网络安全
防火墙
别称: 网络防火墙
定义
一种网络安全设备或软件,依据预定义的规则集监控和控制入站与出站流量,将可信网络与不可信网络隔离开来。
防火墙通过检查数据包,并根据通常涉及源/目的 IP 地址、端口和协议的规则,对其进行放行、拒绝或记录,从而在网络边界实施访问控制策略。其形态从路由器上的简单包过滤器,到专用设备以及基于主机的软件,是纵深防御架构中最基础的边界控制。现代部署常将防火墙与 NAT、VPN 终接、IDS/IPS 以及应用识别结合使用。有效运行需要最小权限规则、定期评审、变更管理、日志记录以及与监控工具的集成,以识别策略漂移、被遮蔽的规则和横向移动。
示例
- pfSense 设备阻止来自互联网的入站 SMB(TCP/445)。
- AWS 安全组仅允许从负载均衡器到应用服务器的 HTTPS。
相关术语
下一代防火墙(NGFW)
在状态化检测基础上引入应用识别、集成 IPS、用户身份控制和 TLS 解密,从而实施更精细策略的高级防火墙。
Web 应用防火墙(WAF)
一种反向代理式的过滤器,通过检查 HTTP/HTTPS 流量,在请求到达应用之前阻断 SQL 注入、XSS、机器人滥用等 Web 攻击。
状态化防火墙
通过连接状态表跟踪活动连接的防火墙,自动放行与已建立会话匹配的返回流量。
包过滤
一种网络安全技术,根据静态规则集检查每个数据包的报头字段,从而决定放行或丢弃。
入侵防御系统(IPS)
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
Demilitarized Zone (DMZ)
Demilitarized Zone (DMZ) — definition coming soon.