什么是软件防火墙？

大家好，欢迎来到IT知识分享网。

什么是软件防火墙？

软件防火墙是软件形式的防火墙，而不是物理设备，可以部署在服务器或虚拟机上以保护云环境。

*注意：术语“软件防火墙”不应与术语“防火墙软件”混淆，后者描述了运行下一代防火墙 (NGFW) 的操作系统。

软件防火墙旨在保护难以或不可能部署物理防火墙的环境中的数据、工作负载和应用程序，包括：

• 软件定义网络（SDN）
• 管理程序
• 公共云环境
• 虚拟化数据中心
• 分支机构
• 容器环境
• 混合和多云环境

软件防火墙的工作原理

软件防火墙采用与硬件防火墙相同的防火墙技术（也称为下一代防火墙或 NGFW）。软件防火墙提供多种部署选项，以满足混合/多云环境和现代云应用程序的需求。它们可以部署到任何虚拟化网络或云环境中。

图 1：混合/多云安全中的软件防火墙

软件防火墙与硬件防火墙

硬件和软件防火墙之间最重要的区别是外形尺寸，但还有其他几个值得注意的区别，如图 2 所示。

软件和硬件防火墙在网络安全中都起着至关重要的作用。因此，软件防火墙并不比硬件防火墙好，反之亦然。相反，每种方法都适合不同的情况。

图2：软件防火墙与硬件防火墙的区别

软件防火墙的类型

软件防火墙通常分为以下三类之一：

1. 虚拟防火墙
2. 容器防火墙
3. 托管服务防火墙

每种类型都针对不同的环境和目的提供特定的功能。然而，每个软件防火墙都会监视和保护东西向、传入和传出的网络流量。软件防火墙可阻止可疑活动并防止泄露。

虚拟防火墙（也称为云防火墙或虚拟化 NGFW）

虚拟防火墙可以保护一系列环境，包括：

• 混合云
• 个人私有云和公共云
• 虚拟化分支机构
• 5G部署
• 3 虚拟防火墙用例

虚拟防火墙可以检查和控制公共云环境中的南北边界流量，并分段数据中心和分支机构内的东西流量。虚拟防火墙通过微分段提供高级威胁防御措施。

在公共云中，虚拟防火墙为本地安全保障云服务提供商 (CSP) 提供的服务添加了保护。它们还保护与云应用程序的关键网络连接。在这些情况下，基于云的防火墙通常充当来宾虚拟机。有些可以提供跨多个 CSP 部署的可见性。

高端虚拟防火墙可以提供以下优势：

• 支持组织履行公共云用户安全义务
• 确保符合监管标准
• 增强每个 CSP 独有的内置安全功能

容器防火墙

容器防火墙的行为与虚拟防火墙类似，但专为 Kubernetes 环境而构建。容器防火墙通过将安全深度集成到 Kubernetes 编排中，帮助网络安全团队保护开发人员的安全。这很重要，因为使用传统防火墙很难保护 Kubernetes 环境中嵌入的容器工作负载。

托管服务防火墙

软件防火墙也可以作为托管服务提供，类似于许多其他软件即服务 (SaaS) 产品。一些托管服务防火墙产品提供了一种灵活的方式来部署应用程序级（第 7 层）安全性，而无需管理监督。作为托管服务，其中一些防火墙还可以快速扩展和缩减。

网络安全挑战催生了对软件防火墙的需求

在虚拟化、分散式环境中，出现了许多网络安全挑战，而这些挑战无法通过应用于传统数据中心的解决方案来解决。

消失的安全边界

一段时间以来，分隔网络内部和外部的传统安全边界的概念一直受到挑战。随着混合/多云策略的激增，当今的现代架构使得定义边界变得更加困难。此外，大部分架构由服务提供商运行的云组成。这导致信息在网络和互联网上不断流动。

日益危险的威胁形势

40% 的企业已经遭受过至少一次基于云的数据泄露，考虑到云时代持续时间很短，这一比例相当惊人。这些成功攻击的受害者不仅仅是云新手，还有在网络安全方面拥有大量投资和专业知识的老牌企业。

