• 主页
  • 文章
  • 指导
  • 什么是防火墙? 不同类型防火墙以及是否需要防火墙的入门指南

什么是防火墙? 不同类型防火墙以及是否需要防火墙的入门指南

已发表: 2020-06-26

每个网站都需要保护。 就像您的个人计算机一样,在线服务器也可能成为攻击的目标。 您需要一种方法来阻止黑客或其他非法流量来源。 这就是防火墙的用武之地。

简而言之,什么是防火墙? 它是计算机和“外部世界”之间的一道屏障。

如果您的网站不受保护,恶意行为者可能会对您的服务器造成严重破坏,这就是为什么您应该尽一切努力保护您的 WordPress 网站。 设置防火墙应该是您的首要任务之一。

但是有许多不同类型的防火墙,您可能不知道从哪里开始。

防火墙是您的计算机与外部世界之间的屏障。 那么,您如何选择合适的网站来保护您的网站免受黑客攻击呢? 继续阅读以获取建议️ 点击推

让我们回顾一下所有类型的防火墙,什么时候需要,以及如何在服务器上设置一个。

什么是防火墙? 防火墙有什么作用?

每当您访问一个网站时,您基本上是在连接到另一台计算机:网络服务器。 但是因为服务器只是一种特殊的计算机,它很容易受到与您自己的 PC 相同的攻击。

在没有任何保护措施的情况下直接连接到另一台设备是不安全的。 一旦建立了连接,就更容易用恶意软件感染对方或发起 DDoS 攻击。

这就是防火墙的用途。 它是您和任何其他试图连接到您的设备之间的中介,或者在网络服务器的情况下,它是它与它每天与他人建立的数百或数千个连接之间的中介。

电脑连接
连接到 Web 服务器

那么防火墙究竟是如何工作的呢?

防火墙只是监控设备上的传入和传出流量,扫描任何恶意活动的迹象。 如果它检测到可疑的东西,它会立即阻止它到达目的地。

这是您的计算机或服务器的大型过滤系统。

最初开发防火墙时,防火墙是非常简单的数据包分析器,可以根据一组最少的预定义规则来允许或阻止传入流量。 他们很容易绕过。

如今,它们已经演变成复杂的编程片段,这些片段在阻止未遂入侵方面要好得多,并且是所有设备必不可少的软件。

当您需要防火墙时

您可能想知道:什么时候需要防火墙? 我真的需要一个吗?

任何连接到互联网的机器都需要防火墙。 不仅是您的计算机,您的网络服务器、电话、物联网设备或任何您能想到的都可以使用互联网。

未受保护的设备很容易被入侵和感染。

这可能使黑客能够接管您的计算机,安装他们想要的任何东西,在您输入银行凭证等敏感信息时进行监控,甚至可以通过您的网络摄像头/摄像头查看,并通过您的麦克风收听。

对于网络服务器,如果黑客设法通过,他们可能会破坏您的网站,嵌入感染访问者的恶意软件,更改您的 WordPress 管理员登录凭据,或完全关闭您的网站。

未找到网站
404 页面

如果没有防火墙,您的网站甚至您的个人设备都容易受到 DDoS 攻击,这种攻击媒介会发送数千或数百万个虚假数据包以使您的服务器超载并导致您的网站或互联网瘫痪。

不服气? 以下是防火墙可以保护您或您的网站的内容:

  • 入侵:防火墙可防止未经授权的用户远程访问您的计算机或服务器并为所欲为。
  • 恶意软件:设法渗透的攻击者可以发送恶意软件来感染您或您的服务器。 恶意软件可能会窃取个人信息、将自身传播给其他用户或以其他方式损坏您的计算机。
  • 蛮力攻击:黑客试图尝试数百种用户名和密码组合来发现您的管理员(或其他用户)的登录凭据。
  • DDoS 攻击:防火墙(尤其是 Web 应用程序防火墙)可以尝试检测在 DDoS 攻击期间发生的虚假流量涌入。

防火墙类型

有许多不同类型的防火墙,每种都针对不同的情况而设计。 有些更适合单台计算机,而另一些则适用于网络范围的过滤。

它们都以不同的方式工作,并且更擅长阻止某些类型的流量。 如果您想知道应该寻找哪个,我们将分解所有主要类型的防火墙。

这里有一个简短的总结:除非您运行自己的服务器堆栈(提供具有自己互联网的网站),否则您主要需要担心的防火墙类型是个人防火墙、软件防火墙和 Web 应用程序防火墙。

这三个是最重要的。 但是,如果您想更好地了解防火墙的工作原理以及它们多年来的发展方式,请阅读有关其余部分的更多信息。

个人防火墙

防火墙的工作方式非常不同,具体取决于它们是由单台计算机、整个网络(例如在商务办公室内)还是 Web 服务器使用。 个人防火墙旨在仅在一台计算机上使用。 这是预装在 Windows 和 Mac 机器上或与您的防病毒软件一起安装的防火墙。

