什麼是防火牆？不同型別防火牆以及是否需要防火牆的入門指南

每個網站都需要保護。就像您的個人計算機一樣，線上伺服器也可能成為攻擊的目標。您需要一種方法來阻止黑客或其他非法流量來源。這就是防火牆的用武之地。

簡而言之，什麼是防火牆？它是計算機和“外部世界”之間的一道屏障。

如果您的網站不受保護，惡意行為者可能會對您的伺服器造成嚴重破壞，這就是為什麼您應該盡一切可能保護您的WordPress網站。設定防火牆應該是您的首要任務之一。

但是有許多不同型別的防火牆，您可能不知道從哪裡開始。讓我們回顧一下所有型別的防火牆，什麼時候需要，以及如何在伺服器上設定一個。

1. 什麼是防火牆？防火牆有什麼作用？
2. 防火牆型別
3. 如何獲得防火牆

什麼是防火牆？防火牆有什麼作用？

每當您訪問一個網站時，您基本上是在連線到另一臺計算機：網路伺服器。但是因為伺服器只是一種特殊的計算機，它很容易受到與您自己的PC相同的攻擊。

在沒有任何保護措施的情況下直接連線到另一臺裝置是不安全的。一旦建立了連線，就更容易用惡意軟體感染對方或發起DDoS攻擊。

這就是防火牆的用途。它是您和任何其他試圖連線到您的裝置之間的中介，或者在網路伺服器的情況下，它是它與它每天與他人建立的數百或數千個連線之間的中介。

連線到Web伺服器

那麼防火牆究竟是如何工作的呢？

防火牆只是監控裝置上的傳入和傳出流量，掃描任何惡意活動的跡象。如果它檢測到可疑的東西，它會立即阻止它到達目的地。

這是您的計算機或伺服器的大型過濾系統。

最初開發防火牆時，防火牆是非常簡單的資料包分析器，可以根據一組最少的預定義規則來允許或阻止傳入流量。他們很容易繞過。

如今，它們已經演變成複雜的程式設計片段，這些片段在阻止未遂入侵方面要好得多，並且是所有裝置必不可少的軟體。

當您需要防火牆時

您可能想知道：什麼時候需要防火牆？我真的需要一個嗎？

任何連線到網際網路的機器都需要防火牆。不僅是您的計算機，您的網路伺服器、電話、物聯網裝置或任何您能想到的都可以使用網際網路。

未受保護的裝置很容易被入侵和感染。

這可能使黑客能夠接管您的計算機，安裝他們想要的任何東西，在您輸入銀行憑證等敏感資訊時進行監控，甚至可以通過您的網路攝像頭/攝像頭檢視，並通過您的麥克風收聽。

對於網路伺服器，如果黑客設法通過，他們可能會破壞您的網站，嵌入感染訪問者的惡意軟體，更改您的WordPress管理員登入憑據，或完全關閉您的網站。

404頁面

如果沒有防火牆，您的網站甚至您的個人裝置都容易受到DDoS攻擊，這種攻擊媒介會傳送數千或數百萬個虛假資料包以使您的伺服器超載並導致您的網站或網際網路癱瘓。

不服氣？以下是防火牆可以保護您或您的網站的內容：

• 入侵：防火牆可防止未經授權的使用者遠端訪問您的計算機或伺服器併為所欲為。
• 惡意軟體：設法滲透的攻擊者可以傳送惡意軟體來感染您或您的伺服器。惡意軟體可能會竊取個人資訊、將自身傳播給其他使用者或以其他方式損壞您的計算機。
• 蠻力攻擊：黑客試圖嘗試數百種使用者名稱和密碼組合以發現您的管理員（或其他使用者）的登入憑據。
• DDoS攻擊：防火牆（尤其是 Web 應用程式防火牆）可以嘗試檢測在 DDoS 攻擊期間發生的虛假流量湧入。

防火牆型別

有許多不同型別的防火牆，每種都針對不同的情況而設計。有些更適合單臺計算機，而另一些則適用於網路範圍的過濾。

1. 個人防火牆
2. 硬體與軟體防火牆
3. 包過濾防火牆
4. 狀態防火牆
5. 網路應用防火牆
6. 下一代防火牆

它們都以不同的方式工作，並且更擅長阻止某些型別的流量。如果您想知道應該尋找哪個，我們將分解所有主要型別的防火牆。

這裡有一個簡短的總結：除非您執行自己的伺服器堆疊（提供具有自己網際網路的網站），否則您主要需要擔心的防火牆型別是個人防火牆、軟體防火牆和Web應用程式防火牆。

這三個是最重要的。但是，如果您想更好地瞭解防火牆的工作原理以及它們多年來的發展方式，請閱讀有關其餘部分的更多資訊。

個人防火牆

防火牆的工作方式非常不同，具體取決於它們是由單臺計算機、整個網路（例如在商務辦公室內）還是Web伺服器使用。個人防火牆旨在僅在一臺計算機上使用。這是預裝在Windows和Mac機器上或與您的防病毒軟體一起安裝的防火牆。

雖然它的工作方式類似於伺服器防火牆——根據一組預定義的規則允許或拒絕來自其他裝置、應用程式和 IP 的連線——但在功能上它的行為略有不同。

個人防火牆可以保護您用來連線網站和線上應用程式的埠（將它們隱藏起來，使攻擊者無法看到它們是開啟的），防禦通過網路的攻擊，防止人們訪問和接管您的計算機，並分析所有傳入和傳出流量。

