什麼是防火牆：定義、用途和優勢

如果您的計算機網絡是您的城堡，那麼網絡防火牆就是閘門——負責調節傳入和傳出網絡流量的大門。 它部分是屏障，部分是篩選機制，將您的網絡與第三方網絡分開並阻止未經授權的訪問。

為了深入回答這個問題——什麼是防火牆？——本指南介紹了防火牆的優勢、它如何加強網絡防禦以及可用於監控網絡的不同類型的防火牆。

什麼是防火牆？

在 19 世紀，防火牆是一種物理屏障，旨在防止火災從一個結構蔓延到另一個結構。 後來，在汽車上，它是將發動機艙與乘客艙隔開的金屬屏障。

該短語最終被計算行業採用，指代數字安全系統，該系統在受信任的網絡和不受信任的網絡（如互聯網）之間設置了障礙。

從技術上講，防火牆是網絡安全框架的最外層。 它監控網絡流量的流入和流出，並根據一組定義的安全規則確定是否允許或限制數據包。

作為抵禦惡意流量的第一道防線，防火牆保護網絡入口點（端口），數據可能在此處與外部設備交換。 您從 Internet 來源請求的每個數據文件都將由防火牆記錄和處理。

數據包和防火牆

最基本的防火牆形式是包過濾防火牆。 但是要了解它是如何工作的，我們首先需要定義數據包。

為了通過互聯網傳輸數據，數據文件必須被分解成更小的部分，通常在 500 字節到 64KB 之間，平均大小為 1500 字節。 這些被稱為數據包，它們是通過傳輸控制協議/互聯網協議 (TCP/IP) 網絡發送的數據片段。

在將它們組裝成最終形式之前，防火牆必須分析每個數據包並確認網絡中的設備或系統確實請求了它。

對於此示例，將防火牆想像成音樂會上的保安人員。 為了進入會場，他們可能會要求您通過一個阻塞點，出示門票和身份證明，然後要求您通過金屬探測器。 防火牆的功能類似，會仔細檢查每個數據包以確定：

• 它要去哪裡
• 它起源於哪裡
• 是否應允許、拒絕或丟棄

如果被拒絕，則將數據包返回給發送方。 但在數據包丟失的更可能情況下，數據會完全消失。

防火牆的好處

了解防火牆安全的好處是您可以如何保護您的網絡免受不良行為者和惡意活動的侵害。 防火牆可能只是網絡安全防禦的一個方面，但它們在幫助您方面發揮著重要作用：

• 監控網絡流量——防火牆屏蔽傳入和傳出的活動。 他們使用預設規則和過濾器監控網絡流量，以衡量每條數據的合法性。 如果防火牆發現可疑活動，它會立即阻止其進入。
• 防止和識別惡意活動– 惡意軟件和病毒是對您的網絡安全的無處不在的威脅。 使用這些邪惡的工具，黑客可以秘密監視您的活動、收集您的私人數據或獲得對系統的控制權。 防火牆可以阻止這些類型的攻擊獲得未經授權的訪問。 或者，如果他們檢測到正在進行的黑客活動，他們會通知您消除威脅。 防火牆安全的前端開發使用戶更容易瀏覽自己的網絡安全。 如果您不熟悉前端開發人員的職業或前端開發人員的平均工資，那麼您可以依靠我們的資源中心來幫助您熟悉這一行。
• 限制傳出數據——防火牆可以限制進出網絡的流量。 這樣，即使黑客或惡意代碼成功進入，系統也可以通過防止數據在未經適當授權的情況下離開系統來限制其影響。
• 增加隱私——在網絡安全領域，數據隱私至關重要。 如果您存儲敏感的私人信息（如支付數據或醫療記錄），這一點尤為重要。 在這種情況下，擁有防火牆只是組織必須採取的幾個合規步驟之一，以加強其安全性和維護隱私。

防火牆策略和規則集

防火牆參考預先制定的策略和規則集來決定是否應該接受、拒絕或丟棄數據包。 為了按預期工作，安全策略必須明確定義防火牆應如何處理與 IP 地址、地址範圍、應用程序、協議和內容類型等各種因素相關的流量。 根據美國國家標準技術研究院 (NIST) 的防火牆指南和防火牆政策：

“策略要求的示例包括僅允許必要的互聯網協議 (IP) 協議通過、使用適當的源和目標 IP 地址、訪問特定的傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 端口，以及某些互聯網要使用的控制消息協議 (ICMP) 類型和代碼。”

