期持续性攻击的攻击形式。
沙箱(Sandbox)是一个用于检测病毒的安全设备,它为疑似病毒构建虚拟环境,通过观察其后续行为检测病毒。沙箱是APT检测的重要设备。华为的沙箱产品为Firehunter。
CIS(Cybersecurity Intelligence System)能够对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集,通过大数据实时及离线分析,结合机器学习技术、专家信誉、情报驱动,有效的发现网络中的潜在威胁和高级威胁,实现企业内部的全网安全态势感知,同时可以结合华为HiSec解决方案高效地完成威胁的处置闭环,防患未然。
自研恶意文件检测引擎(CDE)引入PE Class 2.0 AI算法,对全文件进行还原,对文件内容进行深度检测。(业界主流基于流检测。流检测的检测速度快,但只还原文件头,不对文件内容进行检查。
华为独创的AIE APT检测引擎,引入AI算法,持续防御最新威胁。
- 防火墙是一种安全设备,有灵活的设备形态包括框式、盒式、桌面型和软件防火墙。
- 防火墙可被用于但不仅限于企业边界防护、内网管控与安全隔离、数据中心边界防护和数据中心安全联动。
- 防火墙技术不断的发展,从早期的包过滤防火墙发展到当前的AI防火墙。
