防火墙有什么作用？为什么我们需要防火墙？

早在 1993 年，Check Point 首席执行官 Gil Shwed 就推出了第一个状态检查防火墙 FireWall-1。快进 27 年，防火墙仍然是组织抵御网络攻击的第一道防线。当今的防火墙，包括下一代防火墙和网络防火墙，通过内置特性支持多种功能和能力，包括：

• 网络威胁防护
• 基于应用程序和身份的控制
• 混合云支持
• 可扩展的性能

防火墙有什么作用？

防火墙是任何安全架构的必要组成部分，它消除了主机级别保护的猜测，并将它们委托给您的网络安全设备。防火墙，尤其是下一代防火墙，专注于阻止恶意软件和应用层攻击，加上集成的入侵防御系统 (IPS)，这些下一代防火墙可以快速无缝地做出反应，以检测和应对整个网络中的外部攻击。他们可以设置策略以更好地保护您的网络并执行快速评估以检测侵入性或可疑活动（如恶意软件）并将其关闭。

为什么我们需要防火墙？

防火墙，尤其是下一代防火墙，专注于阻止恶意软件和应用层攻击。连同集成的入侵防御系统 (IPS)，这些下一代防火墙能够快速无缝地做出反应，以检测和打击整个网络的攻击。防火墙可以根据先前设置的策略采取行动以更好地保护您的网络，并且可以执行快速评估以检测侵入性或可疑活动（例如恶意软件）并将其关闭。通过为您的安全基础设施使用防火墙，您可以使用特定策略设置网络以允许或阻止传入和传出流量。

网络层与应用层检查

网络层或数据包过滤器在 TCP/IP 协议栈的相对较低级别检查数据包，不允许数据包通过防火墙，除非它们匹配已建立的规则集，其中规则集的源和目标基于 Internet 协议（ IP）地址和端口。进行网络层检查的防火墙的性能优于进行应用层检查的类似设备。不利的一面是，不需要的应用程序或恶意软件可以通过允许的端口，例如分别通过 Web 协议 HTTP 和 HTTPS、端口 80 和 443 的出站互联网流量。

NAT 和虚拟专用网络的重要性

防火墙还执行基本的网络级功能，例如网络地址转换 (NAT) 和虚拟专用网络。网络地址转换隐藏或转换可能在“私有地址范围”中的内部客户端或服务器 IP 地址，如 RFC 1918 中定义的公共 IP 地址。隐藏受保护设备的地址可以保留有限数量的 IPv4 地址，并且可以防御网络侦察，因为 IP 地址对 Internet 是隐藏的。

类似地，虚拟专用网络将专用网络扩展到隧道内的公共网络上，该隧道通常是加密的，其中数据包的内容在穿越 Internet 时受到保护。这使用户能够安全地跨共享或公共网络发送和接收数据。

下一代防火墙及以后

下一代防火墙在 TCP/IP 堆栈的应用程序级别检查数据包，能够识别 Skype 或 Facebook 等应用程序，并根据应用程序类型实施安全策略。如今，UTM（统一威胁管理）设备和下一代防火墙还包括入侵防御系统 (IPS)或防病毒等威胁防御技术，以检测和防止恶意软件和威胁。这些设备还可能包括沙盒技术以检测文件中的威胁。