防火墙以及硬件防火墙和软件防火墙的区别

全球范围内，每39 秒就会发生一次新的网络攻击。一半的英国企业报告称在过去 12 个月内遭受过安全攻击，展望 2025 年，网络犯罪在全球造成的年度损失预计将达到10.5 万亿美元。

戴尔首席执行官迈克尔·戴尔表示：“我想提醒所有企业主，要高度重视网络安全问题。对于小型、快速发展的企业来说，风险同样巨大，甚至更大。”

其中一个风险是财务风险。例如，单次数据泄露的平均总成本估计为480 万美元。但对企业构成威胁的不仅仅是财务后果。企业敏感数据和知识产权的暴露可能更具破坏性。重建丢失的数据成本高昂，甚至不可能，重建公司声誉和修复由此造成的公众信任缺失也是如此。正如GroupeSEB 首席信息安全官 Stéphane Nappo所说：“建立声誉需要 20 年时间，而几分钟的网络事件就会毁掉它。”

为了降低这些风险，防火墙自 20 世纪 80 年代开发以来一直是一种一致的安全做法。75 % 的英国企业采用了覆盖整个网络或单个设备的防火墙。问题是，哪种类型的防火墙适合您？

本博客将介绍防火墙的工作原理、硬件和软件防火墙之间的区别以及此类安全保护的未来。

什么是防火墙以及它如何工作？

防火墙是一种过滤进入设备的流量的安全系统。它配置为了解哪些流量是安全的，哪些流量可能构成威胁。过滤基于数据包数据，例如源、目标和内容。将防火墙视为数据守门人。

硬件防火墙与软件防火墙

防火墙主要有两种类型：

• 硬件（网络）防火墙
• 软件（操作系统）防火墙

顾名思义，硬件防火墙位于网络内，而软件防火墙安装在设备本身的操作系统 (OS) 中。

硬件防火墙

硬件防火墙是位于您的专用网络和公共网络（互联网）之间的物理设备。它会检查所有进出的流量，以确保没有恶意程序通过。

硬件防火墙可以插入开放系统通信 (OSI) 模型的第 3 层（网络）和第 4 层（传输），并保护连接到网络的每个设备。常见示例包括 Cisco ASA 和 SonicWall 网络安全设备。

软件防火墙

软件防火墙是一种直接安装在计算机或服务器操作系统上的应用程序。软件防火墙由用户或系统管理员管理，可监视您的网络流量并阻止任何可疑内容。与硬件防火墙不同，软件防火墙保护的是单个机器，而不是整个网络。

常见的例子包括 Windows 防火墙、MacOS 和 Linux 上的内置防火墙。

如何在硬件和软件防火墙之间进行选择

在网络上运行防火墙和在操作系统上运行防火墙是两种完全不同的过滤传入流量的方法。确定哪种防火墙最适合您的最佳方法是回答以下问题：我需要保护多少台设备？

如果您负责管理多个设备，并且这些设备都需要遵循相同的防火墙配置，那么硬件防火墙是最有效、最安全的选择。由于数据在网络级别受到严格审查，因此该网络上的每个设备都受到相同的保护。而且由于硬件防火墙与其所保护的设备是分开的，因此不会产生性能开销。

这使得硬件防火墙非常适合：

• 保护整个公司的网络免受外部威胁
• 实施适用于组织中每个人的广泛安全政策
• 管理网络不同部分（如内部网络和来宾网络）之间的流量

但请注意：您需要一个具有专业知识的团队来设置、管理和手动更新硬件防火墙。如果您的防火墙在没有冗余计划的情况下发生故障，则该网络下的每个设备都将自动失去连接。以冗余方式运行两个硬件防火墙可以减轻您的网络完全依赖一个防火墙的风险。

但是，如果您只想保护一台设备，那么运行硬件防火墙所需的成本、维护和专业知识通常不值得。这时软件防火墙可能是答案。软件防火墙易于设置，可以明确允许哪些应用程序连接，并且通常是免费的，因为它们内置在操作系统中。