虽然它的工作方式类似于服务器防火墙——根据一组预定义的规则允许或拒绝来自其他设备、应用程序和 IP 的连接——但在功能上它的行为略有不同。

个人防火墙可以保护您用来连接网站和在线应用程序的端口(将它们隐藏起来,使攻击者无法看到它们是打开的),防御通过网络的攻击,防止人们访问和接管您的计算机,并分析所有传入和传出流量。

它们还充当应用程序防火墙,监控您设备上应用程序的活动,并拒绝允许与不安全或未知软件建立连接。

如今,获得个人防火墙相当容易。 如果您使用任何现代版本的 Windows,则默认情况下应该已经运行了一个。

个人防火墙
Windows Defender 防火墙

Mac 电脑也配备了一台,不过您需要自己打开它。 为此,请导航至系统偏好设置,单击安全和隐私,然后单击防火墙:

macOS 中的防火墙应用程序
macOS 中的防火墙应用程序

防病毒软件通常也自带。 一个例子是 Avast 防病毒软件:它的软件防火墙与 Windows 兼容,并作为第二层防御。

付费的第三方个人防火墙也存在,但这些可能与您的默认设置冲突。

硬件与软件防火墙

防火墙有两种不同的形式:硬件防火墙和软件防火墙。 软件防火墙是您计算机的可下载程序,可从中央控制面板对其进行监控。 硬件防火墙提供类似的功能,但它们实际安装在建筑物中。

你可能不知道,但你家里可能有一种硬件防火墙:你的路由器,允许你连接到互联网的设备。 虽然它与专用硬件防火墙设备并不完全相同,但它提供了类似的监视和允许或拒绝连接的功能。

软件和硬件防火墙都位于您的计算机和外部世界之间,仔细分析任何试图通过的连接。 您可以让它们中的一个或两个在您的网络上运行。

然而,硬件防火墙有一些缺点。 它们很难设置并且需要持续维护,因此它们通常不适合单台计算机或没有 IT 部门的小型企业。 它们可能会导致性能问题,尤其是在与软件防火墙堆叠时。 而且它们不适合阻止设备上的应用程序或基于用户的限制。

另一方面,硬件防火墙将轻松保护您的整个计算机网络,而为此设置软件是一项更困难的任务。 虽然如果攻击者设法进入,他们可以禁用软件,但他们无法篡改物理设备。

顾名思义,软件防火墙更擅长处理计算机上的程序。 阻止应用程序、管理用户、生成日志和监控网络上的用户是他们的专长。 它们在网络范围内配置起来并不容易,但是当安装在多个设备上时,它们可以进行更精细的控制。

包过滤防火墙

最简单的防火墙类型,也是最早开发的防火墙类型,是包过滤防火墙。 数据包是您的计算机和服务器之间交换的数据。 当您单击链接、上传文件或发送电子邮件时,您会向服务器发送一个数据包。 当您加载网页时,它会向您发送数据包。

包过滤防火墙分析这些包并根据一组预定义的规则阻止它们。 例如,您可以阻止来自某个服务器或 IP 地址的数据包,或者那些试图到达您服务器上某个目的地的数据包。

缺点:这些类型的防火墙简单易上手。 没有办法应用高级规则。 如果您允许流量流过某个端口,包过滤防火墙将允许任何东西通过,即使是现代防火墙的流量显然是不合法的。

这些唯一的好处是它们非常简单,几乎对性能没有影响。 它们不检查流量、保存日志或执行任何高级功能。 如今,应该避免使用包过滤防火墙,或者至少与更先进的东西一起使用,因为有更好的解决方案。

状态防火墙

在“无状态”之后,简单的数据包过滤器出现了有状态防火墙技术。 这是革命性的,因为状态防火墙不仅仅分析通过的数据包并根据简单的参数进行拒绝,而是处理动态信息并在数据包通过网络时继续监控它们。

