全球范圍內(nèi)，每39 秒就會發(fā)生一次新的網(wǎng)絡(luò)攻擊。一半的英國企業(yè)報告稱在過去 12 個月內(nèi)遭受過安全攻擊，展望 2025 年，網(wǎng)絡(luò)犯罪在全球造成的年度損失預(yù)計將達(dá)到10.5 萬億美元。

戴爾首席執(zhí)行官邁克爾·戴爾表示：“我想提醒所有企業(yè)主，要高度重視網(wǎng)絡(luò)安全問題。對于小型、快速發(fā)展的企業(yè)來說，風(fēng)險同樣巨大，甚至更大?！?/p>

其中一個風(fēng)險是財務(wù)風(fēng)險。例如，單次數(shù)據(jù)泄露的平均總成本估計為480 萬美元。但對企業(yè)構(gòu)成威脅的不僅僅是財務(wù)后果。企業(yè)敏感數(shù)據(jù)和知識產(chǎn)權(quán)的暴露可能更具破壞性。重建丟失的數(shù)據(jù)成本高昂，甚至不可能，重建公司聲譽和修復(fù)由此造成的公眾信任缺失也是如此。正如GroupeSEB 首席信息安全官 Stéphane Nappo所說：“建立聲譽需要 20 年時間，而幾分鐘的網(wǎng)絡(luò)事件就會毀掉它?！?/p>

為了降低這些風(fēng)險，防火墻自 20 世紀(jì) 80 年代開發(fā)以來一直是一種一致的安全做法。75 % 的英國企業(yè)采用了覆蓋整個網(wǎng)絡(luò)或單個設(shè)備的防火墻。問題是，哪種類型的防火墻適合您？

本博客將介紹防火墻的工作原理、硬件和軟件防火墻之間的區(qū)別以及此類安全保護的未來。

什么是防火墻以及它如何工作？

防火墻是一種過濾進入設(shè)備的流量的安全系統(tǒng)。它配置為了解哪些流量是安全的，哪些流量可能構(gòu)成威脅。過濾基于數(shù)據(jù)包數(shù)據(jù)，例如源、目標(biāo)和內(nèi)容。將防火墻視為數(shù)據(jù)守門人。

硬件防火墻與軟件防火墻

防火墻主要有兩種類型：

• 硬件（網(wǎng)絡(luò)）防火墻
• 軟件（操作系統(tǒng)）防火墻

顧名思義，硬件防火墻位于網(wǎng)絡(luò)內(nèi)，而軟件防火墻安裝在設(shè)備本身的操作系統(tǒng) (OS) 中。

硬件防火墻

硬件防火墻是位于您的專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間的物理設(shè)備。它會檢查所有進出的流量，以確保沒有惡意程序通過。

硬件防火墻可以插入開放系統(tǒng)通信 (OSI) 模型的第 3 層（網(wǎng)絡(luò)）和第 4 層（傳輸），并保護連接到網(wǎng)絡(luò)的每個設(shè)備。常見示例包括 Cisco ASA 和 SonicWall 網(wǎng)絡(luò)安全設(shè)備。

軟件防火墻

軟件防火墻是一種直接安裝在計算機或服務(wù)器操作系統(tǒng)上的應(yīng)用程序。軟件防火墻由用戶或系統(tǒng)管理員管理，可監(jiān)視您的網(wǎng)絡(luò)流量并阻止任何可疑內(nèi)容。與硬件防火墻不同，軟件防火墻保護的是單個機器，而不是整個網(wǎng)絡(luò)。

常見的例子包括 Windows 防火墻、MacOS 和 Linux 上的內(nèi)置防火墻。

如何在硬件和軟件防火墻之間進行選擇

在網(wǎng)絡(luò)上運行防火墻和在操作系統(tǒng)上運行防火墻是兩種完全不同的過濾傳入流量的方法。確定哪種防火墻最適合您的最佳方法是回答以下問題：我需要保護多少臺設(shè)備？

如果您負(fù)責(zé)管理多個設(shè)備，并且這些設(shè)備都需要遵循相同的防火墻配置，那么硬件防火墻是最有效、最安全的選擇。由于數(shù)據(jù)在網(wǎng)絡(luò)級別受到嚴(yán)格審查，因此該網(wǎng)絡(luò)上的每個設(shè)備都受到相同的保護。而且由于硬件防火墻與其所保護的設(shè)備是分開的，因此不會產(chǎn)生性能開銷。

這使得硬件防火墻非常適合：

• 保護整個公司的網(wǎng)絡(luò)免受外部威脅
• 實施適用于組織中每個人的廣泛安全政策
• 管理網(wǎng)絡(luò)不同部分（如內(nèi)部網(wǎng)絡(luò)和來賓網(wǎng)絡(luò)）之間的流量

但請注意：您需要一個具有專業(yè)知識的團隊來設(shè)置、管理和手動更新硬件防火墻。如果您的防火墻在沒有冗余計劃的情況下發(fā)生故障，則該網(wǎng)絡(luò)下的每個設(shè)備都將自動失去連接。以冗余方式運行兩個硬件防火墻可以減輕您的網(wǎng)絡(luò)完全依賴一個防火墻的風(fēng)險。

但是，如果您只想保護一臺設(shè)備，那么運行硬件防火墻所需的成本、維護和專業(yè)知識通常不值得。這時軟件防火墻可能是答案。軟件防火墻易于設(shè)置，可以明確允許哪些應(yīng)用程序連接，并且通常是免費的，因為它們內(nèi)置在操作系統(tǒng)中。

