真正的談話？我們大多數(shù)人都知道防火墻是網(wǎng)絡(luò)安全的重要組成部分，但不知道防火墻是如何工作的或它們實際做了什么。信不信由你，有多種類型的防火墻，每種類型都提供不同的保護、優(yōu)點和缺點。為您的企業(yè)規(guī)模和類型選擇正確的防火墻類型可以對您企業(yè)的在線安全產(chǎn)生巨大影響。別擔(dān)心——我們隨時為您提供幫助。

我們已經(jīng)深入研究了網(wǎng)絡(luò)安全領(lǐng)域。我們已經(jīng)弄清楚了行業(yè)術(shù)語，并弄清楚了數(shù)據(jù)包過濾和應(yīng)用層檢查之間的區(qū)別。我們還提供了一系列建議，旨在幫助您找到適合您業(yè)務(wù)需求的完美防火墻解決方案。

適合企業(yè)的最佳防火墻類型

• Windows Defender 或 OS X 應(yīng)用程序防火墻:最適合創(chuàng)業(yè)者
• 第三方軟件防火墻：最適合處理敏感數(shù)據(jù)的個人
• 防火墻和殺毒軟件:最適合小型企業(yè)
• 基本路由器:最佳預(yù)算選項
• 防火墻路由器:最適合中型企業(yè)
• VPN路由器：最適合擁有多個地點的企業(yè)
• 負載均衡器：最適合托管自己網(wǎng)站的企業(yè)
• 統(tǒng)一威脅管理 (UTM):最適合大型企業(yè)

Windows Defender 或 OS X 應(yīng)用程序防火墻：最適合獨行者

大多數(shù)人沒有意識到他們的 Windows 或 Mac 計算機已經(jīng)包含免費的防火墻軟件。因此，如果您是一個獨立經(jīng)營小型企業(yè)的個人，您可能已經(jīng)擁有所需的所有入侵保護——無需昂貴的第三方防火墻。

如果您有一臺 Windows 計算機，則您的操作系統(tǒng)已經(jīng)包含 Windows Defender — Microsoft 的免費防火墻軟件。Windows Defender 是一個狀態(tài)檢查防火墻，因此它會在每次在線交換時分析 TCP 握手和數(shù)據(jù)包標簽（稍后會詳細介紹）。它已在您的計算機上預(yù)先啟用，因此您無需執(zhí)行任何操作即可開始使用。

在 Apple 計算機上，您會獲得 OS X 應(yīng)用程序防火墻——一種監(jiān)控 TCP 握手的電路級網(wǎng)關(guān)軟件。雖然它允許您設(shè)置自己的防火墻規(guī)則，但它不使用數(shù)據(jù)包過濾，這使得它不如免費的 Windows 防火墻可靠。而且它沒有預(yù)先啟用，因此請務(wù)必在連接到 Internet 之前打開您的防火墻軟件。

還要記住，Windows Defender 和 OS X 應(yīng)用程序防火墻都是軟件防火墻，因此它們只能保護您的個人計算機 - 因此我們將它們推薦給個人，而不是大公司。它們也相當基礎(chǔ)，因此如果您要處理大量敏感數(shù)據(jù)（如客戶信用卡號、地址或電話號碼），您可能需要升級到第三方軟件防火墻。

第三方軟件防火墻：最適合處理敏感數(shù)據(jù)的個人

第三方防火墻補充了您計算機上現(xiàn)有的防火墻軟件。它們提供額外的安全功能來幫助阻止?jié)撛诘木W(wǎng)絡(luò)犯罪分子。每個第三方防火墻解決方案都提供了不同的功能組合，因此您可能需要進行一些購物才能找到適合您需求的軟件。但功能可能包括額外的深度數(shù)據(jù)包檢測層、反垃圾郵件功能、數(shù)據(jù)備份等等——可能性幾乎是無窮無盡的。

如果您是處理敏感數(shù)據(jù)的個人，我們建議您使用此選項，因為它為您提供了額外的工具和保護措施，以確保數(shù)據(jù)的安全，同時價格實惠且易于管理。

話雖如此，擁有多名員工的公司可能更喜歡硬件防火墻。由于軟件防火墻只能保護安裝了軟件的設(shè)備，因此它不能保護您的整個網(wǎng)絡(luò)。此外，您必須在網(wǎng)絡(luò)上的每臺設(shè)備（甚至是移動設(shè)備?。┥鲜謩影惭b和更新軟件。根據(jù)軟件的不同，您可能還必須為每臺設(shè)備購買單獨的許可證，這很昂貴——尤其是考慮到許多第三方防火墻的價格。

