全球范圍內，每39 秒就會發生一次新的網絡攻擊。一半的英國企業報告稱在過去 12 個月內遭受過安全攻擊，展望 2025 年，網絡犯罪在全球造成的年度損失預計將達到10.5 萬億美元。

戴爾首席執行官邁克爾·戴爾表示：“我想提醒所有企業主，要高度重視網絡安全問題。對于小型、快速發展的企業來說，風險同樣巨大，甚至更大。”

其中一個風險是財務風險。例如，單次數據泄露的平均總成本估計為480 萬美元。但對企業構成威脅的不僅僅是財務后果。企業敏感數據和知識產權的暴露可能更具破壞性。重建丟失的數據成本高昂，甚至不可能，重建公司聲譽和修復由此造成的公眾信任缺失也是如此。正如GroupeSEB 首席信息安全官 Stéphane Nappo所說：“建立聲譽需要 20 年時間，而幾分鐘的網絡事件就會毀掉它。”

為了降低這些風險，防火墻自 20 世紀 80 年代開發以來一直是一種一致的安全做法。75 % 的英國企業采用了覆蓋整個網絡或單個設備的防火墻。問題是，哪種類型的防火墻適合您？

本博客將介紹防火墻的工作原理、硬件和軟件防火墻之間的區別以及此類安全保護的未來。

什么是防火墻以及它如何工作？

防火墻是一種過濾進入設備的流量的安全系統。它配置為了解哪些流量是安全的，哪些流量可能構成威脅。過濾基于數據包數據，例如源、目標和內容。將防火墻視為數據守門人。

硬件防火墻與軟件防火墻

防火墻主要有兩種類型：

• 硬件（網絡）防火墻
• 軟件（操作系統）防火墻

顧名思義，硬件防火墻位于網絡內，而軟件防火墻安裝在設備本身的操作系統 (OS) 中。

硬件防火墻

硬件防火墻是位于您的專用網絡和公共網絡（互聯網）之間的物理設備。它會檢查所有進出的流量，以確保沒有惡意程序通過。

硬件防火墻可以插入開放系統通信 (OSI) 模型的第 3 層（網絡）和第 4 層（傳輸），并保護連接到網絡的每個設備。常見示例包括 Cisco ASA 和 SonicWall 網絡安全設備。

軟件防火墻

軟件防火墻是一種直接安裝在計算機或服務器操作系統上的應用程序。軟件防火墻由用戶或系統管理員管理，可監視您的網絡流量并阻止任何可疑內容。與硬件防火墻不同，軟件防火墻保護的是單個機器，而不是整個網絡。

常見的例子包括 Windows 防火墻、MacOS 和 Linux 上的內置防火墻。

如何在硬件和軟件防火墻之間進行選擇

在網絡上運行防火墻和在操作系統上運行防火墻是兩種完全不同的過濾傳入流量的方法。確定哪種防火墻最適合您的最佳方法是回答以下問題：我需要保護多少臺設備？

如果您負責管理多個設備，并且這些設備都需要遵循相同的防火墻配置，那么硬件防火墻是最有效、最安全的選擇。由于數據在網絡級別受到嚴格審查，因此該網絡上的每個設備都受到相同的保護。而且由于硬件防火墻與其所保護的設備是分開的，因此不會產生性能開銷。

這使得硬件防火墻非常適合：

• 保護整個公司的網絡免受外部威脅
• 實施適用于組織中每個人的廣泛安全政策
• 管理網絡不同部分（如內部網絡和來賓網絡）之間的流量

但請注意：您需要一個具有專業知識的團隊來設置、管理和手動更新硬件防火墻。如果您的防火墻在沒有冗余計劃的情況下發生故障，則該網絡下的每個設備都將自動失去連接。以冗余方式運行兩個硬件防火墻可以減輕您的網絡完全依賴一個防火墻的風險。

但是，如果您只想保護一臺設備，那么運行硬件防火墻所需的成本、維護和專業知識通常不值得。這時軟件防火墻可能是答案。軟件防火墻易于設置，可以明確允許哪些應用程序連接，并且通常是免費的，因為它們內置在操作系統中。

