• 主頁
  • 文章
  • 指導
  • 什麼是防火牆? 不同類型防火牆以及是否需要防火牆的入門指南

什麼是防火牆? 不同類型防火牆以及是否需要防火牆的入門指南

已發表: 2020-06-26

每個網站都需要保護。 就像您的個人計算機一樣,在線服務器也可能成為攻擊的目標。 您需要一種方法來阻止黑客或其他非法流量來源。 這就是防火牆的用武之地。

簡而言之,什麼是防火牆? 它是計算機和“外部世界”之間的一道屏障。

如果您的網站不受保護,惡意行為者可能會對您的服務器造成嚴重破壞,這就是為什麼您應該盡一切努力保護您的 WordPress 網站。 設置防火牆應該是您的首要任務之一。

但是有許多不同類型的防火牆,您可能不知道從哪裡開始。

防火牆是您的計算機與外部世界之間的屏障。 那麼,您如何選擇合適的網站來保護您的網站免受黑客攻擊呢? 繼續閱讀以獲取建議️ 點擊推

讓我們回顧一下所有類型的防火牆,什麼時候需要,以及如何在服務器上設置一個。

什麼是防火牆? 防火牆有什麼作用?

每當您訪問一個網站時,您基本上是在連接到另一台計算機:網絡服務器。 但是因為服務器只是一種特殊的計算機,它很容易受到與您自己的 PC 相同的攻擊。

在沒有任何保護措施的情況下直接連接到另一台設備是不安全的。 一旦建立了連接,就更容易用惡意軟件感染對方或發起 DDoS 攻擊。

這就是防火牆的用途。 它是您和任何其他試圖連接到您的設備之間的中介,或者在網絡服務器的情況下,它是它與它每天與他人建立的數百或數千個連接之間的中介。

電腦連接
連接到 Web 服務器

那麼防火牆究竟是如何工作的呢?

防火牆只是監控設備上的傳入和傳出流量,掃描任何惡意活動的跡象。 如果它檢測到可疑的東西,它會立即阻止它到達目的地。

這是您的計算機或服務器的大型過濾系統。

最初開發防火牆時,防火牆是非常簡單的數據包分析器,可以根據一組最少的預定義規則來允許或阻止傳入流量。 他們很容易繞過。

如今,它們已經演變成複雜的編程片段,這些片段在阻止未遂入侵方面要好得多,並且是所有設備必不可少的軟件。

當您需要防火牆時

您可能想知道:什麼時候需要防火牆? 我真的需要一個嗎?

任何連接到互聯網的機器都需要防火牆。 不僅是您的計算機,您的網絡服務器、電話、物聯網設備或任何您能想到的都可以使用互聯網。

未受保護的設備很容易被入侵和感染。

這可能使黑客能夠接管您的計算機,安裝他們想要的任何東西,在您輸入銀行憑證等敏感信息時進行監控,甚至可以通過您的網絡攝像頭/攝像頭查看,並通過您的麥克風收聽。

對於網絡服務器,如果黑客設法通過,他們可能會破壞您的網站,嵌入感染訪問者的惡意軟件,更改您的 WordPress 管理員登錄憑據,或完全關閉您的網站。

未找到網站
404 頁面

如果沒有防火牆,您的網站甚至您的個人設備都容易受到 DDoS 攻擊,這種攻擊媒介會發送數千或數百萬個虛假數據包以使您的服務器超載並導致您的網站或互聯網癱瘓。

不服氣? 以下是防火牆可以保護您或您的網站的內容:

  • 入侵:防火牆可防止未經授權的用戶遠程訪問您的計算機或服務器並為所欲為。
  • 惡意軟件:設法滲透的攻擊者可以發送惡意軟件來感染您或您的服務器。 惡意軟件可能會竊取個人信息、將自身傳播給其他用戶或以其他方式損壞您的計算機。
  • 蠻力攻擊:黑客試圖嘗試數百種用戶名和密碼組合來發現您的管理員(或其他用戶)的登錄憑據。
  • DDoS 攻擊:防火牆(尤其是 Web 應用程序防火牆)可以嘗試檢測在 DDoS 攻擊期間發生的虛假流量湧入。

防火牆類型

有許多不同類型的防火牆,每種都針對不同的情況而設計。 有些更適合單台計算機,而另一些則適用於網絡範圍的過濾。

它們都以不同的方式工作,並且更擅長阻止某些類型的流量。 如果您想知道應該尋找哪個,我們將分解所有主要類型的防火牆。

這裡有一個快速的總結:除非你運行自己的服務器堆棧(提供一個擁有自己互聯網的網站),否則你主要需要擔心的防火牆類型是個人防火牆、軟件防火牆和 Web 應用程序防火牆。

