網絡邊界防火墻是一種安全的邊界，可為專用網絡和其他公用網絡（例如 Internet）提供主要防御。防火墻可檢測并保護網絡抵御不必要的流量、潛在的危險代碼和入侵企圖。

網絡邊界可能包括：

• 邊界路由器，作為外部不信任網絡的最后一個路由器，引導流量進入、流出和通過網絡。
• 防火墻，作為“把關者”，遵循特定的規則，允許或拒絕特定流量通過，進入內部網絡。
• 入侵檢測系統 (IDS)，作為警報系統，在檢測到可疑活動時發出信號。
• 入侵防御系統 (IPS)，作為高級警報系統和響應系統，將嘗試自動防御網絡攻擊。
• 隔離區或屏蔽子網在不受信任的網絡和內部網絡之間提供了更強的安全層。使用邏輯屏蔽路由器將外部網絡與邊界網絡，邊界網絡與內部網絡分開可實現這一目的。

邊界防火墻如何工作？

防火墻是“把關者”，可以是位于公司網絡與外部不信任網絡之間的軟件或硬件。它們采用以下一種或多種方法來控制流量：

• 靜態數據包篩選：靜態數據包篩選是一種根據數據包標頭尋址信息篩選流量的方法。這在大型企業中通常用于防止訪問被禁網站（如社交媒體）。
• 代理服務：防火墻代理服務器位于內部網絡和外部網絡（如 Internet）之間。代理作為申請者和資源之間的發起中介連接，防止從防火墻任意一側直接傳輸數據包，從而使入侵者更難以從數據包信息中查看網絡的位置。
• 有狀態檢查：有狀態檢查是一種常見的防火墻方法，可記錄傳出流量，并且只允許與初始請求相對應的流量回傳。這樣可以防止來自外部網絡的 IP 欺騙和網絡掃描。

邊界防火墻的優勢是什么？

邊界防火墻是所有網絡安全解決方案的重要組成部分。當前的網絡環境面臨更加復雜的攻擊，但也出現了諸如新一代防火墻 (NGFW) 等先進的解決方案，這些解決方案提供了更高的安全性，以應對新的未知威脅。

傳統防火墻的優勢包括：

• 流量監控：防火墻可詳細監控傳入和傳出的數據包傳輸。它們提供檢測和保護功能，防止惡意內容進入網絡。
• 阻止鍵盤記錄器：鍵盤記錄器是一種間諜軟件，試圖記錄鍵盤輸入操作，竊取重要信息，例如 PIN 碼和帳戶密碼。
• 木馬檢測和防御：木馬是一種干擾代碼，通過附加在計算機文件上偷偷進入網絡。它們可以將網絡漏洞的相關信息轉發給黑客，或者從內部引發更大的惡意攻擊；防火墻可以檢測并抵御特洛伊木馬攻擊。

邊界防火墻有什么風險？

如今，企業在保護其網絡并防御攻擊時面臨著許多風險和挑戰。在規劃邊界防火墻時，必須考慮以下風險：

• Web 服務風險：要提供或使用 Web 服務，可能需要將公司的網絡向外部網絡開放。
• 未知設備風險：員工和用戶通過外部網絡和移動設備連接企業的網絡，增加了滲透的風險。
• 云環境風險：隨著越來越多的企業將其數據和應用遷移到不歸自己所有的基礎架構（例如數據倉庫、云計算和 SAAS）中，它們必須調整其策略以應對當前的風險。