網絡防火墻是用于阻止或減少對連接到 Internet 的專用網絡（尤其是 Intranet）的未授權訪問的安全設備。網絡上允許的唯一流量是通過防火墻策略定義的——任何其他嘗試訪問網絡的流量都被阻止。網絡防火墻位于網絡的前線，充當內部和外部設備之間的通信聯絡人。

可以配置網絡防火墻，以便任何進入或退出網絡的數據都必須通過它——它通過檢查每個傳入的消息并拒絕那些不符合定義的安全標準的消息來實現這一點。正確配置后，防火墻允許用戶訪問他們需要的任何資源，同時將不受歡迎的用戶、黑客、病毒、蠕蟲或其他試圖訪問受保護網絡的惡意程序拒之門外。

軟件與硬件防火墻

防火墻可以是硬件也可以是軟件。除了限制對受保護計算機和網絡的訪問之外，防火墻還可以記錄進出網絡的所有流量，并通過安全身份驗證證書和登錄管理對專用網絡的遠程訪問。

1. 硬件防火墻：這些防火墻要么作為企業使用的獨立產品發布，要么作為路由器或其他網絡設備的內置組件發布。它們被認為是任何傳統安全系統和網絡配置的重要組成部分。硬件防火墻幾乎總是帶有至少四個允許連接到多個系統的網絡端口。對于更大的網絡，可以使用更廣泛的網絡防火墻解決方案。
2. 軟件防火墻：它們安裝在計算機上，或由操作系統或網絡設備制造商提供。它們可以定制，并提供對功能和保護特性的較小級別的控制。軟件防火墻可以保護系統免受標準控制和訪問嘗試的影響，但會遇到更復雜的網絡漏洞。

防火墻被認為是一種端點保護技術。在保護隱私信息方面，防火墻可以被認為是第一道防線，但它不能是唯一的一道防線。

防火墻類型

依靠防火墻來保護家庭和企業網絡。一個簡單的防火墻程序或設備將篩選通過網絡傳遞的所有信息——這個過程也可以根據用戶的需求和防火墻的功能進行定制。有許多主要的防火墻類型可以防止有害信息通過網絡：

1. 應用層防火墻：這是一個硬件設備、軟件過濾器或服務器插件。它在定義的應用程序（如 FTP 服務器）之上分層安全機制，并定義 HTTP 連接規則。這些規則是為每個應用程序構建的，以幫助識別和阻止對網絡的攻擊。
2. 數據包過濾防火墻：此過濾器檢查通過網絡的每個數據包，然后按照用戶設置的規則的定義接受或拒絕它。數據包過濾非常有用，但正確配置可能具有挑戰性。此外，它容易受到 IP 欺騙的影響。
3. 電路級防火墻：一旦建立了 UDP 或 TCP 連接，這種防火墻類型就會應用各種安全機制。建立連接后，數據包將直接在主機之間交換，無需進一步監督或過濾。
4. 代理服務器防火墻：此版本將檢查所有進入或離開網絡的消息，然后隱藏真實的網絡地址以防止任何外部檢查。
5. 下一代防火墻 (NGFW)：它們通過過濾通過網絡移動的流量來工作——過濾由應用程序或流量類型以及它們分配到的端口決定。這些功能包括標準防火墻與附加功能的混合，以幫助進行更強大、更自給自足的網絡檢查。
6. 狀態防火墻：有時也稱為第三代防火墻技術，狀態過濾完成兩件事：基于目標端口的流量分類，以及內部連接之間每次交互的數據包跟蹤。這些較新的技術提高了可用性并有助于擴展訪問控制粒度——交互不再由端口和協議定義。狀態表中數據包的歷史也被測量。

所有這些網絡防火墻類型對高級用戶都很有用，而且許多防火墻允許將這些技術中的兩種或多種相互配合使用。

為什么網絡防火墻很重要

如果沒有防火墻，如果一臺計算機有一個可公開尋址的 IP——例如，如果它通過以太網直接連接——那么當前在該設備上運行的任何網絡服務都可以被外界訪問。任何連接到 Internet 的計算機網絡也有遭受攻擊的潛在風險。如果沒有防火墻，這些網絡就容易受到惡意攻擊。例如：

1. 如果您的網絡連接到 Internet，某些類型的惡意軟件會想方設法將部分硬件帶寬用于其自身目的。
2. 某些類型的惡意軟件旨在訪問您的網絡以使用敏感信息，例如信用卡信息、銀行帳號或其他專有數據（例如客戶信息）。
3. 其他類型的惡意軟件旨在簡單地破壞數據或關閉網絡。

為了全方位的安全，防火墻應該放置在任何連接到互聯網的網絡之間，企業應該制定明確的計算機安全計劃，對外部網絡和數據存儲制定政策。在云時代，網絡防火墻可以做的不僅僅是保護網絡。它們還可以幫助確保您擁有不間斷的網絡可用性和對云托管應用程序的可靠訪問。