這三個是最重要的。 但是,如果您想更好地了解防火牆的工作原理以及它們多年來的發展方式,請閱讀有關其餘部分的更多信息。

個人防火牆

防火牆的工作方式非常不同,具體取決於它們是由單台計算機、整個網絡(例如在商務辦公室內)還是 Web 服務器使用。 個人防火牆旨在僅在一台計算機上使用。 這是預裝在 Windows 和 Mac 機器上或與您的防病毒軟件一起安裝的防火牆。

雖然它的工作方式類似於服務器防火牆——根據一組預定義的規則允許或拒絕來自其他設備、應用程序和 IP 的連接——但在功能上它的行為略有不同。

個人防火牆可以保護您用來連接網站和在線應用程序的端口(將它們隱藏起來,使攻擊者無法看到它們是打開的),防禦通過網絡的攻擊,防止人們訪問和接管您的計算機,並分析所有傳入和傳出流量。

它們還充當應用程序防火牆,監控您設備上應用程序的活動,並拒絕允許與不安全或未知軟件建立連接。

如今,獲得個人防火牆相當容易。 如果您使用任何現代版本的 Windows,則默認情況下應該已經運行了一個。

個人防火牆
Windows Defender 防火牆

Mac 電腦也配備了一台,不過您需要自己打開它。 為此,請導航至系統偏好設置,單擊安全和隱私,然後單擊防火牆:

macOS 中的防火牆應用程序
macOS 中的防火牆應用程序

防病毒軟件通常也自帶。 一個例子是 Avast 防病毒軟件:它的軟件防火牆與 Windows 兼容,並作為第二層防禦。

付費的第三方個人防火牆也存在,但這些可能與您的默認設置衝突。

硬件與軟件防火牆

防火牆有兩種不同的形式:硬件防火牆和軟件防火牆。 軟件防火牆是您計算機的可下載程序,可從中央控制面闆對其進行監控。 硬件防火牆提供類似的功能,但它們實際安裝在建築物中。

你可能不知道,但你家裡可能有一種硬件防火牆:你的路由器,允許你連接到互聯網的設備。 雖然它與專用硬件防火牆設備並不完全相同,但它提供了類似的監視和允許或拒絕連接的功能。

軟件和硬件防火牆都位於您的計算機和外部世界之間,仔細分析任何試圖通過的連接。 您可以讓它們中的一個或兩個在您的網絡上運行。

然而,硬件防火牆有一些缺點。 它們很難設置並且需要持續維護,因此它們通常不適合單台計算機或沒有 IT 部門的小型企業。 它們可能會導致性能問題,尤其是在與軟件防火牆堆疊時。 而且它們不適合阻止設備上的應用程序或基於用戶的限制。

另一方面,硬件防火牆將輕鬆保護您的整個計算機網絡,而為此設置軟件是一項更困難的任務。 雖然如果攻擊者設法進入,他們可以禁用軟件,但他們無法篡改物理設備。

顧名思義,軟件防火牆更擅長處理計算機上的程序。 阻止應用程序、管理用戶、生成日誌和監控網絡上的用戶是他們的專長。 它們在網絡範圍內配置起來並不容易,但是當安裝在多個設備上時,它們可以進行更精細的控制。

包過濾防火牆

最簡單的防火牆類型,也是最早開發的防火牆類型,是包過濾防火牆。 數據包是您的計算機和服務器之間交換的數據。 當您單擊鏈接、上傳文件或發送電子郵件時,您會向服務器發送一個數據包。 當您加載網頁時,它會向您發送數據包。

包過濾防火牆分析這些包並根據一組預定義的規則阻止它們。 例如,您可以阻止來自某個服務器或 IP 地址的數據包,或者那些試圖到達您服務器上某個目的地的數據包。

缺點:這些類型的防火牆簡單易上手。 沒有辦法應用高級規則。 如果您允許流量流過某個端口,包過濾防火牆將允許任何東西通過,即使是現代防火牆的流量顯然是不合法的。

這些唯一的好處是它們非常簡單,幾乎對性能沒有影響。 它們不檢查流量、保存日誌或執行任何高級功能。 如今,應該避免使用包過濾防火牆,或者至少與更先進的東西一起使用,因為有更好的解決方案。

狀態防火牆

在“無狀態”之後,簡單的數據包過濾器出現了有狀態防火牆技術。 這是革命性的,因為狀態防火牆不僅僅分析通過的數據包並根據簡單的參數進行拒絕,而是處理動態信息並在數據包通過網絡時繼續監控它們。

