全球范圍內(nèi)，每39 秒就會(huì)發(fā)生一次新的網(wǎng)絡(luò)攻擊。一半的英國(guó)企業(yè)報(bào)告稱(chēng)在過(guò)去 12 個(gè)月內(nèi)遭受過(guò)安全攻擊，展望 2025 年，網(wǎng)絡(luò)犯罪在全球造成的年度損失預(yù)計(jì)將達(dá)到10.5 萬(wàn)億美元。

戴爾首席執(zhí)行官邁克爾·戴爾表示：“我想提醒所有企業(yè)主，要高度重視網(wǎng)絡(luò)安全問(wèn)題。對(duì)于小型、快速發(fā)展的企業(yè)來(lái)說(shuō)，風(fēng)險(xiǎn)同樣巨大，甚至更大?！?/p>

其中一個(gè)風(fēng)險(xiǎn)是財(cái)務(wù)風(fēng)險(xiǎn)。例如，單次數(shù)據(jù)泄露的平均總成本估計(jì)為480 萬(wàn)美元。但對(duì)企業(yè)構(gòu)成威脅的不僅僅是財(cái)務(wù)后果。企業(yè)敏感數(shù)據(jù)和知識(shí)產(chǎn)權(quán)的暴露可能更具破壞性。重建丟失的數(shù)據(jù)成本高昂，甚至不可能，重建公司聲譽(yù)和修復(fù)由此造成的公眾信任缺失也是如此。正如GroupeSEB 首席信息安全官 Stéphane Nappo所說(shuō)：“建立聲譽(yù)需要 20 年時(shí)間，而幾分鐘的網(wǎng)絡(luò)事件就會(huì)毀掉它。”

為了降低這些風(fēng)險(xiǎn)，防火墻自 20 世紀(jì) 80 年代開(kāi)發(fā)以來(lái)一直是一種一致的安全做法。75 % 的英國(guó)企業(yè)采用了覆蓋整個(gè)網(wǎng)絡(luò)或單個(gè)設(shè)備的防火墻。問(wèn)題是，哪種類(lèi)型的防火墻適合您？

本博客將介紹防火墻的工作原理、硬件和軟件防火墻之間的區(qū)別以及此類(lèi)安全保護(hù)的未來(lái)。

什么是防火墻以及它如何工作？

防火墻是一種過(guò)濾進(jìn)入設(shè)備的流量的安全系統(tǒng)。它配置為了解哪些流量是安全的，哪些流量可能構(gòu)成威脅。過(guò)濾基于數(shù)據(jù)包數(shù)據(jù)，例如源、目標(biāo)和內(nèi)容。將防火墻視為數(shù)據(jù)守門(mén)人。

硬件防火墻與軟件防火墻

防火墻主要有兩種類(lèi)型：

• 硬件（網(wǎng)絡(luò)）防火墻
• 軟件（操作系統(tǒng)）防火墻

顧名思義，硬件防火墻位于網(wǎng)絡(luò)內(nèi)，而軟件防火墻安裝在設(shè)備本身的操作系統(tǒng) (OS) 中。

硬件防火墻

硬件防火墻是位于您的專(zhuān)用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間的物理設(shè)備。它會(huì)檢查所有進(jìn)出的流量，以確保沒(méi)有惡意程序通過(guò)。

硬件防火墻可以插入開(kāi)放系統(tǒng)通信 (OSI) 模型的第 3 層（網(wǎng)絡(luò)）和第 4 層（傳輸），并保護(hù)連接到網(wǎng)絡(luò)的每個(gè)設(shè)備。常見(jiàn)示例包括 Cisco ASA 和 SonicWall 網(wǎng)絡(luò)安全設(shè)備。

軟件防火墻

軟件防火墻是一種直接安裝在計(jì)算機(jī)或服務(wù)器操作系統(tǒng)上的應(yīng)用程序。軟件防火墻由用戶(hù)或系統(tǒng)管理員管理，可監(jiān)視您的網(wǎng)絡(luò)流量并阻止任何可疑內(nèi)容。與硬件防火墻不同，軟件防火墻保護(hù)的是單個(gè)機(jī)器，而不是整個(gè)網(wǎng)絡(luò)。

