網(wǎng)絡(luò)防火墻是用于阻止或減少對(duì)連接到 Internet 的專用網(wǎng)絡(luò)（尤其是 Intranet）的未授權(quán)訪問的安全設(shè)備。網(wǎng)絡(luò)上允許的唯一流量是通過防火墻策略定義的——任何其他嘗試訪問網(wǎng)絡(luò)的流量都被阻止。網(wǎng)絡(luò)防火墻位于網(wǎng)絡(luò)的前線，充當(dāng)內(nèi)部和外部設(shè)備之間的通信聯(lián)絡(luò)人。

可以配置網(wǎng)絡(luò)防火墻，以便任何進(jìn)入或退出網(wǎng)絡(luò)的數(shù)據(jù)都必須通過它——它通過檢查每個(gè)傳入的消息并拒絕那些不符合定義的安全標(biāo)準(zhǔn)的消息來實(shí)現(xiàn)這一點(diǎn)。正確配置后，防火墻允許用戶訪問他們需要的任何資源，同時(shí)將不受歡迎的用戶、黑客、病毒、蠕蟲或其他試圖訪問受保護(hù)網(wǎng)絡(luò)的惡意程序拒之門外。

軟件與硬件防火墻

防火墻可以是硬件也可以是軟件。除了限制對(duì)受保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)的訪問之外，防火墻還可以記錄進(jìn)出網(wǎng)絡(luò)的所有流量，并通過安全身份驗(yàn)證證書和登錄管理對(duì)專用網(wǎng)絡(luò)的遠(yuǎn)程訪問。

1. 硬件防火墻：這些防火墻要么作為企業(yè)使用的獨(dú)立產(chǎn)品發(fā)布，要么作為路由器或其他網(wǎng)絡(luò)設(shè)備的內(nèi)置組件發(fā)布。它們被認(rèn)為是任何傳統(tǒng)安全系統(tǒng)和網(wǎng)絡(luò)配置的重要組成部分。硬件防火墻幾乎總是帶有至少四個(gè)允許連接到多個(gè)系統(tǒng)的網(wǎng)絡(luò)端口。對(duì)于更大的網(wǎng)絡(luò)，可以使用更廣泛的網(wǎng)絡(luò)防火墻解決方案。
2. 軟件防火墻：它們安裝在計(jì)算機(jī)上，或由操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備制造商提供。它們可以定制，并提供對(duì)功能和保護(hù)特性的較小級(jí)別的控制。軟件防火墻可以保護(hù)系統(tǒng)免受標(biāo)準(zhǔn)控制和訪問嘗試的影響，但會(huì)遇到更復(fù)雜的網(wǎng)絡(luò)漏洞。

防火墻被認(rèn)為是一種端點(diǎn)保護(hù)技術(shù)。在保護(hù)隱私信息方面，防火墻可以被認(rèn)為是第一道防線，但它不能是唯一的一道防線。

防火墻類型

依靠防火墻來保護(hù)家庭和企業(yè)網(wǎng)絡(luò)。一個(gè)簡(jiǎn)單的防火墻程序或設(shè)備將篩選通過網(wǎng)絡(luò)傳遞的所有信息——這個(gè)過程也可以根據(jù)用戶的需求和防火墻的功能進(jìn)行定制。有許多主要的防火墻類型可以防止有害信息通過網(wǎng)絡(luò)：

1. 應(yīng)用層防火墻：這是一個(gè)硬件設(shè)備、軟件過濾器或服務(wù)器插件。它在定義的應(yīng)用程序（如 FTP 服務(wù)器）之上分層安全機(jī)制，并定義 HTTP 連接規(guī)則。這些規(guī)則是為每個(gè)應(yīng)用程序構(gòu)建的，以幫助識(shí)別和阻止對(duì)網(wǎng)絡(luò)的攻擊。
2. 數(shù)據(jù)包過濾防火墻：此過濾器檢查通過網(wǎng)絡(luò)的每個(gè)數(shù)據(jù)包，然后按照用戶設(shè)置的規(guī)則的定義接受或拒絕它。數(shù)據(jù)包過濾非常有用，但正確配置可能具有挑戰(zhàn)性。此外，它容易受到 IP 欺騙的影響。
3. 電路級(jí)防火墻：一旦建立了 UDP 或 TCP 連接，這種防火墻類型就會(huì)應(yīng)用各種安全機(jī)制。建立連接后，數(shù)據(jù)包將直接在主機(jī)之間交換，無需進(jìn)一步監(jiān)督或過濾。
4. 代理服務(wù)器防火墻：此版本將檢查所有進(jìn)入或離開網(wǎng)絡(luò)的消息，然后隱藏真實(shí)的網(wǎng)絡(luò)地址以防止任何外部檢查。
5. 下一代防火墻 (NGFW)：它們通過過濾通過網(wǎng)絡(luò)移動(dòng)的流量來工作——過濾由應(yīng)用程序或流量類型以及它們分配到的端口決定。這些功能包括標(biāo)準(zhǔn)防火墻與附加功能的混合，以幫助進(jìn)行更強(qiáng)大、更自給自足的網(wǎng)絡(luò)檢查。
6. 狀態(tài)防火墻：有時(shí)也稱為第三代防火墻技術(shù)，狀態(tài)過濾完成兩件事：基于目標(biāo)端口的流量分類，以及內(nèi)部連接之間每次交互的數(shù)據(jù)包跟蹤。這些較新的技術(shù)提高了可用性并有助于擴(kuò)展訪問控制粒度——交互不再由端口和協(xié)議定義。狀態(tài)表中數(shù)據(jù)包的歷史也被測(cè)量。

所有這些網(wǎng)絡(luò)防火墻類型對(duì)高級(jí)用戶都很有用，而且許多防火墻允許將這些技術(shù)中的兩種或多種相互配合使用。

為什么網(wǎng)絡(luò)防火墻很重要

如果沒有防火墻，如果一臺(tái)計(jì)算機(jī)有一個(gè)可公開尋址的 IP——例如，如果它通過以太網(wǎng)直接連接——那么當(dāng)前在該設(shè)備上運(yùn)行的任何網(wǎng)絡(luò)服務(wù)都可以被外界訪問。任何連接到 Internet 的計(jì)算機(jī)網(wǎng)絡(luò)也有遭受攻擊的潛在風(fēng)險(xiǎn)。如果沒有防火墻，這些網(wǎng)絡(luò)就容易受到惡意攻擊。例如：

1. 如果您的網(wǎng)絡(luò)連接到 Internet，某些類型的惡意軟件會(huì)想方設(shè)法將部分硬件帶寬用于其自身目的。
2. 某些類型的惡意軟件旨在訪問您的網(wǎng)絡(luò)以使用敏感信息，例如信用卡信息、銀行帳號(hào)或其他專有數(shù)據(jù)（例如客戶信息）。
3. 其他類型的惡意軟件旨在簡(jiǎn)單地破壞數(shù)據(jù)或關(guān)閉網(wǎng)絡(luò)。

為了全方位的安全，防火墻應(yīng)該放置在任何連接到互聯(lián)網(wǎng)的網(wǎng)絡(luò)之間，企業(yè)應(yīng)該制定明確的計(jì)算機(jī)安全計(jì)劃，對(duì)外部網(wǎng)絡(luò)和數(shù)據(jù)存儲(chǔ)制定政策。在云時(shí)代，網(wǎng)絡(luò)防火墻可以做的不僅僅是保護(hù)網(wǎng)絡(luò)。它們還可以幫助確保您擁有不間斷的網(wǎng)絡(luò)可用性和對(duì)云托管應(yīng)用程序的可靠訪問。