不過，不要誤會我們的意思——在公司設(shè)備上安裝軟件防火墻仍然很重要。如果您網(wǎng)絡(luò)上的每臺設(shè)備都有軟件防火墻，那么即使有一臺設(shè)備被滲透，您的網(wǎng)絡(luò)仍然受到保護。軟件防火墻還允許您的員工在他們最喜歡的咖啡館工作，并享受與辦公室相同的在線安全性。我們只是說復(fù)雜的第三方軟件防火墻可能不適用于大公司——至少不能作為您的主要網(wǎng)絡(luò)安全解決方案。

防火墻 + 防病毒軟件：最適合小型企業(yè)

您擁有的員工越多，您網(wǎng)絡(luò)上的某個人就越有可能意外安裝惡意軟件或下載計算機病毒。這就是為什么我們認為最好的小型企業(yè)防火墻是防火墻+防病毒軟件的組合。

包含防病毒軟件的防火墻使用深度數(shù)據(jù)包檢查來識別和拒絕包含惡意軟件或病毒的文件、消息和其他形式的數(shù)據(jù)。因此，與常規(guī)防火墻相比，它們具有更好的入侵檢測記錄。通常，此類軟件充當 Web 應(yīng)用程序防火墻，因此無論您使用哪個應(yīng)用程序訪問互聯(lián)網(wǎng)，它都能確保您的安全。

請記住，此建議仍然是軟件防火墻，因此它具有與第三方軟件防火墻相同的所有缺點。話雖如此，我們認為如果您的員工人數(shù)超過幾個，那么在每位員工的設(shè)備上安裝和更新軟件所帶來的額外成本和不便都是值得的（因為“捕獲”惡意軟件或病毒的機會會隨著您的人數(shù)增加而增加）帶進來）。

基本路由器：最佳預(yù)算選項

如果您經(jīng)營一家擁有多名員工的小型企業(yè)，那么您很可能已經(jīng)投資了一個基本的 Wi-Fi 路由器，因此辦公室中的每個人都可以同時連接到互聯(lián)網(wǎng)。如果是這樣，您已經(jīng)獲得了基本的防火墻保護。

Wi-Fi 路由器是一種出色的低預(yù)算、小型企業(yè)防火墻解決方案，因為路由器會自動阻止任何不符合基本安全參數(shù)（當然，由您設(shè)置）的外部流量。這基本上使您的路由器成為無狀態(tài)防火墻，像保鏢一樣監(jiān)控TCP 握手，以確保每個傳入的請求都在您的內(nèi)部網(wǎng)絡(luò)的“列表”上。

當然，這意味著您的路由器只能提供最低限度的網(wǎng)絡(luò)安全性——如果您要處理大量不想被泄露的敏感數(shù)據(jù)，這并不理想。在這種情況下，您可能應(yīng)該升級到防火墻路由器或第三方軟件防火墻。

不過，從好的方面來說，路由器是硬件防火墻，因此它可以保護網(wǎng)絡(luò)上的所有設(shè)備。這可以節(jié)省您的資金，因為您不必為每個員工的計算機購買許可證。此外，您只需 10 美元就可以找到基本的路由器，而且您不必浪費寶貴的業(yè)務(wù)時間在每位員工的計算機上更新、監(jiān)控和安裝防火墻。

防火墻路由器：最適合中型企業(yè)

隨著業(yè)務(wù)的發(fā)展，在每個員工設(shè)備上安裝和維護防火墻軟件變得越來越不切實際——至少作為網(wǎng)絡(luò)安全的主要形式。在這種情況下，一次保護整個網(wǎng)絡(luò)的硬件防火墻可能是更好的解決方案。輸入防火墻路由器。

防火墻路由器通過添加更復(fù)雜的防火墻規(guī)則來更好地識別安全威脅，從而升級您使用基本路由器獲得的安全性。某些型號提供狀態(tài)安全防火墻、內(nèi)置防病毒軟件（通過您的路由器而不是單個設(shè)備運行）、應(yīng)用程序監(jiān)控和“家長”控制，以阻止員工訪問危險站點（或任何您認為不適合工作的站點）。

這意味著您可以獲得軟件防火墻的所有保護，但您可以在一臺設(shè)備中控制所有設(shè)置和更新。此外，您還可以為連接到 Wi-Fi 網(wǎng)絡(luò)的每臺設(shè)備（包括移動設(shè)備）提供保護。

VPN路由器：最適合擁有多個地點的企業(yè)

如果您的業(yè)務(wù)分布在多個辦公室，或者您有遠程員工，您就會知道讓每個人都在同一頁面上是多么困難。不過，好消息是：使用 VPN 路由器，它會變得更容易并提高您的安全性。

通常，只有 Internet 連接上的設(shè)備才能訪問您的內(nèi)部網(wǎng)絡(luò)。這意味著設(shè)備必須物理存在于同一位置才能相互連接以進行文件共享、打印和其他內(nèi)部網(wǎng)絡(luò)功能。