對於大多數規則集，最好限制所有流量，但防火牆策略明確允許的流量除外。 這降低了發生攻擊的可能性。 它還減少了網絡的流量。

您如何創建穩健的策略和規則集？

NIST 框架推薦了三個具體行動：

1. 確定在確定要實施哪種類型的防火牆時需要考慮的所有要求。
2. 在不影響防火牆性能的情況下設計與防火牆策略匹配的規則集。
3. 在整個生命週期內管理防火牆架構、策略和軟件，定期更新、審核和修補防火牆，使其符合您的組織需求。

防火牆的類型

防火牆將分為兩類之一：軟件（基於主機）或硬件（基於網絡）。

軟件防火牆是安裝在設備上的程序，通過端口號和應用程序調節傳入流量，而硬件防火牆是安裝用於分隔網絡和網關的物理設備。 根據波士頓大學：

“基於網絡的防火牆可以安裝在網絡的外圍或邊緣，以保護公司免受 Internet 上主機的侵害，或在內部保護社區的一部分免受另一部分的侵害，例如將公司和住宅系統分開，或研究來自營銷系統的系統。”

多年來還出現了幾個防火牆子類別，包括：

• 狀態檢測防火牆——當我們第一次解釋防火牆的工作原理時，我們指的就是這個。 狀態檢測防火牆根據狀態、端口和協議限製或允許流量。 但是要被認為是“有狀態的”，僅僅擁有一個規則集是不夠的。 它還必須保留流量的歷史記錄。 有了這些信息，防火牆就可以就數據包是否通過做出更複雜的、更具體的決策。
• 代理防火牆– 有時稱為網關防火牆或應用程序防火牆，代理防火牆充當計算機和 Internet 服務器之間的中介。 它通過在應用程序級別緩存、過濾、記錄和控制請求來保護核心互聯網協議的傳入和傳出流量。 這被認為是最安全的防火牆形式之一，因為它可以防止網絡自動和直接聯繫您的系統。
• 下一代防火牆 (NGFW) – 顧名思義，防火牆技術已經發展了幾十年，將傳統技術（狀態檢測和數據包過濾）與現代工具相結合。 NGFW 將提供：
  • 加密流量檢測
  • 入侵防禦系統
  • 殺毒
  • 深度數據包檢測
  • 未來信息源的升級路徑
• 以威脅為中心的 NGFW – 這種類型的防火牆將 GFW 的功能與高級威脅檢測和補救相結合。 這些系統可以幫助您識別有風險的資產，例如照片或視頻，檢測可疑活動並對攻擊做出反應。 如果您不知道如何標記未經授權使用您的數字資產，您可以進行 Google 圖片反向搜索，看看它是否已在其他網站上重新發布。
• 網絡地址轉換 (NAT) 防火牆– NAT 防火牆使具有獨立地址的多個設備能夠使用相同的 IP 地址連接到 Internet，而不會洩露其各自的 IP 地址。 這創造了一個額外的匿名和安全層。
• 虛擬防火牆——通常，虛擬防火牆作為虛擬設備部署在私有或公共雲基礎設施中，監控和保護物理和虛擬網絡中的流量。

WP Engine 的專有防火牆

防火牆是貴公司的第一道網絡防禦線。 它在保護您的網絡方面起著至關重要的作用。 通過監控、篩选和限制流量，防火牆有助於確保只有授權數據才能訪問。

在 WP Engine，我們尋求灌輸強大的安全措施，以在不影響網站性能的情況下創建安全的 WordPress 託管環境。 我們的團隊使用最好的防火牆之一來防止黑客每年阻止超過 260 億次攻擊。 配備主動威脅檢測和大量插件、核心和 PHP 更新，系統自動檢測和引導好的、壞的和惡意的流量。

但該系統不僅僅是自動化的。 我們還提供了一個現場安全團隊，該團隊採用一流的標準來持續監控您的風險和合規狀況。 如果出現安全問題，我們會提供主動警報，以便您可以阻止不良行為者的踪跡。

您需要企業級解決方案嗎？ 我們的全球邊緣安全提供：

• 託管 Web 應用程序防火牆 (WAF)
• 高級 DDOS 緩解
• Cloudflare CDN
• SSL安裝

憑藉專用和高級安全性，WP Engine 為企業 WordPress 網站提供了更好、更快、更安全所需的功能。

我們受到全球 170,000 多名客戶的信任。 那麼，現在是不是該遷移了？

資料來源：

• 技術目標。 什麼是網絡數據包？ 它們是如何工作的？ https://www.techtarget.com/searchnetworking/definition/packet
• 美國國家標準技術研究院。 防火牆和防火牆政策指南。 https://www.govinfo.gov/content/pkg/GOVPUB-C13-f52fdee3827e2f5d903fa8b4b66d4855/pdf/GOVPUB-C13-f52fdee3827e2f5d903fa8b4b66d4855.pdf
• 波士頓大學。 防火牆如何工作。 https://www.bu.edu/tech/about/security-resources/host-based/intro/