需要为您的网站提供快速、可靠且完全安全的托管服务? Kinsta 提供所有这些以及来自 WordPress 专家的 24/7 世界级支持。 查看我们的计划

一个简单的包过滤防火墙只能基于 IP 地址或端口等静态信息进行阻止。 状态防火墙更擅长检测和阻止非法流量,因为它们可以识别模式和其他高级概念。

与无状态防火墙相比,缺点是由于将数据包数据存储在内存中并对其进行更严格的分析,以及记录被阻止的内容和通过的内容,因此它们更加密集。 但它们是一个更好的解决方案。

网络应用防火墙

网络应用防火墙
WAF 的工作原理

虽然今天仍在使用有状态技术,但仅靠它已不足以有效地保持网络安全。 应用程序和 Web 应用程序防火墙是下一个重要步骤。

传统防火墙仅监控网络上的一般流量。 他们很难或完全无法检测到来自应用程序、服务或其他软件的流量。 应用程序防火墙旨在与这些程序一起工作,捕捉利用软件漏洞绕过旧防火墙的入侵企图。

它们还可以作为企业的家长控制系统,完全阻止对某些应用程序和网站的访问。

Web 应用程序防火墙的工作方式类似,但它们监控的是 Web 应用程序而不是计算机上的程序。 Web 应用程序的示例是第三方表单或购物车插件,它们有时会被劫持以向您的服务器发送恶意软件。 如果没有 WAF,您很容易受到这些攻击。

许多 WAF 都是基于云的,这意味着您无需对服务器进行任何根本性更改即可进行设置。 但它们也可以存在于硬件或服务器软件上。

如果您需要防火墙服务来保护您的网站,请寻找基于云的 WAF,例如 Cloudflare 或 Sucuri。 这些可以安装,而无需摆弄敏感的网络主机设置或设置昂贵的硬件。

下一代防火墙

最后是下一代防火墙 (NGFW),它是这一代安全技术的最新发明之一。 这些企业级工具就像上述所有工具合二为一。 深度数据包过滤、入侵防御和应用程序监控只是其庞大的网络功能中的一小部分。

下一代云防火墙确实以在线服务的形式存在,但 WAF 更为常见并提供类似的功能。 但是,如果您想要绝对最先进的防火墙技术,并在一个程序中提供全套安全保护,请寻找 NGFW。

如何获得防火墙

为了保护您自己和您的网站,您需要一个高质量的防火墙来阻止入侵者。

就个人防火墙而言,通常没有必要特意去买一个。 Windows 的内置防火墙运行良好,无需任何配置。 在您的防病毒软件通常附带的应用程序防火墙和路由器上的数据包过滤器之间,您的计算机通常受到的保护不止于此。

只需确保您的防火墙已激活,您安装了良好的防病毒软件,并且您的路由器配置正确。 macOS 用户也可以这样说。

但是,如果您有一个需要保护的网站怎么办?

那时就大不一样了。 没有那么多内置工具可以保护您,而且通常由您来保护您的网站。 例如,如果您正在运行 WordPress,则没有防火墙或任何东西可以保护您的服务器,而安全插件是最常见的选项之一。

WordPress 开发人员尽最大努力保持代码优化,但是当漏洞出现时,您无法防止入侵。

每个站点都可以从 WAF 中受益。 Sucuri、Wordfence、Cloudflare 等在线服务可以在几分钟内在您的服务器上完成设置。

Kinsta 安全托管
Kinsta 提供主动和被动措施以提高安全性

除了自己安装防火墙之外,您还应该选择一个能够妥善管理其服务器的网络主机。 太多廉价主机不关心安全问题,如果您的网站受到攻击,可能会导致巨大的问题。

Kinsta 的 Cloudflare 集成

如果您的网站托管在 Kinsta 上,您不必担心手动设置 WAF。 我们基础设施上的所有站点都受到我们免费的 Cloudflare 集成的自动保护,其中包括具有自定义规则集和免费 DDoS 保护的安全防火墙。 除了我们的 Cloudflare 集成之外,我们还实施了其他安全措施,例如暴力检测、仅限 SFTP 的文件访问、Google Cloud Platform VM、全面的安全保证等等。

概括

在现代个人计算机上,您通常不需要做太多事情,因为大多数操作系统都预装了防火墙。 至于您的网站,太多主机根本不关心保护他们的服务器,因此保护自己成为您的工作。

如果您正在寻找具有可靠安全基础设施的网络主机,可以支持任何规模的网站,请考虑 Kinsta。 借助我们免费的 Cloudflare 集成和安全保证,您知道自己不会成为黑客攻击的受害者。 在他们突破的难得机会中,我们将采取措施免费清除恶意软件。

即使您确实选择了一个在安全方面投入大量资金的可靠主机,安装 Web 应用程序防火墙作为第二道防线也是一个好主意。 找到像 Sucuri 这样的好服务,或者下载一个 WordPress 安全插件,你会很高兴的。