什么是防火墙：定义、用途和优势

如果您的计算机网络是您的城堡，那么网络防火墙就是闸门——负责调节传入和传出网络流量的大门。 它部分是屏障，部分是筛选机制，将您的网络与第三方网络分开并阻止未经授权的访问。

为了深入回答这个问题——什么是防火墙？——本指南介绍了防火墙的优势、它如何加强网络防御以及可用于监控网络的不同类型的防火墙。

什么是防火墙？

在 19 世纪，防火墙是一种物理屏障，旨在防止火灾从一个结构蔓延到另一个结构。 后来，在汽车上，它是将发动机舱与乘客舱隔开的金属屏障。

该短语最终被计算行业采用，指代数字安全系统，该系统在受信任的网络和不受信任的网络（如互联网）之间设置了障碍。

从技术上讲，防火墙是网络安全框架的最外层。 它监控网络流量的流入和流出，并根据一组定义的安全规则确定是否允许或限制数据包。

作为抵御恶意流量的第一道防线，防火墙保护网络入口点（端口），数据可能在此处与外部设备交换。 您从 Internet 来源请求的每个数据文件都将由防火墙记录和处理。

数据包和防火墙

最基本的防火墙形式是包过滤防火墙。 但是要了解它是如何工作的，我们首先需要定义数据包。

为了通过互联网传输数据，数据文件必须被分解成更小的部分，通常在 500 字节到 64KB 之间，平均大小为 1500 字节。 这些被称为数据包，它们是通过传输控制协议/互联网协议 (TCP/IP) 网络发送的数据片段。

在将它们组装成最终形式之前，防火墙必须分析每个数据包并确认网络中的设备或系统确实请求了它。

对于此示例，将防火墙想象成音乐会上的保安人员。 为了进入会场，他们可能会要求您通过一个阻塞点，出示门票和身份证明，然后要求您通过金属探测器。 防火墙的功能类似，会仔细检查每个数据包以确定：

• 它要去哪里
• 它起源于哪里
• 是否应允许、拒绝或丢弃

如果被拒绝，则将数据包返回给发送方。 但在数据包丢失的更可能情况下，数据会完全消失。

防火墙的好处

了解防火墙安全的好处是您可以如何保护您的网络免受不良行为者和恶意活动的侵害。 防火墙可能只是网络安全防御的一个方面，但它们在帮助您方面发挥着重要作用：

• 监控网络流量——防火墙屏蔽传入和传出的活动。 他们使用预设规则和过滤器监控网络流量，以衡量每条数据的合法性。 如果防火墙发现可疑活动，它会立即阻止其进入。
• 防止和识别恶意活动– 恶意软件和病毒是对您的网络安全的无处不在的威胁。 使用这些邪恶的工具，黑客可以秘密监视您的活动、收集您的私人数据或获得对系统的控制权。 防火墙可以阻止这些类型的攻击获得未经授权的访问。 或者，如果他们检测到正在进行的黑客活动，他们会通知您消除威胁。 防火墙安全的前端开发使用户更容易浏览自己的网络安全。 如果您不熟悉前端开发人员的职业或前端开发人员的平均工资，那么您可以依靠我们的资源中心来帮助您熟悉这一行。
• 限制传出数据——防火墙可以限制进出网络的流量。 这样，即使黑客或恶意代码成功进入，系统也可以通过防止数据在未经适当授权的情况下离开系统来限制其影响。
• 增加隐私——在网络安全领域，数据隐私至关重要。 如果您存储敏感的私人信息（如支付数据或医疗记录），这一点尤为重要。 在这种情况下，拥有防火墙只是组织必须采取的几个合规步骤之一，以加强其安全性和维护隐私。

防火墙策略和规则集

防火墙参考预先制定的策略和规则集来决定是否应该接受、拒绝或丢弃数据包。 为了按预期工作，安全策略必须明确定义防火墙应如何处理与 IP 地址、地址范围、应用程序、协议和内容类型等各种因素相关的流量。 根据美国国家标准技术研究院 (NIST) 的防火墙指南和防火墙政策：

“策略要求的示例包括仅允许必要的互联网协议 (IP) 协议通过、使用适当的源和目标 IP 地址、访问特定的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口，以及某些互联网要使用的控制消息协议 (ICMP) 类型和代码。”

