網(wǎng)絡(luò)防火墻保護(hù)私有云中托管的應(yīng)用程序和數(shù)據(jù)。它們作為您網(wǎng)絡(luò)安全的核心，充當(dāng)所有流量的訪問控制點(diǎn)，并消除未知惡意流量的風(fēng)險(xiǎn)。

在考慮要安裝哪個(gè)網(wǎng)絡(luò)防火墻設(shè)置時(shí)，您需要做出以下決定：您是在服務(wù)器（托管您的應(yīng)用程序和數(shù)據(jù)）和互聯(lián)網(wǎng)之間使用（中央）獨(dú)立防火墻，還是為每個(gè)服務(wù)器設(shè)置防火墻，也稱為（分布式）基于主機(jī)的防火墻？或兩者？

獨(dú)立/傳統(tǒng)防火墻設(shè)置

傳統(tǒng)的中央防火墻本質(zhì)上是組合在一起的路由器、代理和網(wǎng)關(guān)系統(tǒng)。它位于受信任的內(nèi)部網(wǎng)絡(luò)（受其保護(hù)）和不受信任的外部網(wǎng)絡(luò)（例如互聯(lián)網(wǎng)）之間。它不能保護(hù)內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)免受來自其他內(nèi)部系統(tǒng)的攻擊。

防火墻旨在僅允許由防火墻內(nèi)設(shè)置的策略授權(quán)的流量通過。由于不斷增加的線路速度和防火墻必須支持的計(jì)算密集型協(xié)議，中央防火墻也往往成為擁塞點(diǎn)。

在許多情況下，中央硬件防火墻很昂貴，尤其是在您增加需要通過防火墻的容量時(shí)。然而，防火墻也可以基于軟件設(shè)備。軟件防火墻的一個(gè)好處當(dāng)然是您甚至可以在專用或虛擬服務(wù)器上安裝免費(fèi)的軟件防火墻并創(chuàng)建具有成本效益的防火墻。

分布式基于主機(jī)的防火墻設(shè)置

（分布式）基于主機(jī)的防火墻在每個(gè)主機(jī)系統(tǒng)上提供對(duì)外部和內(nèi)部流量的過濾。這也有助于防止從其他內(nèi)部系統(tǒng)入侵內(nèi)部系統(tǒng)。通常基于主機(jī)的防火墻是軟件防火墻。

基于主機(jī)的防火墻的單位成本較低，并且可以基于服務(wù)器操作系統(tǒng)中的防火墻功能或基于附加（軟件）包來實(shí)現(xiàn)。好處包括可以為每個(gè)主機(jī)服務(wù)器定制防火墻策略規(guī)則集。基于主機(jī)的防火墻的性能更易于管理，因?yàn)樗恍枰Ｗo(hù)整個(gè)基礎(chǔ)架構(gòu)的一部分。

評(píng)估獨(dú)立和基于主機(jī)的防火墻

獨(dú)立防火墻設(shè)置的主要好處是易于集中管理。在中央防火墻的情況下需要冗余，因?yàn)檎麄€(gè)基礎(chǔ)設(shè)施都依賴于它。因此，由于需要高性能和冗余，中央防火墻的價(jià)格更高。

基于主機(jī)的防火墻為保護(hù)服務(wù)器提供了很多好處。例如，它提供了大大改進(jìn)的系統(tǒng)保護(hù)，使其免受網(wǎng)絡(luò)內(nèi)其他系統(tǒng)的影響。為每個(gè)系統(tǒng)創(chuàng)建定制的防火墻并支持高容量也更容易。此外，通過分布式防火墻的中央管理工具，中央管理的好處也適用于基于主機(jī)的防火墻。

主要外賣

總體而言，如果您希望確保私有云設(shè)置中的應(yīng)用程序和數(shù)據(jù)安全，則值得將基于主機(jī)的軟件防火墻整合到您的專用和虛擬服務(wù)器上，作為網(wǎng)絡(luò)防火墻設(shè)置的一部分。最終保護(hù)將由基于主機(jī)和基于中央網(wǎng)絡(luò)的解決方案（最好是基于軟件的中央防火墻）的組合提供。這將提供更具成本效益的安全性、靈活性和性能。