网络防火墙是用于阻止或减少对连接到 Internet 的专用网络(尤其是 Intranet)的未授权访问的安全设备。网络上允许的唯一流量是通过防火墙策略定义的——任何其他尝试访问网络的流量都被阻止。网络防火墙位于网络的前线,充当内部和外部设备之间的通信联络人。
可以配置网络防火墙,以便任何进入或退出网络的数据都必须通过它——它通过检查每个传入的消息并拒绝那些不符合定义的安全标准的消息来实现这一点。正确配置后,防火墙允许用户访问他们需要的任何资源,同时将不受欢迎的用户、黑客、病毒、蠕虫或其他试图访问受保护网络的恶意程序拒之门外。
软件与硬件防火墙
防火墙可以是硬件也可以是软件。除了限制对受保护计算机和网络的访问之外,防火墙还可以记录进出网络的所有流量,并通过安全身份验证证书和登录管理对专用网络的远程访问。
- 硬件防火墙:这些防火墙要么作为企业使用的独立产品发布,要么作为路由器或其他网络设备的内置组件发布。它们被认为是任何传统安全系统和网络配置的重要组成部分。硬件防火墙几乎总是带有至少四个允许连接到多个系统的网络端口。对于更大的网络,可以使用更广泛的网络防火墙解决方案。
- 软件防火墙:它们安装在计算机上,或由操作系统或网络设备制造商提供。它们可以定制,并提供对功能和保护特性的较小级别的控制。软件防火墙可以保护系统免受标准控制和访问尝试的影响,但会遇到更复杂的网络漏洞。
防火墙被认为是一种端点保护技术。在保护隐私信息方面,防火墙可以被认为是第一道防线,但它不能是唯一的一道防线。
防火墙类型
依靠防火墙来保护家庭和企业网络。一个简单的防火墙程序或设备将筛选通过网络传递的所有信息——这个过程也可以根据用户的需求和防火墙的功能进行定制。有许多主要的防火墙类型可以防止有害信息通过网络:
- 应用层防火墙:这是一个硬件设备、软件过滤器或服务器插件。它在定义的应用程序(如 FTP 服务器)之上分层安全机制,并定义 HTTP 连接规则。这些规则是为每个应用程序构建的,以帮助识别和阻止对网络的攻击。
- 数据包过滤防火墙:此过滤器检查通过网络的每个数据包,然后按照用户设置的规则的定义接受或拒绝它。数据包过滤非常有用,但正确配置可能具有挑战性。此外,它容易受到 IP 欺骗的影响。
- 电路级防火墙:一旦建立了 UDP 或 TCP 连接,这种防火墙类型就会应用各种安全机制。建立连接后,数据包将直接在主机之间交换,无需进一步监督或过滤。
- 代理服务器防火墙:此版本将检查所有进入或离开网络的消息,然后隐藏真实的网络地址以防止任何外部检查。
- 下一代防火墙 (NGFW):它们通过过滤通过网络移动的流量来工作——过滤由应用程序或流量类型以及它们分配到的端口决定。这些功能包括标准防火墙与附加功能的混合,以帮助进行更强大、更自给自足的网络检查。
- 状态防火墙:有时也称为第三代防火墙技术,状态过滤完成两件事:基于目标端口的流量分类,以及内部连接之间每次交互的数据包跟踪。这些较新的技术提高了可用性并有助于扩展访问控制粒度——交互不再由端口和协议定义。状态表中数据包的历史也被测量。
所有这些网络防火墙类型对高级用户都很有用,而且许多防火墙允许将这些技术中的两种或多种相互配合使用。
为什么网络防火墙很重要
如果没有防火墙,如果一台计算机有一个可公开寻址的 IP——例如,如果它通过以太网直接连接——那么当前在该设备上运行的任何网络服务都可以被外界访问。任何连接到 Internet 的计算机网络也有遭受攻击的潜在风险。如果没有防火墙,这些网络就容易受到恶意攻击。例如:
- 如果您的网络连接到 Internet,某些类型的恶意软件会想方设法将部分硬件带宽用于其自身目的。
- 某些类型的恶意软件旨在访问您的网络以使用敏感信息,例如信用卡信息、银行帐号或其他专有数据(例如客户信息)。
- 其他类型的恶意软件旨在简单地破坏数据或关闭网络。
为了全方位的安全,防火墙应该放置在任何连接到互联网的网络之间,企业应该制定明确的计算机安全计划,对外部网络和数据存储制定政策。在云时代,网络防火墙可以做的不仅仅是保护网络。它们还可以帮助确保您拥有不间断的网络可用性和对云托管应用程序的可靠访问。