对于大多数规则集，最好限制所有流量，但防火墙策略明确允许的流量除外。 这降低了发生攻击的可能性。 它还减少了网络的流量。

您如何创建稳健的策略和规则集？

NIST 框架推荐了三个具体行动：

1. 确定在确定要实施哪种类型的防火墙时需要考虑的所有要求。
2. 在不影响防火墙性能的情况下设计与防火墙策略匹配的规则集。
3. 在整个生命周期内管理防火墙架构、策略和软件，定期更新、审核和修补防火墙，使其符合您的组织需求。

防火墙的类型

防火墙将分为两类之一：软件（基于主机）或硬件（基于网络）。

软件防火墙是安装在设备上的程序，通过端口号和应用程序调节传入流量，而硬件防火墙是安装用于分隔网络和网关的物理设备。 根据波士顿大学：

“基于网络的防火墙可以安装在网络的外围或边缘，以保护公司免受 Internet 上主机的侵害，或在内部保护社区的一部分免受另一部分的侵害，例如将公司和住宅系统分开，或研究来自营销系统的系统。”

多年来还出现了几个防火墙子类别，包括：

• 状态检测防火墙——当我们第一次解释防火墙的工作原理时，我们指的就是这个。 状态检测防火墙根据状态、端口和协议限制或允许流量。 但是要被认为是“有状态的”，仅仅拥有一个规则集是不够的。 它还必须保留流量的历史记录。 有了这些信息，防火墙就可以就数据包是否通过做出更复杂的、更具体的决策。
• 代理防火墙– 有时称为网关防火墙或应用程序防火墙，代理防火墙充当计算机和 Internet 服务器之间的中介。 它通过在应用程序级别缓存、过滤、记录和控制请求来保护核心互联网协议的传入和传出流量。 这被认为是最安全的防火墙形式之一，因为它可以防止网络自动和直接联系您的系统。
• 下一代防火墙 (NGFW) – 顾名思义，防火墙技术已经发展了几十年，将传统技术（状态检测和数据包过滤）与现代工具相结合。 NGFW 将提供：
  • 加密流量检测
  • 入侵防御系统
  • 杀毒
  • 深度数据包检测
  • 未来信息源的升级路径
• 以威胁为中心的 NGFW – 这种类型的防火墙将 GFW 的功能与高级威胁检测和补救相结合。 这些系统可以帮助您识别有风险的资产，例如照片或视频，检测可疑活动并对攻击做出反应。 如果您不知道如何标记未经授权使用您的数字资产，您可以进行 Google 图片反向搜索，看看它是否已在其他网站上重新发布。
• 网络地址转换 (NAT) 防火墙– NAT 防火墙使具有独立地址的多个设备能够使用相同的 IP 地址连接到 Internet，而不会泄露其各自的 IP 地址。 这创造了一个额外的匿名和安全层。
• 虚拟防火墙——通常，虚拟防火墙作为虚拟设备部署在私有或公共云基础设施中，监控和保护物理和虚拟网络中的流量。

WP Engine 的专有防火墙

防火墙是贵公司的第一道网络防御线。 它在保护您的网络方面起着至关重要的作用。 通过监控、筛选和限制流量，防火墙有助于确保只有授权数据才能访问。

在 WP Engine，我们寻求灌输强大的安全措施，以在不影响网站性能的情况下创建安全的 WordPress 托管环境。 我们的团队使用最好的防火墙之一来防止黑客每年阻止超过 260 亿次攻击。 配备主动威胁检测和大量插件、核心和 PHP 更新，系统自动检测和引导好的、坏的和恶意的流量。

但该系统不仅仅是自动化的。 我们还提供了一个现场安全团队，该团队采用一流的标准来持续监控您的风险和合规状况。 如果出现安全问题，我们会提供主动警报，以便您可以阻止不良行为者的踪迹。

您需要企业级解决方案吗？ 我们的全球边缘安全提供：

• 托管 Web 应用程序防火墙 (WAF)
• 高级 DDOS 缓解
• Cloudflare CDN
• SSL安装

凭借专用和高级安全性，WP Engine 为企业 WordPress 网站提供了更好、更快、更安全所需的功能。

我们受到全球 170,000 多名客户的信任。 那么，现在是不是该迁移了？

资料来源：

• 技术目标。 什么是网络数据包？ 它们是如何工作的？ https://www.techtarget.com/searchnetworking/definition/packet
• 美国国家标准技术研究院。 防火墙和防火墙政策指南。 https://www.govinfo.gov/content/pkg/GOVPUB-C13-f52fdee3827e2f5d903fa8b4b66d4855/pdf/GOVPUB-C13-f52fdee3827e2f5d903fa8b4b66d4855.pdf
• 波士顿大学。 防火墙如何工作。 https://www.bu.edu/tech/about/security-resources/host-based/intro/