常見(jiàn)的例子包括 Windows 防火墻、MacOS 和 Linux 上的內(nèi)置防火墻。

如何在硬件和軟件防火墻之間進(jìn)行選擇

在網(wǎng)絡(luò)上運(yùn)行防火墻和在操作系統(tǒng)上運(yùn)行防火墻是兩種完全不同的過(guò)濾傳入流量的方法。確定哪種防火墻最適合您的最佳方法是回答以下問(wèn)題：我需要保護(hù)多少臺(tái)設(shè)備？

如果您負(fù)責(zé)管理多個(gè)設(shè)備，并且這些設(shè)備都需要遵循相同的防火墻配置，那么硬件防火墻是最有效、最安全的選擇。由于數(shù)據(jù)在網(wǎng)絡(luò)級(jí)別受到嚴(yán)格審查，因此該網(wǎng)絡(luò)上的每個(gè)設(shè)備都受到相同的保護(hù)。而且由于硬件防火墻與其所保護(hù)的設(shè)備是分開(kāi)的，因此不會(huì)產(chǎn)生性能開(kāi)銷(xiāo)。

這使得硬件防火墻非常適合：

• 保護(hù)整個(gè)公司的網(wǎng)絡(luò)免受外部威脅
• 實(shí)施適用于組織中每個(gè)人的廣泛安全政策
• 管理網(wǎng)絡(luò)不同部分（如內(nèi)部網(wǎng)絡(luò)和來(lái)賓網(wǎng)絡(luò)）之間的流量

但請(qǐng)注意：您需要一個(gè)具有專(zhuān)業(yè)知識(shí)的團(tuán)隊(duì)來(lái)設(shè)置、管理和手動(dòng)更新硬件防火墻。如果您的防火墻在沒(méi)有冗余計(jì)劃的情況下發(fā)生故障，則該網(wǎng)絡(luò)下的每個(gè)設(shè)備都將自動(dòng)失去連接。以冗余方式運(yùn)行兩個(gè)硬件防火墻可以減輕您的網(wǎng)絡(luò)完全依賴(lài)一個(gè)防火墻的風(fēng)險(xiǎn)。

但是，如果您只想保護(hù)一臺(tái)設(shè)備，那么運(yùn)行硬件防火墻所需的成本、維護(hù)和專(zhuān)業(yè)知識(shí)通常不值得。這時(shí)軟件防火墻可能是答案。軟件防火墻易于設(shè)置，可以明確允許哪些應(yīng)用程序連接，并且通常是免費(fèi)的，因?yàn)樗鼈儍?nèi)置在操作系統(tǒng)中。

軟件防火墻適用于：

• 保護(hù)單個(gè)服務(wù)器或工作站
• 在網(wǎng)絡(luò)防火墻上添加額外的安全層
• 保護(hù)用于遠(yuǎn)程工作的筆記本電腦和移動(dòng)設(shè)備

然而，惡意軟件可以禁用軟件防火墻，而且由于它們直接安裝到設(shè)備上，它們會(huì)使用機(jī)器的一些資源，這可能會(huì)影響整體性能。

下一代防火墻

網(wǎng)絡(luò)安全是一場(chǎng)持續(xù)不斷的軍備競(jìng)賽。盡管安全工具已經(jīng)開(kāi)發(fā)出來(lái)以緩解攻擊，但新的攻擊方法很快就會(huì)出現(xiàn)。

下一代防火墻 (NGFW) 是試圖解決該問(wèn)題的最新防火墻技術(shù)。NGFW 具有最先進(jìn)的防火墻功能；它們不僅過(guò)濾流量，還對(duì)加密流量進(jìn)行深度數(shù)據(jù)包檢查、阻止入侵并與威脅情報(bào)源集成，因此它們始終能夠及時(shí)了解最新的攻擊。

NGFW 作為更先進(jìn)的硬件防火墻安裝到網(wǎng)絡(luò)上，允許對(duì)數(shù)據(jù)包進(jìn)行分析直至OSI 模型的第7層（應(yīng)用程序?qū)樱葌鹘y(tǒng)防火墻更深。

雖然它們通常比傳統(tǒng)的硬件防火墻更昂貴，并且由于其先進(jìn)的功能設(shè)置起來(lái)可能更復(fù)雜，但它們提供了針對(duì)網(wǎng)絡(luò)攻擊的最佳整體防火墻保護(hù)。

