什么是内部防火墙?
内部防火墙是一种安全解决方案,旨在保护网络,应对已经越过边界的攻击。防火墙通常是一种旨在监控流量并防止未经授权访问的设备或软件,而内部防火墙是此概念的高级应用。
通过比较内部防火墙与边界防火墙,会发现它们有几个主要区别。与传统的边界防火墙不同,内部防火墙必须主动提供可见性和针对内部威胁的防护,并且必须足够快速以跟上内部流量的需求。如今,网络攻击越过网络边界的可能性越来越大,而内部防火墙可以尽可能减少此类攻击造成的损害。
尽管所有企业都应该部署内部防火墙和类似的安全措施,但对于部署了多个网段以供不同部门使用的超大型企业,以及由于跨公有云和私有云运行分布式服务而具有较大受攻击面的网络,内部防火墙特别有用。
使用专门打造的内部防火墙保护您的数据中心
借助 Service-defined Firewall 实现原生安全性
内部防火墙的工作原理是什么?
- 使用微分段最大限度地减小受攻击面,微分段将网络划分为可单独保护的精细区域
- 使用智能自动化基于“已知良好”行为部署和更新安全策略
内部防火墙不会尝试分别识别和消除每个威胁,而是利用对内部流量的更深入了解来识别与管理员期望看到的行为不符的活动。它定义了网络和进程级别的策略,以缓解利用多种攻击途径的威胁。内部防火墙位于内部网络中的战略位置,利用零信任方法隔离威胁并限制潜在损害。换句话说,它假设威胁已经找到进入途径,并阻止它们在整个内部网络中自由移动。
它与外部防火墙有何不同?
内部防火墙监控和保护东西向(内部)网络流量,而不是边界处的南北向流量。外部防火墙监控网络的边界,并阻止来自外部的未经授权的访问。这两种类型的防火墙旨在解决的问题是不同的:外部防火墙只是防御外部入侵者,而内部网络则需要监控网络上的所有流量,以识别不法分子和潜在威胁。因此,内部和外部防火墙设计主要有以下几个方面的不同:
内部防火墙不能依赖基于端口的传统方法来识别威胁,它需要跟上大量内部流量的需求。因此,它必须比典型的边界防火墙更先进,才能智能地识别恶意活动。
另一方面,由于内部防火墙保护的是企业自己的应用和服务,因此它们可以利用对流量的更深入了解来自动实施安全策略并阻止可疑行为。通过了解什么是“已知良好”行为,智能内部防火墙可以识别和应对不符合经授权配置文件的活动。
企业是否需要内部防火墙?
内部防火墙是网络防火墙安全机制的重要部分,尤其是随着网络变得更加分散,并且阻止攻击者进入网络边界变得更加困难。它补充完善边界防火墙,并提供额外的安全层来封锁东西向流量,防止威胁在企业内横向移动。随着网络攻击的数量和复杂性不断增加,企业的网络边界被攻破几乎是不可避免的。发生这种情况时,内部防火墙会尽可能减轻攻击者造成的损害。
为何需要内部防火墙
边界防火墙提供了抵御外部攻击的第一道防线,但它们已不再足以保护您的企业免受复杂威胁的攻击。由于网络上的用户和设备比以往任何时候都多,再加上随着跨公有云和私有云运行的分布式服务的增加,受攻击面也越来越大,认为保护边界就足够了是一种很危险的行为。如果威胁确实找到了越过网络边界的途径,那么,除非部署了内部防火墙等保护措施,否则,威胁就可以自由地访问您的内部网络。
最近的一份报告显示,59% 的攻击都涉及“企图横向移动”,因此保护您的网络免受这些威胁的攻击是至关重要的。内部防火墙可防止攻击者在您的网络中肆虐,并限制他们可能造成的危害。
内部防火墙的最佳实践
尽管内部防火墙在用途和设计上均与边界防火墙不同,但内部防火墙的最佳实践与标准网络防火墙的最佳实践相似。以下是一些常见准则:
- 记录防火墙规则及其用途。人们很容易忘记最初实施特定规则的原因,尤其是在实施该规则的 IT 人员已从企业离职时。随着时间的推移,文档对于维护工作非常重要,因为您可以利用文档重新评估安全策略并删除任何不再适用的策略。
- 定期审核事件日志。这将有助于您确定正在使用和未在使用哪些安全规则,从而使您可以删除未使用的规则并调整其他规则,以加强安全保护并规避漏洞。
- 使用自动化功能使规则保持最新状态。如果放任不管,则一长串的防火墙规则可能会导致“规则膨胀”、增加开销以及出现安全漏洞。通过使用自动化功能来减轻 IT 员工的负担,避免这些问题并跟上快速变化的步伐。
- 练习实施零信任安全性。这意味着默认情况下不信任网络内部或外部的任何人,这是快速遏制攻击的关键。随着网络攻击数量的增加,认为攻击者不会进入网络是一种很危险的行为。零信任安全性这一方法是限制越过边界的威胁所造成的影响的关键。
相关解决方案和产品
NSX Distributed Firewall
使用分布在每个工作负载上的全栈防火墙保护您的数据中心。
NSX
网络和安全虚拟化平台
NSX Advanced Threat Prevention
适用于 NSX Distributed Firewall 的网络流量分析和入侵防御功能