防火墻是一種基于硬件或軟件的網(wǎng)絡(luò)安全系統(tǒng)，它使用規(guī)則來控制傳入和傳出的網(wǎng)絡(luò)流量。防火墻充當受信任網(wǎng)絡(luò)和不受信任網(wǎng)絡(luò)之間的屏障。防火墻通過積極的控制模型控制對網(wǎng)絡(luò)資源的訪問。這意味著防火墻策略中定義了唯一允許進入網(wǎng)絡(luò)的流量；所有其他流量都被拒絕。

防火墻的歷史

計算機安全從消防和防火借用術(shù)語防火墻，其中防火墻是為防止火勢蔓延而建立的屏障。當組織開始從大型計算機和啞客戶端轉(zhuǎn)向客戶端-服務(wù)器模型時，控制對服務(wù)器的訪問的能力成為優(yōu)先事項。在 1980 年代后期出現(xiàn)防火墻之前，唯一真正的網(wǎng)絡(luò)安全形式是由駐留在路由器上的訪問控制列表 (ACL) 執(zhí)行的。ACL 確定哪些 IP 地址被授予或拒絕訪問網(wǎng)絡(luò)。

Internet 的發(fā)展以及由此產(chǎn)生的網(wǎng)絡(luò)連接性的增加意味著這種類型的過濾不再足以阻止惡意流量，因為數(shù)據(jù)包標頭中只包含有關(guān)網(wǎng)絡(luò)流量的基本信息。Digital Equipment Corp. 推出了第一款商用防火墻（1992 年的 DEC SEAL），此后防火墻技術(shù)不斷發(fā)展以應(yīng)對日益復雜的網(wǎng)絡(luò)攻擊。

防火墻的主要類型

防火墻是除防病毒軟件等其他安全措施之外的額外屏障。但是，硬件和軟件防火墻系統(tǒng)的工作方式略有不同。

硬件防火墻

硬件防火墻是獨立于它們所保護的計算機的系統(tǒng)，它在信息傳入計算機時過濾 Internet。大多數(shù)寬帶互聯(lián)網(wǎng)路由器都內(nèi)置了自己的防火墻。通常，硬件防火墻的工作原理是檢查從 Internet 流入的數(shù)據(jù)并驗證該信息是否安全。簡單的防火墻（稱為數(shù)據(jù)包過濾器）會檢查數(shù)據(jù)本身以獲取諸如位置和來源之類的信息。然后將防火墻收集的信息與一組權(quán)限列表進行比較，以確定是否應(yīng)該刪除或允許該信息通過。隨著硬件防火墻變得更加先進，它們獲得了檢查更多信息的能力。

這些類型的防火墻對家庭和小型企業(yè)都有好處，因為它們幾乎不需要設(shè)置，并且可以保護多個節(jié)點（計算機）免于修補到同一路由器。然而，典型家用硬件防火墻的主要缺點是它們只檢查進入計算機的數(shù)據(jù)，而不檢查離開計算機的數(shù)據(jù)。有人可能會問：“這不是重點嗎？” 在某種程度上，是的。但通常，惡意軟件是偽裝成特洛伊木馬程序通過 Internet 發(fā)送的。數(shù)據(jù)的“包裝”似乎來自可靠的來源，但嵌入編碼中的可能是破壞性軟件。此外，某些攻擊可能會導致目標計算機變成僵尸或計算機機器人，然后開始大規(guī)模廣播數(shù)據(jù)。由于硬件防火墻不檢測傳出信息，因此不會考慮流量或其內(nèi)容的增加。

軟件防火墻

與硬件防火墻相比，軟件防火墻有兩個主要優(yōu)點。首先是軟件防火墻可以監(jiān)控傳出數(shù)據(jù)流量。這不僅可以防止計算機變成機器人或僵尸，還可以防止計算機傳播任何其他惡意軟件，例如蠕蟲或計算機病毒。另一個優(yōu)點是軟件防火墻是可定制的。可以調(diào)整這些程序以滿足用戶的需求，例如在他們在線游戲或觀看在線視頻時是否需要放寬權(quán)限。但是，軟件防火墻的主要缺點是它們只能保護一臺計算機。每臺計算機都必須有自己的許可防火墻產(chǎn)品。另一方面，硬件防火墻可以保護連接到它的每臺計算機。

額外保護

同時使用軟件和硬件防火墻并不是一個壞主意。它們不僅不會相互干擾，而且還會提供保護計算機的層數(shù)。此外，軟件防火墻旨在與防病毒軟件結(jié)合使用。這是因為防火墻只能阻止這么多。雖然防火墻可以阻止已知威脅，但任何突破物理障礙的隱蔽嘗試仍然可以通過。在社會工程攻擊中尤其如此，在這種攻擊中，計算機用戶被誘騙將惡意軟件帶入計算機。這就是使用防病毒軟件作為備份的地方，因為它可以阻止或清除任何通過第一層安全保護的惡意軟件。

此外，使所有計算機軟件（尤其是操作系統(tǒng)軟件）保持最新狀態(tài)將有助于保護計算機免受已知威脅的侵害。這也有助于防火墻阻止侵入式攻擊。對于計算機的所有用戶來說，了解他們可以預防哪些威脅也是有益的，尤其是那些可以通過防火墻的威脅。通過不點擊即時消息中的鏈接，也不打開連鎖電子郵件中的附件，這有助于防止突然襲擊。所有這些方法結(jié)合起來可以幫助保護計算機并保持其安全和清潔。