但是使用虛擬專用網(wǎng)絡(luò)（或 VPN），您可以通過 VPN 隧道將您的私有內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)擴展到其他批準的設(shè)備和網(wǎng)絡(luò)。這些隧道充當數(shù)據(jù)分層的另一層（例如將一封信放入盒子內(nèi)的信封中），過濾掉試圖滲透您內(nèi)部網(wǎng)絡(luò)連接的黑客的攻擊。

VPN 路由器簡化了這個過程。當您的每個地點都使用 VPN 路由器時，您的路由器可以相互通信，有效地將每個辦公室的內(nèi)部網(wǎng)絡(luò)組合成一個大型專用網(wǎng)絡(luò)。最后，這使得與遠程員工和辦公室的溝通和協(xié)作變得更加容易，同時仍然享受全公司范圍內(nèi)的高水平網(wǎng)絡(luò)安全。

負載均衡器：最適合托管自己網(wǎng)站的企業(yè)

如果您的企業(yè)在您自己的服務(wù)器上托管網(wǎng)站，那么除了您的專用網(wǎng)絡(luò)防火墻解決方案之外，您可能還需要一個負載平衡器。托管網(wǎng)站時，您的服務(wù)器需要面向外部，這意味著公眾可以訪問存儲在您服務(wù)器上的數(shù)據(jù)。否則，用戶將無法加載您的網(wǎng)站。但您還希望保護您的服務(wù)器免受黑客和其他惡意在線實體的侵害。幸運的是，負載平衡器可以充當自動防火墻，就像內(nèi)部網(wǎng)絡(luò)的路由器一樣。

負載均衡器在您的服務(wù)器之間分配傳入流量。這樣，沒有單個服務(wù)器會被同時請求所淹沒。負載平衡不僅使您的托管網(wǎng)站加載速度更快，還可以保護您的企業(yè)免受 DDOS 攻擊（黑客劫持多個系統(tǒng)以壓倒您的服務(wù)器并使您的網(wǎng)站崩潰）。

如果您已經(jīng)在使用負載平衡，則可能不需要另一個防火墻來保護您的服務(wù)器。負載平衡器已經(jīng)監(jiān)視TCP 握手并執(zhí)行數(shù)據(jù)包過濾功能以確定分發(fā)傳入請求的最有效方式。換句話說，它已經(jīng)充當了狀態(tài)防火墻并丟棄了惡意傳入流量。少一件需要擔(dān)心的事情，對吧？

統(tǒng)一威脅管理 (UTM)：最適合大型企業(yè)

如果您經(jīng)營大型企業(yè)級業(yè)務(wù)，您可能需要比路由器或單個軟件更復(fù)雜的安全解決方案。在這種情況下，您可能需要考慮統(tǒng)一威脅管理 (UTM) 解決方案。

每個 UTM 產(chǎn)品都是不同的——有些是物理設(shè)備，有些是軟件，有些是基于云的，有些是這三者的組合。但是，無論采用何種實施方法，所有 UTM 解決方案都旨在為您的所有安全需求提供一站式服務(wù)。

UTM 解決方案通常在一個地方提供防火墻、防病毒、VPN 和其他入侵檢測和防御功能。這樣一來，您就可以對 Wi-Fi 網(wǎng)絡(luò)（或虛擬專用網(wǎng)絡(luò)）上所有設(shè)備上的所有 Web 應(yīng)用程序進行深度數(shù)據(jù)包過濾，但所有這些都在一個地方進行控制。

UTM 解決方案的確切成本可能會因您選擇的提供商、業(yè)務(wù)規(guī)模以及 UTM 包含的特定功能組合而有很大差異。一些 UTM 的成本與第三方軟件防火墻大致相同。但要為更高的總體成本做好準備——畢竟，您正在將防病毒保護、VPN 安全、軟件防火墻和硬件防火墻整合到一個解決方案中。

要知道的防火墻術(shù)語

防火墻提供商使用了很多行話，這使得很難理解每個選項實際提供的內(nèi)容。所以這里是我們在本文中經(jīng)常使用的一些術(shù)語的快速和骯臟的細分。

TCP 握手

TCP聽起來像是毒品或高端清潔產(chǎn)品，但實際上是傳輸控制協(xié)議的簡稱。每個在線設(shè)備都使用 TCP 連接到互聯(lián)網(wǎng)，當兩個設(shè)備想要相互連接時，它們使用 TCP 握手。

因此，假設(shè)您使用筆記本電腦并想要訪問一個網(wǎng)站。您的計算機會向托管該網(wǎng)站的服務(wù)器發(fā)送稱為SYNchronize的請求。然后，服務(wù)器將發(fā)回所謂的ACKnowledge響應(yīng)。最后，您的計算機會以自己的ACKnowledge響應(yīng)作為回報，并且——瞧！——你已連接到該網(wǎng)站。

