防火墻是基本但必不可少的安全層，充當您的專用網絡和外部世界之間的屏障。從第一代無狀態防火墻到下一代防火墻，防火墻架構在過去四年中發生了巨大的變化。如今，組織可以在多種類型的防火墻之間進行選擇——包括應用程序級網關（代理防火墻）、狀態檢測防火墻和電路級網關——甚至可以同時使用多種類型的防火墻來實現更深層次的綜合安全解決方案。了解有關各種類型防火墻的基礎知識、它們之間的差異以及每種類型如何以不同的方式保護您的網絡。

什么是防火墻，它的用途是什么？

防火墻是一種安全工具，可以監控傳入和/或傳出的網絡流量，以根據預定義的規則檢測和阻止惡意數據包，只允許合法流量進入您的專用網絡。作為硬件、軟件或兩者兼而有之，防火墻通常是您抵御惡意軟件、病毒和攻擊者試圖進入您組織的內部網絡和系統的第一道防線。

就像建筑物主入口處的金屬探測器門一樣，物理或硬件防火墻在允許每個數據包進入之前對其進行檢查。它檢查源地址和目標地址，并根據預定義的規則確定數據包是否應該通過與否。一旦數據包進入組織的 Intranet，軟件防火墻可以進一步過濾流量，以允許或阻止對計算機系統上特定端口和應用程序的訪問，從而更好地控制和保護內部威脅。

訪問控制列表可以定義不可信的特定 Internet 協議 (IP) 地址。防火墻將丟棄來自這些 IP 的任何數據包。或者，訪問控制列表可以指定受信任的源 IP，而防火墻將只允許來自這些列出的 IP 的流量。有幾種設置防火墻的技術。它們提供的安全范圍通常還取決于防火墻的類型及其配置方式。

軟件和硬件防火墻

在結構上，防火墻可以是軟件、硬件或軟件和硬件的組合。

軟件防火墻

軟件防火墻單獨安裝在各個設備上。它們提供更精細的控制，因為它們可以允許訪問一個應用程序或功能，同時阻止其他應用程序或功能。但是它們在資源方面可能很昂貴，因為它們利用了安裝它們的設備的 CPU 和 RAM，并且管理員必須為每個設備單獨配置和管理它們。此外，Intranet 中的所有設備可能與單個軟件防火墻不兼容，可能需要多個不同的防火墻。

硬件防火墻

另一方面，硬件防火墻是物理設備，每個設備都有自己的計算資源。它們充當內部網絡和 Internet 之間的網關，將數據包和來自私有網絡外部不受信任來源的流量請求保留。物理防火墻對于在同一網絡上擁有許多設備的組織來說很方便。雖然它們在惡意流量到達任何端點之前就阻止了它，但它們不提供針對內部攻擊的安全性。因此，軟件和硬件防火墻的組合可以為您組織的網絡提供最佳的安全性。

四種類型的防火墻

防火墻還根據其操作方式進行分類，每種類型都可以設置為軟件或物理設備。根據它們的操作方法，有四種不同類型的防火墻。

1.包過濾防火墻

包過濾防火墻是最古老、最基本的防火墻類型。在網絡層操作，他們只需根據預定義的規則檢查數據包的源 IP 和目標 IP、協議、源端口和目標端口，以確定是通過還是丟棄數據包。包過濾防火墻本質上是無狀態的，獨立監控每個數據包，而不需要跟蹤已建立的連接或之前通過該連接的數據包。這使得這些防火墻在防御高級威脅和攻擊方面的能力非常有限。

包過濾防火墻快速、便宜且有效。但是他們提供的安全性是非常基本的。由于這些防火墻無法檢查數據包的內容，因此它們無法防止來自受信任源 IP 的惡意數據包。由于是無狀態的，它們也容易受到源路由攻擊和小片段攻擊。但是，盡管包過濾防火墻的功能極少，但它們為現代防火墻鋪平了道路，以提供更強大和更深入的安全性。

2.電路級網關

在會話層工作，電路級網關驗證已建立的傳輸控制協議 (TCP) 連接并跟蹤活動會話。它們與包過濾防火墻非常相似，因為它們執行單一檢查并使用最少的資源。但是，它們在開放系統互連 (OSI) 模型的更高層運行。首先，它們確定已建立連接的安全性。當內部設備發起與遠程主機的連接時，電路級網關代表內部設備建立虛擬連接，以隱藏內部用戶的身份和 IP 地址。

電路級網關具有成本效益、簡單化并且對網絡性能幾乎沒有任何影響。然而，它們無法檢查數據包的內容，這使得它們本身就成為一個不完整的安全解決方案。如果包含惡意軟件的數據包具有合法的 TCP 握手，則可以輕松繞過電路級網關。這就是為什么通常在電路級網關之上配置另一種類型的防火墻以提供額外保護的原因。

3. 狀態檢測防火墻

領先于電路級網關的狀態檢測防火墻除了驗證和跟蹤已建立的連接外，還執行數據包檢測以提供更好、更全面的安全性。它們通過在建立連接后創建包含源 IP、目標 IP、源端口和目標端口的狀態表來工作。他們動態創建自己的規則以允許預期的傳入網絡流量，而不是依賴基于此信息的硬編碼規則集。它們方便地丟棄不屬于經過驗證的活動連接的數據包。

狀態檢查防火墻檢查合法連接以及源和目標 IP 以確定哪些數據包可以通過。盡管這些額外檢查提供了高級安全性，但它們會消耗大量系統資源并且會顯著降低流量。因此，它們容易受到 DDoS（分布式拒絕服務攻擊）的影響。

4. 應用級網關（代理防火墻）

應用層網關，也稱為代理防火墻，是通過代理設備在應用層實現的。不是外部人員直接訪問您的內部網絡，而是通過代理防火墻建立連接。外部客戶端向代理防火墻發送請求。在驗證請求的真實性后，代理防火墻代表客戶端將其轉發到內部設備或服務器之一。或者，內部設備可以請求訪問網頁，并且代理設備將轉發該請求，同時隱藏內部設備和網絡的身份和位置。

與包過濾防火墻不同，代理防火墻執行狀態和深度包檢查，以根據一組用戶定義的規則分析數據包的上下文和內容。根據結果??，它們要么允許要么丟棄數據包。它們通過阻止內部系統和外部網絡之間的直接連接來保護敏感資源的身份和位置。但是，配置它們以實現最佳網絡保護可能有點困難。您還必須記住權衡 - 代理防火墻本質上是主機和客戶端之間的額外屏障，導致相當大的減速。

哪種類型的防火墻最適合我的組織？

沒有一種萬能的解決方案可以滿足每個組織的獨特安全要求。事實上，每一種不同類型的防火墻都有其自身的優點和局限性。包過濾防火墻簡單但提供有限的安全性，而狀態檢查和代理防火墻可能會損害網絡性能。下一代防火墻似乎是一個完整的軟件包，但并非所有組織都有預算或資源來成功配置和管理它們。

隨著攻擊變得更加復雜，您的組織的安全防御必須迎頭趕上。保護內部網絡外圍免受外部威脅的單一防火墻是不夠的。專用網絡中的每項資產也需要自己的個人保護。最好采用分層的安全方法，而不是依賴單個防火墻的功能。當您可以在專為您組織的安全需求而優化的架構中利用多個防火墻的優勢時，為什么還要選擇一個呢？