網(wǎng)絡防火墻是用于阻止或減少對連接到 Internet 的專用網(wǎng)絡（尤其是 Intranet）的未授權訪問的安全設備。網(wǎng)絡上允許的唯一流量是通過防火墻策略定義的——任何其他嘗試訪問網(wǎng)絡的流量都被阻止。網(wǎng)絡防火墻位于網(wǎng)絡的前線，充當內(nèi)部和外部設備之間的通信聯(lián)絡人。

可以配置網(wǎng)絡防火墻，以便任何進入或退出網(wǎng)絡的數(shù)據(jù)都必須通過它——它通過檢查每個傳入的消息并拒絕那些不符合定義的安全標準的消息來實現(xiàn)這一點。正確配置后，防火墻允許用戶訪問他們需要的任何資源，同時將不受歡迎的用戶、黑客、病毒、蠕蟲或其他試圖訪問受保護網(wǎng)絡的惡意程序拒之門外。

軟件與硬件防火墻

防火墻可以是硬件也可以是軟件。除了限制對受保護計算機和網(wǎng)絡的訪問之外，防火墻還可以記錄進出網(wǎng)絡的所有流量，并通過安全身份驗證證書和登錄管理對專用網(wǎng)絡的遠程訪問。

1. 硬件防火墻：這些防火墻要么作為企業(yè)使用的獨立產(chǎn)品發(fā)布，要么作為路由器或其他網(wǎng)絡設備的內(nèi)置組件發(fā)布。它們被認為是任何傳統(tǒng)安全系統(tǒng)和網(wǎng)絡配置的重要組成部分。硬件防火墻幾乎總是帶有至少四個允許連接到多個系統(tǒng)的網(wǎng)絡端口。對于更大的網(wǎng)絡，可以使用更廣泛的網(wǎng)絡防火墻解決方案。
2. 軟件防火墻：它們安裝在計算機上，或由操作系統(tǒng)或網(wǎng)絡設備制造商提供。它們可以定制，并提供對功能和保護特性的較小級別的控制。軟件防火墻可以保護系統(tǒng)免受標準控制和訪問嘗試的影響，但會遇到更復雜的網(wǎng)絡漏洞。

防火墻被認為是一種端點保護技術。在保護隱私信息方面，防火墻可以被認為是第一道防線，但它不能是唯一的一道防線。

防火墻類型

依靠防火墻來保護家庭和企業(yè)網(wǎng)絡。一個簡單的防火墻程序或設備將篩選通過網(wǎng)絡傳遞的所有信息——這個過程也可以根據(jù)用戶的需求和防火墻的功能進行定制。有許多主要的防火墻類型可以防止有害信息通過網(wǎng)絡：

1. 應用層防火墻：這是一個硬件設備、軟件過濾器或服務器插件。它在定義的應用程序（如 FTP 服務器）之上分層安全機制，并定義 HTTP 連接規(guī)則。這些規(guī)則是為每個應用程序構建的，以幫助識別和阻止對網(wǎng)絡的攻擊。
2. 數(shù)據(jù)包過濾防火墻：此過濾器檢查通過網(wǎng)絡的每個數(shù)據(jù)包，然后按照用戶設置的規(guī)則的定義接受或拒絕它。數(shù)據(jù)包過濾非常有用，但正確配置可能具有挑戰(zhàn)性。此外，它容易受到 IP 欺騙的影響。
3. 電路級防火墻：一旦建立了 UDP 或 TCP 連接，這種防火墻類型就會應用各種安全機制。建立連接后，數(shù)據(jù)包將直接在主機之間交換，無需進一步監(jiān)督或過濾。
4. 代理服務器防火墻：此版本將檢查所有進入或離開網(wǎng)絡的消息，然后隱藏真實的網(wǎng)絡地址以防止任何外部檢查。
5. 下一代防火墻 (NGFW)：它們通過過濾通過網(wǎng)絡移動的流量來工作——過濾由應用程序或流量類型以及它們分配到的端口決定。這些功能包括標準防火墻與附加功能的混合，以幫助進行更強大、更自給自足的網(wǎng)絡檢查。
6. 狀態(tài)防火墻：有時也稱為第三代防火墻技術，狀態(tài)過濾完成兩件事：基于目標端口的流量分類，以及內(nèi)部連接之間每次交互的數(shù)據(jù)包跟蹤。這些較新的技術提高了可用性并有助于擴展訪問控制粒度——交互不再由端口和協(xié)議定義。狀態(tài)表中數(shù)據(jù)包的歷史也被測量。

所有這些網(wǎng)絡防火墻類型對高級用戶都很有用，而且許多防火墻允許將這些技術中的兩種或多種相互配合使用。

為什么網(wǎng)絡防火墻很重要

如果沒有防火墻，如果一臺計算機有一個可公開尋址的 IP——例如，如果它通過以太網(wǎng)直接連接——那么當前在該設備上運行的任何網(wǎng)絡服務都可以被外界訪問。任何連接到 Internet 的計算機網(wǎng)絡也有遭受攻擊的潛在風險。如果沒有防火墻，這些網(wǎng)絡就容易受到惡意攻擊。例如：

1. 如果您的網(wǎng)絡連接到 Internet，某些類型的惡意軟件會想方設法將部分硬件帶寬用于其自身目的。
2. 某些類型的惡意軟件旨在訪問您的網(wǎng)絡以使用敏感信息，例如信用卡信息、銀行帳號或其他專有數(shù)據(jù)（例如客戶信息）。
3. 其他類型的惡意軟件旨在簡單地破壞數(shù)據(jù)或關閉網(wǎng)絡。

為了全方位的安全，防火墻應該放置在任何連接到互聯(lián)網(wǎng)的網(wǎng)絡之間，企業(yè)應該制定明確的計算機安全計劃，對外部網(wǎng)絡和數(shù)據(jù)存儲制定政策。在云時代，網(wǎng)絡防火墻可以做的不僅僅是保護網(wǎng)絡。它們還可以幫助確保您擁有不間斷的網(wǎng)絡可用性和對云托管應用程序的可靠訪問。