這與防火墻和網(wǎng)絡(luò)安全有什么關(guān)系？聰明的黑客可以偽造 TCP 握手并使用它來訪問您企業(yè)的內(nèi)部網(wǎng)絡(luò)。這就是防火墻保護如此重要的最基本原因之一。

電路級網(wǎng)關(guān)

一些防火墻充當電路級網(wǎng)關(guān)，這意味著它們監(jiān)視您的設(shè)備或網(wǎng)絡(luò)上的 TCP 握手以確定這些會話是否合法。這種類型的網(wǎng)絡(luò)過濾是一種非?；镜陌踩鉀Q方案，但它可以幫助保護您免受黑客試圖偽造 TCP 握手以訪問您公司的專用網(wǎng)絡(luò)。

電路級網(wǎng)關(guān)還會屏蔽網(wǎng)絡(luò)上每個設(shè)備的單獨 IP 地址。相反，所有來自您網(wǎng)絡(luò)的傳出流量都會被賦予一個 ID，該 ID 與您的電路級網(wǎng)關(guān)設(shè)備（通常是路由器）的 IP 地址一起使用。這為您的公司和員工提供了額外的隱私保護。

包過濾

互聯(lián)網(wǎng)上的數(shù)據(jù)是通過數(shù)據(jù)包傳輸?shù)摹?shù)據(jù)包想象成信封：外部標有遞送信息（遞送地址、退貨地址等），而內(nèi)部包含實際消息。TCP 握手完成后，您嘗試訪問的網(wǎng)站會發(fā)送一個數(shù)據(jù)包。該數(shù)據(jù)包標有您的 IP 地址（交付地址）和源 IP（發(fā)件人地址），其中包含您的計算機用于加載頁面的少量數(shù)據(jù)。

包過濾是一個安全過程，您的防火墻會檢查發(fā)送到您 IP 地址的任何數(shù)據(jù)包外部的標簽。數(shù)據(jù)包過濾安全解決方案使用一組預(yù)定義的防火墻規(guī)則（由您控制??）來確定（基于數(shù)據(jù)包標簽）傳入流量是否是惡意的。如果它是惡意的，防火墻會丟棄數(shù)據(jù)包，從而拒絕訪問您的網(wǎng)絡(luò)并保護您免受黑客攻擊。

無狀態(tài)防火墻

無狀態(tài)防火墻是一種僅使用數(shù)據(jù)包過濾來監(jiān)控您的在線連接的防火墻。雖然包過濾無疑是阻止惡意流量進入網(wǎng)絡(luò)的有效方法，但它仍然相當基本，因為它只考慮傳入數(shù)據(jù)包的外部標簽。因此，無狀態(tài)防火墻（雖然通常有效）不會使用更復(fù)雜的加密來識別欺詐連接。也就是說，無狀態(tài)防火墻可能仍帶有其他安全功能（如應(yīng)用程序監(jiān)控），因此您當然不應(yīng)該將它們排除在外。

狀態(tài)檢測防火墻

狀態(tài)檢查防火墻稍微復(fù)雜一些，因為它結(jié)合了 TCP 握手監(jiān)控和基本數(shù)據(jù)包過濾的數(shù)據(jù)包標簽檢查。這使得有狀態(tài)檢查防火墻比單獨的電路級網(wǎng)關(guān)或無狀態(tài)防火墻更安全，但它確實需要額外的計算資源。因此，如果您的小型企業(yè)買不起最新的設(shè)備，則狀態(tài)防火墻可能會降低您的計算機和 Internet 加載速度。

代理深度數(shù)據(jù)包檢測

如果數(shù)據(jù)包是信件，那么代理深度包檢測防火墻就是郵政檢查員。使用深度數(shù)據(jù)包檢查的安全防火墻代表您（通過代理）打開數(shù)據(jù)包，以便分析內(nèi)部的實際內(nèi)容并識別病毒、惡意軟件或其他威脅。這意味著只要您網(wǎng)絡(luò)中的某人試圖訪問可疑應(yīng)用程序或單擊電子郵件中的惡意鏈接，它就會保護您和您的員工。長話短說：深度數(shù)據(jù)包檢測使您的防火墻的入侵檢測更加強大。

下一代防火墻

許多網(wǎng)絡(luò)安全公司喜歡說他們提供“下一代防火墻”。但老實說，這主要只是一個流行語。到目前為止，對于什么是下一代防火墻還沒有行業(yè)標準，在線安全提供商通過在幾乎所有的防火墻產(chǎn)品上貼上“下一代”標簽來利用這一點。因此，如果您已經(jīng)檢查了一些選項并且對下一代防火墻是什么（以及您是否需要）感到困惑，請不要擔(dān)心 - 這不是您。