軟件防火墻適用于：

• 保護單個服務器或工作站
• 在網絡防火墻上添加額外的安全層
• 保護用于遠程工作的筆記本電腦和移動設備

然而，惡意軟件可以禁用軟件防火墻，而且由于它們直接安裝到設備上，它們會使用機器的一些資源，這可能會影響整體性能。

下一代防火墻

網絡安全是一場持續不斷的軍備競賽。盡管安全工具已經開發出來以緩解攻擊，但新的攻擊方法很快就會出現。

下一代防火墻 (NGFW) 是試圖解決該問題的最新防火墻技術。NGFW 具有最先進的防火墻功能；它們不僅過濾流量，還對加密流量進行深度數據包檢查、阻止入侵并與威脅情報源集成，因此它們始終能夠及時了解最新的攻擊。

NGFW 作為更先進的硬件防火墻安裝到網絡上，允許對數據包進行分析直至OSI 模型的第7層（應用程序層）——比傳統防火墻更深。

雖然它們通常比傳統的硬件防火墻更昂貴，并且由于其先進的功能設置起來可能更復雜，但它們提供了針對網絡攻擊的最佳整體防火墻保護。

防火墻所需的功能

流量過濾

流量過濾會分析每個數據包并根據您預先配置的策略標準對其進行評估，因此它知道是否允許或阻止流量。這些過濾器的范圍包括限制來自某個用戶類型或組的流量，以及限制特定 IP 地址、協議和端口號。

訪問控制

如果說流量過濾就像是網絡入口處的安全檢查點，那么訪問控制就是決定什么可以進入網絡的哪個部分。通過配置權限并了解哪些角色可以訪問網絡的不同部分，默認情況下，所有其他傳入或傳出的流量都會被拒絕。

安全日志

網絡行為的記錄和監控通常需要遵守安全合規性法規，以確保盡早發現安全事件，從而幫助最大限度地減少違規行為的影響。記錄還使管理員能夠發現模式并分析趨勢（例如經常訪問的 IP 和應用程序），以便他們可以優化這些領域的安全性。

如何獲取防火墻的來源

如果軟件防火墻沒有自動安裝到操作系統上，那么獨立獲取軟件防火墻就像從值得信賴的提供商處下載一樣簡單。

另一方面，硬件防火墻需要由專家團隊執行幾個階段，例如：

• 評估安全需求和網絡映射
• 安全政策和冗余規劃
• 物理設置和配置
• 測試和驗證
• 持續監控、管理和維護

如果此過程超出了您的資源范圍，但您仍然需要硬件防火墻，那么基礎設施即服務 (IaaS)可能會有所幫助。如果您與服務器托管提供商合作，那么防火墻即服務 (FaaS) 是一個附加功能，提供商將為您管理和維護硬件防火墻。您仍然可以控制其所有配置。

默認拒絕，例外允許

首先，逆向思考并采用“全部拒絕”策略（默認情況下阻止所有傳入和傳出流量）是配置防火墻最安全的方法。

通過從完全拒絕的基線開始，您可以從一開始就消除任何非法流量的風險。有了這個基礎，您就可以逆向打開您信任的來源的大門。這意味著在您的流量過濾和訪問控制中概述精確的規則。

但完成防火墻的設置并不意味著您的工作已經完成。定期的規則審查可確保防火墻與不斷發展的業務實踐保持同步，例如網絡結構的任何變化、新應用程序或已停用的服務。不響應這些變化可能會造成漏洞，讓潛在攻擊者有機會找到您防御中過時的點。這些發現可以指導新政策，確保防火墻與組織以相同的速度發展。我們建議每隔幾個月進行一次審查。

您的數據需要保護

網絡安全需求從未如此高漲。在數據是我們最寶貴的財富的時代，企業保護自己和客戶免受潛在威脅至關重要。

防火墻是一種久經考驗的安全措施，可讓企業為整個網絡或單個設備提供保護。通過 NGFW，網絡防火墻不斷發展，確保能夠抵御最新的攻擊方法。