• 主頁
  • 文章
  • 主題
  • 什麼是防火牆? 了解它們是什麼以及哪種類型適合您

什麼是防火牆? 了解它們是什麼以及哪種類型適合您

已發表: 2021-12-09

您已經知道您的計算機需要保護,並且您可能正在盡您所能保護它的安全(我們希望如此)。 但除了您的計算機之外,在線服務器也需要保護。 否則,它們特別容易受到攻擊。 無論您是保護計算機、網絡還是服務器,如何阻止黑客和惡意流量? 帶防火牆。

用最簡單的術語來說,防火牆就像一個虛擬保鏢。 它在計算機和……嗯,其他一切之間提供保護。 讓我們從一個小小的互聯網 101 開始。每當您使用計算機訪問網站時,您都在連接到另一種類型的計算機:網絡服務器。 由於服務器本質上是計算機,因此它們容易受到與您的個人計算機相同類型的攻擊。

你不會連接到另一個設備——比如陌生人的電腦或 iPhone——之間沒有某種保護,對吧? 如果你這樣做了,你會擔心他們會竊取你的信息或以某種方式攻擊你的設備。 連接到 Web 服務器也是如此。 從網絡服務器的角度來看,它需要保護自己與每天與計算機建立的數千個連接。

什麼是防火牆?

回顧一下,它是一種用於網絡安全的設備。 它監控網絡流量(傳入和傳出),以根據其安全規則允許或阻止數據包。

它的目的是在您的內部網絡和從外部來源流入的流量之間建立一道屏障——就像互聯網的其他部分一樣。 這可以阻止黑客、病毒和其他惡意流量。

有預先設定的規則來分析和過濾流量,重新路由來自可疑或不安全來源的數據,以防止對您的網絡的攻擊。

防火牆保護您的網站免受以下攻擊:

  • 蠻力攻擊:黑客嘗試數百個用戶名和密碼組合來發現您的登錄憑據。
  • DDoS 攻擊:一種發送數千(甚至數百萬)個虛假數據包以導致服務器過載並導致您的站點關閉的攻擊。
  • 入侵:試圖訪問您的計算機或服務器的未經授權的用戶。
  • 惡意軟件:想要用惡意軟件感染您的設備或服務器的攻擊者,這些惡意軟件可以竊取您的個人信息,損害您的計算機,甚至傳播到其他設備。

端口和 IP 地址

防火牆將充當您計算機入口點(稱為端口)的數據保護措施。 這是數據在外部和內部設備之間流動的地方——它是您網絡的一個脆弱點。

Internet 協議 (IP) 地址是賦予設備或網絡的唯一地址。 出於我們的目的,IP 地址是端口所在的位置——您的網絡端口在 IP 地址中。 首先,只有某些源地址才能通過 IP 地址。 之後,防火牆提供了更多的過濾器,以便只有某些流量源可以訪問這些端口。 您是您網絡的所有者,可以訪問任何端口; 訪問者只能訪問其中的一部分——如果防火牆阻止,則不能訪問。

防火牆類型

有幾種類型的防火牆,您使用的一種將取決於您的特定需求(單個設備與網絡或服務器保護)。

軟件與硬件

所有防火牆都屬於兩個主要類別之一:軟件或硬件防火牆。 最好同時擁有兩者以獲得最大程度的保護,但有些人可能擁有其中之一。 無論哪種方式,這兩種類型的防火牆都在您的計算機和互聯網的其餘部分之間提供了一道屏障。

  • 軟件:這種類型的防火牆是安裝在您的計算機上的程序。 它將通過應用程序和端口調節流量,以執行監控和管理用戶、生成日誌和阻止應用程序等操作。
  • 硬件:這種物理類型的防火牆是位於網關和您的網絡之間的實際設備。 您的路由器是一種硬件防火牆,儘管有更多專用設備用於更大規模的用途。

您應該了解的有關硬件防火牆的知識

對於某些人來說,設置硬件防火牆很棘手,特別是如果您只有一台計算機需要保護,或者您經營一家小型企業但沒有經驗豐富的 IT 部門。 硬件防火牆可能會導致性能問題,尤其是與軟件防火牆一起使用時。 它們也沒有提供許多個人計算機所有者需要的全面保護,例如應用程序阻止。

但是,對於需要保護整個計算機網絡的個人和企業來說,硬件防火牆更為必要。 很難找到具有這種保護級別的軟件。 此外,如果黑客找到突破的方法,他們可以輕鬆禁用軟件防火牆,但篡改物理設備要困難得多。

讓我們更多地了解不同類型的防火牆。

包過濾防火牆

數據包包括在您的計算機和服務器之間流動的數據。 當您發送電子郵件、上傳文件或單擊鏈接時,數據包會從您的計算機發送到服務器; 當您前往網站並加載網頁時,服務器會向您的計算機發送一個數據包。

包過濾防火牆檢查包(即指定IP地址和源IP地址),如果它們不符合預先設定的規則,則阻止它們通過。 因此,如果您嘗試訪問有惡意報告的網站,您的計算機將不會加載它以確保您的安全。