云和网络团队之间安全观点的冲突

从应用程序开发开始，转向云优先策略对安全性具有深远的影响。安全性并不总是云开发人员最关心的问题。他们的任务是尽快开发和发布。事实上云开发人员表示，应用程序安全是重中之重，而三分之二的开发人员通常会在其代码中留下已知的漏洞。另外，开发团队经常会认为云服务提供商提供的本机安全性“足够好”。

网络安全通常出现在开发生命周期的后期，从而限制了可用选项的范围。此外，当网络安全团队推荐 NGFW 等安全解决方案时，他们有责任证明他们的建议不会减慢业务速度或延迟实现价值的时间。

云原生在混合/多云架构中引入网络安全问题

开发方法中一项特别具有颠覆性的变化是使用特定于供应商的编排服务，例如 AWS Elastic Beanstalk、Azure App Service 和 Google App Engine。使用这些工具，开发人员只需上传应用程序代码，编排服务就会自动处理部署。虽然这种级别的自动化极大地简化了开发人员的工作，但它也加剧了混合/多云架构中的网络安全问题。

更大的攻击面

数据中心正在演变成私有云，其中本地应用程序托管在虚拟机上，而不是直接托管在物理服务器上。其他应用程序在虚拟化环境中的公共云上运行，通常使用容器和 Kubernetes 编排。在此模型中，互连在架构中占主导地位，使得攻击面更大且更难以定义。

图3：传统数据中心架构中的防火墙安全

混合/多云环境往往会带来合规性挑战

共同责任模型

• 共享责任模型只是混合/多云架构的一个方面，它可能导致难以实现合规性。
• 服务提供商实施一些必要的控制，因此必须提供可纳入审计的证据。幸运的是，客户通常可以从 CSP“继承”控制权。如果文档到位，这可以简化合规性。
• 从审计的角度来看，CSP 不监督的项目（例如应用程序）是用户的责任。

地理差异

• 另一个合规性挑战是混合/多云架构通常跨越多个地理位置和司法管辖区的方式。这可能会引起数据局部性和数据保护法规等问题。

软件防火墙的好处

确保混合/多云架构的安全提出了传统安全解决方案无法克服的挑战。物理防火墙是许多网络应用程序的重要安全工具。然而，当涉及到现代混合/多云基础设施和云原生开发方法时，它并不总是唯一的选择。

全面防护

入境保护

众所周知，混合/多云环境的边界尚未明确定义。软件防火墙可以更轻松地定义边界和所需的执行点。

例如：用户可以对数据库进行微分段并建立仅允许特定应用程序的后端与其通信的策略。这可以防止来自外部世界的入站威胁。旨在渗透应用程序、窃取敏感数据或加密数据的威胁将被阻止。

出站保护

当今的现代应用程序通常会访问第三方代码或开源代码。这需要联系 GitHub 等存储库来获取第三方软件更新。更新可能会被错误定向到命令和控制服务器。

软件防火墙提供出站保护。这可确保仅访问必要的存储库。出站保护还确保仅访问经过批准的 URL，防止对恶意或感染恶意软件的 URL 进行未经授权的访问。

侧面保护

在云中，应用程序不会在孤岛中运行。相反，它们通过 API 和网络通信进行通信。应用程序还可以与云内部和外部的用户进行通信。这通常是为了确保用户可以访问和使用这些应用程序。

如果保护表面被渗透，软件防火墙会阻止云内的横向移动。这包括云到云或 VCP。因此，威胁在云中移动或获取其他资源的能力极其有限。

设置和维护相对容易

软件防火墙不需要前往物理位置、重新布置电缆或与 CLI 交互。事实上，部署、扩展和策略更改通常是自动化的。员工无需投入时间进行日常手动操作。

软件防火墙常见问题解答

软件防火墙有什么作用？

软件防火墙旨在保护难以或不可能部署物理防火墙的环境中的数据、工作负载和应用程序。

软件防火墙如何工作？

软件防火墙采用与硬件防火墙相同的防火墙技术（也称为下一代防火墙或 NGFW）。软件防火墙提供多种部署选项，以满足混合/多云环境和现代云应用程序的需求。

软件防火墙和硬件防火墙有什么区别？

硬件和软件防火墙之间最重要的区别是外形尺寸。软件防火墙安装在服务器或虚拟机上。硬件防火墙是安装在网络元件和连接设备之间的物理设备。