軟件防火墻適用于：

• 保護單個服務(wù)器或工作站
• 在網(wǎng)絡(luò)防火墻上添加額外的安全層
• 保護用于遠(yuǎn)程工作的筆記本電腦和移動設(shè)備

然而，惡意軟件可以禁用軟件防火墻，而且由于它們直接安裝到設(shè)備上，它們會使用機器的一些資源，這可能會影響整體性能。

下一代防火墻

網(wǎng)絡(luò)安全是一場持續(xù)不斷的軍備競賽。盡管安全工具已經(jīng)開發(fā)出來以緩解攻擊，但新的攻擊方法很快就會出現(xiàn)。

下一代防火墻 (NGFW) 是試圖解決該問題的最新防火墻技術(shù)。NGFW 具有最先進的防火墻功能；它們不僅過濾流量，還對加密流量進行深度數(shù)據(jù)包檢查、阻止入侵并與威脅情報源集成，因此它們始終能夠及時了解最新的攻擊。

NGFW 作為更先進的硬件防火墻安裝到網(wǎng)絡(luò)上，允許對數(shù)據(jù)包進行分析直至OSI 模型的第7層（應(yīng)用程序?qū)樱葌鹘y(tǒng)防火墻更深。

雖然它們通常比傳統(tǒng)的硬件防火墻更昂貴，并且由于其先進的功能設(shè)置起來可能更復(fù)雜，但它們提供了針對網(wǎng)絡(luò)攻擊的最佳整體防火墻保護。

防火墻所需的功能

流量過濾

流量過濾會分析每個數(shù)據(jù)包并根據(jù)您預(yù)先配置的策略標(biāo)準(zhǔn)對其進行評估，因此它知道是否允許或阻止流量。這些過濾器的范圍包括限制來自某個用戶類型或組的流量，以及限制特定 IP 地址、協(xié)議和端口號。

訪問控制

如果說流量過濾就像是網(wǎng)絡(luò)入口處的安全檢查點，那么訪問控制就是決定什么可以進入網(wǎng)絡(luò)的哪個部分。通過配置權(quán)限并了解哪些角色可以訪問網(wǎng)絡(luò)的不同部分，默認(rèn)情況下，所有其他傳入或傳出的流量都會被拒絕。

安全日志

網(wǎng)絡(luò)行為的記錄和監(jiān)控通常需要遵守安全合規(guī)性法規(guī)，以確保盡早發(fā)現(xiàn)安全事件，從而幫助最大限度地減少違規(guī)行為的影響。記錄還使管理員能夠發(fā)現(xiàn)模式并分析趨勢（例如經(jīng)常訪問的 IP 和應(yīng)用程序），以便他們可以優(yōu)化這些領(lǐng)域的安全性。

如何獲取防火墻的來源

如果軟件防火墻沒有自動安裝到操作系統(tǒng)上，那么獨立獲取軟件防火墻就像從值得信賴的提供商處下載一樣簡單。

另一方面，硬件防火墻需要由專家團隊執(zhí)行幾個階段，例如：

• 評估安全需求和網(wǎng)絡(luò)映射
• 安全政策和冗余規(guī)劃
• 物理設(shè)置和配置
• 測試和驗證
• 持續(xù)監(jiān)控、管理和維護

如果此過程超出了您的資源范圍，但您仍然需要硬件防火墻，那么基礎(chǔ)設(shè)施即服務(wù) (IaaS)可能會有所幫助。如果您與服務(wù)器托管提供商合作，那么防火墻即服務(wù) (FaaS) 是一個附加功能，提供商將為您管理和維護硬件防火墻。您仍然可以控制其所有配置。

默認(rèn)拒絕，例外允許

首先，逆向思考并采用“全部拒絕”策略（默認(rèn)情況下阻止所有傳入和傳出流量）是配置防火墻最安全的方法。

通過從完全拒絕的基線開始，您可以從一開始就消除任何非法流量的風(fēng)險。有了這個基礎(chǔ)，您就可以逆向打開您信任的來源的大門。這意味著在您的流量過濾和訪問控制中概述精確的規(guī)則。

但完成防火墻的設(shè)置并不意味著您的工作已經(jīng)完成。定期的規(guī)則審查可確保防火墻與不斷發(fā)展的業(yè)務(wù)實踐保持同步，例如網(wǎng)絡(luò)結(jié)構(gòu)的任何變化、新應(yīng)用程序或已停用的服務(wù)。不響應(yīng)這些變化可能會造成漏洞，讓潛在攻擊者有機會找到您防御中過時的點。這些發(fā)現(xiàn)可以指導(dǎo)新政策，確保防火墻與組織以相同的速度發(fā)展。我們建議每隔幾個月進行一次審查。

您的數(shù)據(jù)需要保護

網(wǎng)絡(luò)安全需求從未如此高漲。在數(shù)據(jù)是我們最寶貴的財富的時代，企業(yè)保護自己和客戶免受潛在威脅至關(guān)重要。

防火墻是一種久經(jīng)考驗的安全措施，可讓企業(yè)為整個網(wǎng)絡(luò)或單個設(shè)備提供保護。通過 NGFW，網(wǎng)絡(luò)防火墻不斷發(fā)展，確保能夠抵御最新的攻擊方法。