需要為您的網站提供快速、可靠且完全安全的託管服務? Kinsta 提供所有這些以及來自 WordPress 專家的 24/7 世界級支持。 查看我們的計劃

一個簡單的包過濾防火牆只能基於 IP 地址或端口等靜態信息進行阻止。 狀態防火牆更擅長檢測和阻止非法流量,因為它們可以識別模式和其他高級概念。

與無狀態防火牆相比,缺點是由於將數據包數據存儲在內存中並對其進行更嚴格的分析,以及記錄被阻止的內容和通過的內容,因此它們更加密集。 但它們是一個更好的解決方案。

網絡應用防火牆

網絡應用防火牆
WAF 的工作原理

雖然今天仍在使用有狀態技術,但僅靠它已不足以有效地保持網絡安全。 應用程序和 Web 應用程序防火牆是下一個重要步驟。

傳統防火牆僅監控網絡上的一般流量。 他們很難或完全無法檢測到來自應用程序、服務或其他軟件的流量。 應用程序防火牆旨在與這些程序一起工作,捕捉利用軟件漏洞繞過舊防火牆的入侵企圖。

它們還可以作為企業的家長控制系統,完全阻止對某些應用程序和網站的訪問。

Web 應用程序防火牆的工作方式類似,但它們監控的是 Web 應用程序而不是計算機上的程序。 Web 應用程序的示例是第三方表單或購物車插件,它們有時會被劫持以向您的服務器發送惡意軟件。 如果沒有 WAF,您很容易受到這些攻擊。

許多 WAF 都是基於雲的,這意味著您無需對服務器進行任何根本性更改即可進行設置。 但它們也可以存在於硬件或服務器軟件上。

如果您需要防火牆服務來保護您的網站,請尋找基於雲的 WAF,例如 Cloudflare 或 Sucuri。 這些可以安裝,而無需擺弄敏感的網絡主機設置或設置昂貴的硬件。

下一代防火牆

最後是下一代防火牆 (NGFW),它是這一代安全技術的最新發明之一。 這些企業級工具就像上述所有工具合二為一。 深度數據包過濾、入侵防禦和應用程序監控只是其龐大的網絡功能中的一小部分。

下一代云防火牆確實以在線服務的形式存在,但 WAF 更為常見並提供類似的功能。 但是,如果您想要絕對最先進的防火牆技術,並在一個程序中提供全套安全保護,請尋找 NGFW。

如何獲得防火牆

為了保護您自己和您的網站,您需要一個高質量的防火牆來阻止入侵者。

就個人防火牆而言,通常沒有必要特意去買一個。 Windows 的內置防火牆運行良好,無需任何配置。 在您的防病毒軟件通常附帶的應用程序防火牆和路由器上的數據包過濾器之間,您的計算機通常受到的保護不止於此。

只需確保您的防火牆已激活,您安裝了良好的防病毒軟件,並且您的路由器配置正確。 macOS 用戶也可以這樣說。

但是,如果您有一個需要保護的網站怎麼辦?

那時就大不一樣了。 沒有那麼多內置工具可以保護您,而且通常由您來保護您的網站。 例如,如果您正在運行 WordPress,則沒有防火牆或任何東西可以保護您的服務器,而安全插件是最常見的選項之一。

WordPress 開發人員盡最大努力保持代碼優化,但是當漏洞出現時,您無法防止入侵。

每個站點都可以從 WAF 中受益。 Sucuri、Wordfence、Cloudflare 等在線服務可以在幾分鐘內在您的服務器上完成設置。

Kinsta 安全託管
Kinsta 提供主動和被動措施以提高安全性

除了自己安裝防火牆之外,您還應該選擇一個能夠妥善管理其服務器的網絡主機。 太多廉價主機不關心安全問題,如果您的網站受到攻擊,可能會導致巨大的問題。

Kinsta 的 Cloudflare 集成

如果您的網站託管在 Kinsta 上,您不必擔心手動設置 WAF。 我們基礎設施上的所有站點都受到我們免費的 Cloudflare 集成的自動保護,其中包括具有自定義規則集和免費 DDoS 保護的安全防火牆。 除了我們的 Cloudflare 集成之外,我們還實施了其他安全措施,例如暴力檢測、僅限 SFTP 的文件訪問、Google Cloud Platform VM、全面的安全保證等等。

概括

在現代個人計算機上,您通常不需要做太多事情,因為大多數操作系統都預裝了防火牆。 至於您的網站,太多主機根本不關心保護他們的服務器,因此保護自己成為您的工作。

如果您正在尋找具有可靠安全基礎設施的網絡主機,可以支持任何規模的網站,請考慮 Kinsta。 借助我們免費的 Cloudflare 集成和安全保證,您知道自己不會成為黑客攻擊的受害者。 在他們突破的難得機會中,我們將採取措施免費清除惡意軟件。

即使您確實選擇了一個在安全方面投入大量資金的可靠主機,安裝 Web 應用程序防火牆作為第二道防線也是一個好主意。 找到像 Sucuri 這樣的好服務,或者下載一個 WordPress 安全插件,你會很高興的。