防火墻所需的功能

流量過(guò)濾

流量過(guò)濾會(huì)分析每個(gè)數(shù)據(jù)包并根據(jù)您預(yù)先配置的策略標(biāo)準(zhǔn)對(duì)其進(jìn)行評(píng)估，因此它知道是否允許或阻止流量。這些過(guò)濾器的范圍包括限制來(lái)自某個(gè)用戶(hù)類(lèi)型或組的流量，以及限制特定 IP 地址、協(xié)議和端口號(hào)。

訪問(wèn)控制

如果說(shuō)流量過(guò)濾就像是網(wǎng)絡(luò)入口處的安全檢查點(diǎn)，那么訪問(wèn)控制就是決定什么可以進(jìn)入網(wǎng)絡(luò)的哪個(gè)部分。通過(guò)配置權(quán)限并了解哪些角色可以訪問(wèn)網(wǎng)絡(luò)的不同部分，默認(rèn)情況下，所有其他傳入或傳出的流量都會(huì)被拒絕。

安全日志

網(wǎng)絡(luò)行為的記錄和監(jiān)控通常需要遵守安全合規(guī)性法規(guī)，以確保盡早發(fā)現(xiàn)安全事件，從而幫助最大限度地減少違規(guī)行為的影響。記錄還使管理員能夠發(fā)現(xiàn)模式并分析趨勢(shì)（例如經(jīng)常訪問(wèn)的 IP 和應(yīng)用程序），以便他們可以?xún)?yōu)化這些領(lǐng)域的安全性。

如何獲取防火墻的來(lái)源

如果軟件防火墻沒(méi)有自動(dòng)安裝到操作系統(tǒng)上，那么獨(dú)立獲取軟件防火墻就像從值得信賴(lài)的提供商處下載一樣簡(jiǎn)單。

另一方面，硬件防火墻需要由專(zhuān)家團(tuán)隊(duì)執(zhí)行幾個(gè)階段，例如：

• 評(píng)估安全需求和網(wǎng)絡(luò)映射
• 安全政策和冗余規(guī)劃
• 物理設(shè)置和配置
• 測(cè)試和驗(yàn)證
• 持續(xù)監(jiān)控、管理和維護(hù)

如果此過(guò)程超出了您的資源范圍，但您仍然需要硬件防火墻，那么基礎(chǔ)設(shè)施即服務(wù) (IaaS)可能會(huì)有所幫助。如果您與服務(wù)器托管提供商合作，那么防火墻即服務(wù) (FaaS) 是一個(gè)附加功能，提供商將為您管理和維護(hù)硬件防火墻。您仍然可以控制其所有配置。

默認(rèn)拒絕，例外允許

首先，逆向思考并采用“全部拒絕”策略（默認(rèn)情況下阻止所有傳入和傳出流量）是配置防火墻最安全的方法。

通過(guò)從完全拒絕的基線開(kāi)始，您可以從一開(kāi)始就消除任何非法流量的風(fēng)險(xiǎn)。有了這個(gè)基礎(chǔ)，您就可以逆向打開(kāi)您信任的來(lái)源的大門(mén)。這意味著在您的流量過(guò)濾和訪問(wèn)控制中概述精確的規(guī)則。

但完成防火墻的設(shè)置并不意味著您的工作已經(jīng)完成。定期的規(guī)則審查可確保防火墻與不斷發(fā)展的業(yè)務(wù)實(shí)踐保持同步，例如網(wǎng)絡(luò)結(jié)構(gòu)的任何變化、新應(yīng)用程序或已停用的服務(wù)。不響應(yīng)這些變化可能會(huì)造成漏洞，讓潛在攻擊者有機(jī)會(huì)找到您防御中過(guò)時(shí)的點(diǎn)。這些發(fā)現(xiàn)可以指導(dǎo)新政策，確保防火墻與組織以相同的速度發(fā)展。我們建議每隔幾個(gè)月進(jìn)行一次審查。

您的數(shù)據(jù)需要保護(hù)

網(wǎng)絡(luò)安全需求從未如此高漲。在數(shù)據(jù)是我們最寶貴的財(cái)富的時(shí)代，企業(yè)保護(hù)自己和客戶(hù)免受潛在威脅至關(guān)重要。

防火墻是一種久經(jīng)考驗(yàn)的安全措施，可讓企業(yè)為整個(gè)網(wǎng)絡(luò)或單個(gè)設(shè)備提供保護(hù)。通過(guò) NGFW，網(wǎng)絡(luò)防火墻不斷發(fā)展，確保能夠抵御最新的攻擊方法。