雖然這是一種非常常見的防火牆類型,但它並不是最有效的,尤其是與下一代防火牆(我們將在接下來討論)相比時。 保護是有限的,因為防火牆不掃描請求的內容,只掃描請求本身,這意味著它很可能會讓來自它信任的來源的惡意請求通過。

如果您當前正在使用數據包過濾防火牆,請至少使用另一種更高級的防火牆類型。 但是,如果您使用更現代的防火牆,您可能不需要這樣做,因為它應該包含這種類型的保護。

下一代防火牆

下一代防火牆或 NGFW 能夠更好地保護您的設備和網絡。 這些防火牆提供以下功能:

  • 殺毒軟件
  • 應用監控
  • 深度包檢測
  • 加密流量檢測
  • 入侵防禦

這意味著檢查請求的數據,而不僅僅是請求本身,以確保沒有惡意試圖通過。

代理防火牆

代理防火牆過濾應用程序級流量,充當終端系統之間的中介。 客戶端向防火牆發送請求,在與安全規則進行比較後,它要么被允許,要么被阻止。 代理防火牆以監控層協議(例如 FTP 和 HTTP)的流量而聞名。

網絡地址轉換防火牆

網絡地址轉換防火牆或 NAT 允許具有自己網絡地址的不同設備使用一個 IP 地址連接到 Internet,並且各個 IP 地址保持隱藏狀態。 這樣,當攻擊者掃描網絡以查找 IP 地址時,他們無法獲取有關所有在線設備的詳細信息。 這類似於代理防火牆的功能——NAT 是流量和一組計算機之間的中介。

狀態多層檢測防火牆

狀態多層檢測防火牆,或簡單的狀態防火牆或 SMLI,在多個層過濾數據包——應用程序、網絡和傳輸。 每個數據包都經過整體檢查,並且只有在符合安全準則的情況下才允許一次通過每一層。 此外,狀態防火牆可以識別模式,從而更容易阻止非法流量。

該技術與有時被稱為“無狀態”的包過濾防火牆形成對比。 狀態防火牆對您的設備造成的壓力更大,但那是因為它們存儲和分析了更多的數據包數據。

我需要防火牆嗎?

既然您已經對“什麼是防火牆”有了答案,您可能想知道是否需要一個。 你肯定會的。 每當您擁有連接到互聯網的設備(例如計算機)時,您都需要保護。 這不僅僅適用於計算機。 任何联網設備都需要保護,例如您的智能手機。

可以這樣想:如果您在連接到互聯網的設備上沒有防火牆,黑客可能會進入設備,接管它,安裝他們想要的任何惡意軟件並找出您的所有敏感信息,比如您的銀行賬戶餘額和登錄信息。 它變得更糟。 黑客還可以進入您的攝像頭和麥克風來觀看和/或收聽您的聲音。

如果黑客侵入網絡服務器,他們可以更改您的網站登錄憑據、破壞或刪除您的網站,甚至將惡意軟件添加到您的網站,從而感染訪問者的設備。 如果發生這種情況,您可以告別流量和銷售。

除非您正在保護自己的服務器,否則這些是要尋找的防火牆類型:

個人的

個人防火牆不是用於網絡或 Web 服務器,而是僅用於一台計算機。 您可能已經擁有它——它通常是 Mac 或 Windows 計算機以及防病毒軟件的標準配置。

個人防火牆執行以下操作:

  • 分析所有傳入和傳出流量,以及與設備應用程序的連接是否安全。
  • 保護您在連接網站和應用程序時使用的端口。 攻擊者無法看到這些端口在使用時是打開的。
  • 防止黑客訪問和控制您的計算機。
  • 防禦碰巧通過的攻擊。

Web應用程序

即使防火牆監控網絡流量,它也可能無法檢測到來自應用程序、服務或軟件的流量。 這就是應用防火牆的用途——捕捉針對軟件或舊防火牆的惡意嘗試。

Web 應用程序防火牆 (WAF) 以類似的方式工作,但它們專門用於監控 Web 應用程序,而不是計算機應用程序。 Web 應用程序的示例是第三方表單和購物車插件。 當 Web 應用程序被黑客入侵時,惡意軟件會被發送到服務器。

WAF 通常基於雲,因此更易於設置,因為您無需在服務器級別執行任何操作,但它們也可能是硬件防火牆的一部分。 此外,請記住,應用程序監控通常是下一代防火牆的一部分。

最後的想法

在您的計算機上內置防火牆,或通過防病毒軟件獲得相同的保護,非常棒。 但是,如果您有一個需要保護的 WordPress 網站呢? 這就是那些基於雲的 WAF 的用武之地。信譽良好的在線服務和/或安全插件將保護您的網站,並儘可能保證您和您的訪問者的安全。 此外,請確保選擇對其服務器具有高級安全性的網絡主機,包括可靠的防火牆。 好消息——我們在這里為您收集了六個最好的 WordPress 安全插件。