防火墙是一种基于硬件或软件的网络安全系统,它使用规则来控制传入和传出的网络流量。防火墙充当受信任网络和不受信任网络之间的屏障。防火墙通过积极的控制模型控制对网络资源的访问。这意味着防火墙策略中定义了唯一允许进入网络的流量;所有其他流量都被拒绝。
防火墙的历史
计算机安全从消防和防火借用术语防火墙,其中防火墙是为防止火势蔓延而建立的屏障。当组织开始从大型计算机和哑客户端转向客户端-服务器模型时,控制对服务器的访问的能力成为优先事项。在 1980 年代后期出现防火墙之前,唯一真正的网络安全形式是由驻留在路由器上的访问控制列表 (ACL) 执行的。ACL 确定哪些 IP 地址被授予或拒绝访问网络。
Internet 的发展以及由此产生的网络连接性的增加意味着这种类型的过滤不再足以阻止恶意流量,因为数据包标头中只包含有关网络流量的基本信息。Digital Equipment Corp. 推出了第一款商用防火墙(1992 年的 DEC SEAL),此后防火墙技术不断发展以应对日益复杂的网络攻击。
防火墙的主要类型
防火墙是除防病毒软件等其他安全措施之外的额外屏障。但是,硬件和软件防火墙系统的工作方式略有不同。
硬件防火墙是独立于它们所保护的计算机的系统,它在信息传入计算机时过滤 Internet。大多数宽带互联网路由器都内置了自己的防火墙。通常,硬件防火墙的工作原理是检查从 Internet 流入的数据并验证该信息是否安全。简单的防火墙(称为数据包过滤器)会检查数据本身以获取诸如位置和来源之类的信息。然后将防火墙收集的信息与一组权限列表进行比较,以确定是否应该删除或允许该信息通过。随着硬件防火墙变得更加先进,它们获得了检查更多信息的能力。
这些类型的防火墙对家庭和小型企业都有好处,因为它们几乎不需要设置,并且可以保护多个节点(计算机)免于修补到同一路由器。然而,典型家用硬件防火墙的主要缺点是它们只检查进入计算机的数据,而不检查离开计算机的数据。有人可能会问:“这不是重点吗?” 在某种程度上,是的。但通常,恶意软件是伪装成特洛伊木马程序通过 Internet 发送的。数据的“包装”似乎来自可靠的来源,但嵌入编码中的可能是破坏性软件。此外,某些攻击可能会导致目标计算机变成僵尸或计算机机器人,然后开始大规模广播数据。由于硬件防火墙不检测传出信息,因此不会考虑流量或其内容的增加。
软件防火墙
与硬件防火墙相比,软件防火墙有两个主要优点。首先是软件防火墙可以监控传出数据流量。这不仅可以防止计算机变成机器人或僵尸,还可以防止计算机传播任何其他恶意软件,例如蠕虫或计算机病毒。另一个优点是软件防火墙是可定制的。可以调整这些程序以满足用户的需求,例如在他们在线游戏或观看在线视频时是否需要放宽权限。但是,软件防火墙的主要缺点是它们只能保护一台计算机。每台计算机都必须有自己的许可防火墙产品。另一方面,硬件防火墙可以保护连接到它的每台计算机。
额外保护
同时使用软件和硬件防火墙并不是一个坏主意。它们不仅不会相互干扰,而且还会提供保护计算机的层数。此外,软件防火墙旨在与防病毒软件结合使用。这是因为防火墙只能阻止这么多。虽然防火墙可以阻止已知威胁,但任何突破物理障碍的隐蔽尝试仍然可以通过。在社会工程攻击中尤其如此,在这种攻击中,计算机用户被诱骗将恶意软件带入计算机。这就是使用防病毒软件作为备份的地方,因为它可以阻止或清除任何通过第一层安全保护的恶意软件。
此外,使所有计算机软件(尤其是操作系统软件)保持最新状态将有助于保护计算机免受已知威胁的侵害。这也有助于防火墙阻止侵入式攻击。对于计算机的所有用户来说,了解他们可以预防哪些威胁也是有益的,尤其是那些可以通过防火墙的威胁。通过不点击即时消息中的链接,也不打开连锁电子邮件中的附件,这有助于防止突然袭击。所有这些方法结合起来可以帮助保护计算机并保持其安全和清洁。