We use cookies to ensure that we give you the best experience on our website.

为什么防火墙很重要? - 了解防火墙以及为什么需要使用防火墙

防火墙自 20 世纪 80 年代就已存在,有些人甚至认为 37 年前的电影《战争游戏》在计算环境中创造了该术语的用法,如果您想保证设备网络的安全,防火墙是至关重要的工具。

本指南旨在进一步扩展防火墙的真正含义以及它们为何如此重要。

什么是防火墙?

该短语最初指的是建造在联排房屋中的墙壁,旨在阻止火灾从一个房屋蔓延到另一个房屋。

人们普遍认为,有史以来第一个防火墙是 NASA 1988 年的成果,是在​​系统受到病毒攻击后设计的。他们的防火墙使他们能够划分 NASA 计算机网络并阻止病毒传播。

当设备(客户端)从另一个设备(服务器)请求资源、服务或信息时,防火墙是对客户端-服务器模型中存在的漏洞的基于安全的直接响应。这种简单的网络架构已成为现代计算机网络的基础,每次您访问互联网时都会发生请求过程。

为什么防火墙很重要

预防

防火墙是一个硬件或软件,防止攻击防止黑客通过互联网访问您的网络,以窃取、删除或损坏您的个人数据和信息。

保护

防火墙会帮助你保护设备和信息网络上免受外部威胁,以及同一网络上的设备之间内部传输的任何敏感数据。

防火墙的其他功能

防火墙执行的另一个重要功能是为给定网络上的所有用户设置规则,并统一阻止来自某些站点的传入流量(无论出于何种原因)。在学校,这可能是阻止只有成年人才能合法查看的内容;在工作场所,比如银行,这可能是为了防止黑客攻击。

防火墙还编译它们收到的流量记录,然后网络管理员可以查看它们并为网络创建新规则,或使用这些信息对网络进行审核。

当然,当可疑数据试图进入网络时,防火墙也会向用户提供反馈,从而使他们更加了解应该避免点击的内容。

防火墙执行的其他功能包括提供一种安全的方式让个人用户远程访问给定的网络;被允许访问网络的用户被授予身份验证证书。

不同类型的防火墙

尽管防火墙有各种不同的子类别,但您最有可能遇到的类别是:

  • 包过滤防火墙
  • 电路级网关
  • 状态检查防火墙
  • 应用层网关(代理)
  • 云防火墙
  • 下一代防火墙

包过滤防火墙

这是最基本的防火墙类型。数据包过滤防火墙在 OSI(开放系统互连)概念模型的第三层(网络层)运行,用于映射网络系统的功能。

数据包过滤防火墙本质上是在流量通过路由器之前选择一个点,并检查数据包中的表面信息(例如端口号和网络地址)并拒绝任何可疑的内容。

它不需要大量的处理能力来启动和运行,但不幸的是,这是一个非常基本的检查,黑客可以很容易地完成 - 整个数据包永远不会被检查,所以你永远无法真正知道这种类型的防火墙隐藏着什么。

电路级网关

电路级网关在 OSI 模型的会话层或传输层运行。这种类型的防火墙监视 TCP 握手——本质上是客户端和服务器在 TCP/IP 网络中协商数据传输的过程。

电路级网关根据允许的连接列表检查传输层的连接,然后决定是否可以开始数据交换会话。与其他一些防火墙相比,电路级网关的资源密集程度较低,但是,一旦会话被批准,就不再执行进一步的检查,包括对单个数据包的检查。

应用级网关

这些也称为代理防火墙,并且在(您猜对了)OSI 模型的应用程序层运行。它们本质上与您的网络从中接收数据的服务器建立代理连接,并在将流量发送给您之前检查流量。

与网络的额外分离使得这种防火墙非常有用,应用程序级网关/代理防火墙可以执行的事实也是如此深度包检测(DPI) 是数据包过滤网关所无法做到的。

如果使用云服务器来创建此代理连接,则应用程序级网关可以称为云防火墙。

状态检查防火墙

这种类型的动态包过滤防火墙获取您从服务器请求的信息,并可以动态打开和关闭端口以接收/阻止它。

状态检查防火墙在应用程序层处理数据,这允许对数据包和正在发生的事务进行更详细的检查。

它也更安全,因为防火墙不仅跟踪和检查脱离上下文的单个数据包数据,还跟踪和检查连接本身以及网络上的各种其他连接(这是状态检查和数据包过滤之间的主要区别)。

下一代防火墙

下一代防火墙很难定义——并不总是清楚什么定义了“下一代”防火墙。大多数被认为是“下一代”的防火墙通常可以执行 DPI、验证 TCP 握手,并且可以使用从系统外部收集的情报和信息来提高安全性。

“下一代”防火墙实施入侵检测和预防系统,用于调查网络上的可疑​​活动。他们应对暴力攻击,DDoS 攻击,并监控可利用的漏洞。如果恶意软件进入网络,他们可以将其根除并将其原始来源的流量列入黑名单。

硬件/软件防火墙

如今,可以将不同“类型”的防火墙部署为硬件或软件,这些防火墙可以在操作系统的不同级别检查数据。

  • 硬件防火墙 -物理、独立的设备,可在流量到达您要保护的网络边界之前拦截和访问流量。
  • 软件防火墙– 在单个设备或设备组上实例化的防火墙,因为它们可以划分网络端点并保护它们免受系统其他部分的影响。

硬件防火墙有时也称为设备防火墙,而软件防火墙有时也称为客户端防火墙

我的电脑已经有防火墙了吗?

很有可能!如果您拥有 Mac 或 Windows PC,那就太好了 – 它们带有内置的数据包过滤防火墙,可以根除不良流量。该功能会自动打开,但允许您手动配置这些设置。

许多路由器还配备了某种基本的防火墙,利用网络地址转换。仅当网络上的设备请求数据时,它才允许数据通过,并且网络上设备的内部 IP 地址保持隐藏。

然而,正如我们上面所讨论的,这些是一种基本的防火墙,并且还有很多其他原因导致您可能需要另一种防火墙 - 确保网络上的所有设备都有单独的防火墙并不一定确保整个设备受到整体保护。

Related articles