We use cookies to ensure that we give you the best experience on our website.

為什麼防火牆很重要? - 了解防火牆以及為什麼需要使用防火牆

防火牆自 20 世紀 80 年代就已存在,有些人甚至認為 37 年前的電影《戰爭遊戲》在計算環境中創造了該術語的用法,如果您想保證設備網絡的安全,防火牆是至關重要的工具。

本指南旨在進一步擴展防火牆的真正含義以及它們為何如此重要。

什麼是防火牆?

該短語最初指的是建造在聯排房屋中的牆壁,旨在阻止火災從一個房屋蔓延到另一個房屋。

人們普遍認為,有史以來第一個防火牆是 NASA 1988 年的成果,是在​​​​系統受到病毒攻擊後設計的。他們的防火牆使他們能夠劃分 NASA 計算機網絡並阻止病毒傳播。

當設備(客戶端)從另一個設備(服務器)請求資源、服務或信息時,防火牆是對客戶端-服務器模型中存在的漏洞的基於安全的直接響應。這種簡單的網絡架構已成為現代計算機網絡的基礎,每次您訪問互聯網時都會發生請求過程。

為什麼防火牆很重要

預防

防火牆是一個硬件或軟件,防止攻擊防止黑客通過互聯網訪問您的網絡,以竊取、刪除或損壞您的個人數據和信息。

保護

防火牆會幫助你保護設備和信息網絡上免受外部威脅,以及同一網絡上的設備之間內部傳輸的任何敏感數據。

防火牆的其他功能

防火牆執行的另一個重要功能是為給定網絡上的所有用戶設置規則,並統一阻止來自某些站點的傳入流量(無論出於何種原因)。在學校,這可能是阻止只有成年人才能合法查看的內容;在工作場所,比如銀行,這可能是為了防止黑客攻擊。

防火牆還編譯它們收到的流量記錄,然後網絡管理員可以查看它們並為網絡創建新規則,或使用這些信息對網絡進行審核。

當然,當可疑數據試圖進入網絡時,防火牆也會向用戶提供反饋,從而使他們更加了解應該避免點擊的內容。

防火牆執行的其他功能包括提供一種安全的方式讓個人用戶遠程訪問給定的網絡;被允許訪問網絡的用戶被授予身份驗證證書。

不同類型的防火牆

儘管防火牆有各種不同的子類別,但您最有可能遇到的類別是:

  • 包過濾防火牆
  • 電路級網關
  • 狀態檢查防火牆
  • 應用層網關(代理)
  • 雲防火牆
  • 下一代防火牆

包過濾防火牆

這是最基本的防火牆類型。數據包過濾防火牆在 OSI(開放系統互連)概念模型的第三層(網絡層)運行,用於映射網絡系統的功能。

數據包過濾防火牆本質上是在流量通過路由器之前選擇一個點,並檢查數據包中的表面信息(例如端口號和網絡地址)並拒絕任何可疑的內容。

它不需要大量的處理能力來啟動和運行,但不幸的是,這是一個非常基本的檢查,黑客可以很容易地完成 - 整個數據包永遠不會被檢查,所以你永遠無法真正知道使用這種類型的防火牆隱藏了什麼。

電路級網關

電路級網關在 OSI 模型的會話層或傳輸層運行。這種類型的防火牆監視 TCP 握手——本質上是客戶端和服務器在 TCP/IP 網絡中協商數據傳輸的過程。

電路級網關根據允許的連接列表檢查傳輸層的連接,然後決定是否可以開始數據交換會話。與其他一些防火牆相比,電路級網關的資源密集程度較低,但是,一旦會話被批准,就不再執行進一步的檢查,包括對單個數據包的檢查。

應用級網關

這些也稱為代理防火牆,並且在(您猜對了)OSI 模型的應用程序層運行。它們本質上與您的網絡從中接收數據的服務器建立代理連接,並在將流量發送給您之前檢查流量。

與網絡的額外分離使得這種防火牆非常有用,應用程序級網關/代理防火牆可以執行的事實也是如此深度包檢測(DPI) 是數據包過濾網關所無法做到的。

如果使用雲服務器來創建此代理連接,則應用程序級網關可以稱為雲防火牆。

狀態檢查防火牆

這種類型的動態包過濾防火牆獲取您從服務器請求的信息,並可以動態打開和關閉端口以接收/阻止它。

狀態檢查防火牆在應用程序層處理數據,這允許對數據包和正在發生的事務進行更詳細的檢查。

它也更安全,因為防火牆不僅跟踪和檢查脫離上下文的單個數據包數據,還跟踪和檢查連接本身以及網絡上的各種其他連接(這是狀態檢查和數據包過濾之間的主要區別)。

下一代防火牆

下一代防火牆很難定義——並不總是清楚什麼定義了“下一代”防火牆。大多數被認為是“下一代”的防火牆通常可以執行 DPI、驗證 TCP 握手,並且可以使用從系統外部收集的情報和信息來提高安全性。

“下一代”防火牆實施入侵檢測和預防系統,用於調查網絡上的可疑​​活動。他們應對暴力攻擊,DDoS 攻擊,並監控可利用的漏洞。如果惡意軟件進入網絡,他們可以將其根除並將其原始來源的流量列入黑名單。

硬件/軟件防火牆

如今,可以將不同“類型”的防火牆部署為硬件或軟件,這些防火牆可以在操作系統的不同級別檢查數據。

  • 硬件防火牆 -物理、獨立的設備,可在流量到達您要保護的網絡邊界之前攔截和訪問流量。
  • 軟件防火牆– 在單個設備或設備組上實例化的防火牆,因為它們可以劃分網絡端點並保護它們免受系統其他部分的影響。

硬件防火牆有時也稱為設備防火牆,而軟件防火牆有時也稱為客戶端防火牆

我的電腦已經有防火牆了嗎?

很有可能!如果您擁有 Mac 或 Windows PC,那就太好了 – 它們帶有內置的數據包過濾防火牆,可以根除不良流量。該功能會自動打開,但允許您手動配置這些設置。

許多路由器還配備了某種基本的防火牆,利用網絡地址轉換。僅當網絡上的設備請求數據時,它才允許數據通過,並且網絡上設備的內部 IP 地址保持隱藏。

然而,正如我們上面所討論的,這些是一種基本的防火牆,並且還有很多其他原因導致您可能需要另一種防火牆 - 確保網絡上的所有設備都有單獨的防火牆並不一定確保整個設備受到整體保護。

Related articles