软件防火墙适用于：

• 保护单个服务器或工作站
• 在网络防火墙上添加额外的安全层
• 保护用于远程工作的笔记本电脑和移动设备

然而，恶意软件可以禁用软件防火墙，而且由于它们直接安装到设备上，它们会使用机器的一些资源，这可能会影响整体性能。

下一代防火墙

网络安全是一场持续不断的军备竞赛。尽管安全工具已经开发出来以缓解攻击，但新的攻击方法很快就会出现。

下一代防火墙 (NGFW) 是试图解决该问题的最新防火墙技术。NGFW 具有最先进的防火墙功能；它们不仅过滤流量，还对加密流量进行深度数据包检查、阻止入侵并与威胁情报源集成，因此它们始终能够及时了解最新的攻击。

NGFW 作为更先进的硬件防火墙安装到网络上，允许对数据包进行分析直至OSI 模型的第7层（应用程序层）——比传统防火墙更深。

虽然它们通常比传统的硬件防火墙更昂贵，并且由于其先进的功能设置起来可能更复杂，但它们提供了针对网络攻击的最佳整体防火墙保护。

防火墙所需的功能

流量过滤

流量过滤会分析每个数据包并根据您预先配置的策略标准对其进行评估，因此它知道是否允许或阻止流量。这些过滤器的范围包括限制来自某个用户类型或组的流量，以及限制特定 IP 地址、协议和端口号。

访问控制

如果说流量过滤就像是网络入口处的安全检查点，那么访问控制就是决定什么可以进入网络的哪个部分。通过配置权限并了解哪些角色可以访问网络的不同部分，默认情况下，所有其他传入或传出的流量都会被拒绝。

安全日志

网络行为的记录和监控通常需要遵守安全合规性法规，以确保尽早发现安全事件，从而帮助最大限度地减少违规行为的影响。记录还使管理员能够发现模式并分析趋势（例如经常访问的 IP 和应用程序），以便他们可以优化这些领域的安全性。

如何获取防火墙的来源

如果软件防火墙没有自动安装到操作系统上，那么独立获取软件防火墙就像从值得信赖的提供商处下载一样简单。

另一方面，硬件防火墙需要由专家团队执行几个阶段，例如：

• 评估安全需求和网络映射
• 安全政策和冗余规划
• 物理设置和配置
• 测试和验证
• 持续监控、管理和维护

如果此过程超出了您的资源范围，但您仍然需要硬件防火墙，那么基础设施即服务 (IaaS)可能会有所帮助。如果您与服务器托管提供商合作，那么防火墙即服务 (FaaS) 是一个附加功能，提供商将为您管理和维护硬件防火墙。您仍然可以控制其所有配置。

默认拒绝，例外允许

首先，逆向思考并采用“全部拒绝”策略（默认情况下阻止所有传入和传出流量）是配置防火墙最安全的方法。

通过从完全拒绝的基线开始，您可以从一开始就消除任何非法流量的风险。有了这个基础，您就可以逆向打开您信任的来源的大门。这意味着在您的流量过滤和访问控制中概述精确的规则。

但完成防火墙的设置并不意味着您的工作已经完成。定期的规则审查可确保防火墙与不断发展的业务实践保持同步，例如网络结构的任何变化、新应用程序或已停用的服务。不响应这些变化可能会造成漏洞，让潜在攻击者有机会找到您防御中过时的点。这些发现可以指导新政策，确保防火墙与组织以相同的速度发展。我们建议每隔几个月进行一次审查。

您的数据需要保护

网络安全需求从未如此高涨。在数据是我们最宝贵的财富的时代，企业保护自己和客户免受潜在威胁至关重要。

防火墙是一种久经考验的安全措施，可让企业为整个网络或单个设备提供保护。通过 NGFW，网络防火墙不断发展，确保能够抵御最新的攻击方法。