它們還充當應用程式防火牆，監控您裝置上應用程式的活動，並拒絕允許與不安全或未知軟體建立連線。

如今，獲得個人防火牆相當容易。如果您使用任何現代版本的Windows，則預設情況下應該已經執行了一個。

Windows Defender防火牆

Mac電腦也配備了一臺，不過您需要自己開啟它。為此，請導航至系統偏好設定，單擊安全和隱私，然後單擊防火牆：

macOS中的防火牆應用程式

防病毒軟體通常也自帶。一個例子是Avast防病毒軟體：它的軟體防火牆與Windows相容，並作為第二層防禦。

付費的第三方個人防火牆也存在，但這些可能與您的預設設定衝突。

硬體與軟體防火牆

防火牆有兩種不同的形式：硬體防火牆和軟體防火牆。軟體防火牆是您計算機的可下載程式，可從中央控制面板對其進行監控。硬體防火牆提供類似的功能，但它們實際安裝在建築物中。

你可能不知道，但你家裡可能有一種硬體防火牆：你的路由器，允許你連線到網際網路的裝置。雖然它與專用硬體防火牆裝置並不完全相同，但它提供了類似的監視和允許或拒絕連線的功能。

軟體和硬體防火牆都位於您的計算機和外部世界之間，仔細分析任何試圖通過的連線。您可以讓它們中的一個或兩個在您的網路上執行。

然而，硬體防火牆有一些缺點。它們很難設定並且需要持續維護，因此它們通常不適合單臺計算機或沒有IT部門的小型企業。它們可能會導致效能問題，尤其是在與軟體防火牆堆疊時。而且它們不適合阻止裝置上的應用程式或基於使用者的限制。

另一方面，硬體防火牆將輕鬆保護您的整個計算機網路，而為此設定軟體是一項更困難的任務。雖然如果攻擊者設法進入，他們可以禁用軟體，但他們無法篡改物理裝置。

顧名思義，軟體防火牆更擅長處理計算機上的程式。阻止應用程式、管理使用者、生成日誌和監控網路上的使用者是他們的專長。它們在網路範圍內配置起來並不容易，但是當安裝在多個裝置上時，它們可以進行更精細的控制。

包過濾防火牆

最簡單的防火牆型別，也是最早開發的防火牆型別，是包過濾防火牆。資料包是您的計算機和伺服器之間交換的資料。當您單擊連結、上傳檔案或傳送電子郵件時，您會向伺服器傳送一個資料包。當您載入網頁時，它會向您傳送資料包。

包過濾防火牆分析這些包並根據一組預定義的規則阻止它們。例如，您可以阻止來自某個伺服器或 IP 地址的資料包，或者那些試圖到達您伺服器上某個目的地的資料包。

缺點：這些型別的防火牆簡單易上手。沒有辦法應用高階規則。如果您允許流量通過某個埠，包過濾防火牆將允許任何東西通過，即使是現代防火牆的流量顯然是不合法的。

這些唯一的好處是它們非常簡單，幾乎對效能沒有影響。它們不檢查流量、儲存日誌或執行任何高階功能。如今，應該避免使用包過濾防火牆，或者至少與更先進的東西一起使用，因為有更好的解決方案。

狀態防火牆

在“無狀態”之後，簡單的資料包過濾器出現了有狀態防火牆技術。這是革命性的，因為狀態防火牆不僅僅分析通過的資料包並根據簡單的引數進行拒絕，而是處理動態資訊並在資料包通過網路時繼續監控它們。

一個簡單的包過濾防火牆只能基於IP地址或埠等靜態資訊進行阻止。狀態防火牆更擅長檢測和阻止非法流量，因為它們可以識別模式和其他高階概念。

與無狀態防火牆相比，缺點是由於將資料包資料儲存在記憶體中並對其進行更嚴格的分析，並且保留了被阻止的內容和通過的內容的日誌，因此它們更加密集。但它們是一個更好的解決方案。

網路應用防火牆

WAF的工作原理

雖然今天仍在使用有狀態技術，但僅靠它已不足以有效地保持網路安全。應用程式和Web應用程式防火牆是下一個重要步驟。

傳統防火牆僅監控網路上的一般流量。他們很難或完全無法檢測到來自應用程式、服務或其他軟體的流量。應用程式防火牆旨在與這些程式一起工作，捕捉利用軟體漏洞繞過舊防火牆的入侵企圖。

它們還可以作為企業的家長控制系統，完全阻止對某些應用程式和網站的訪問。

Web應用程式防火牆的工作方式類似，但它們監控的是 Web 應用程式而不是計算機上的程式。Web 應用程式的示例是第三方表單或購物車外掛，它們有時會被劫持以向您的伺服器傳送惡意軟體。如果沒有WAF，您很容易受到這些攻擊。

許多WAF都是基於雲的，這意味著您無需對伺服器進行任何根本性更改即可進行設定。但它們也可以存在於硬體或伺服器軟體上。

如果您需要防火牆服務來保護您的網站，請尋找基於雲的WAF，例如Cloudflare或Sucuri。這些可以安裝，而無需擺弄敏感的網路主機設定或設定昂貴的硬體。

下一代防火牆

最後是下一代防火牆 (NGFW)，它是這一代安全技術的最新發明之一。這些企業級工具就像上述所有工具合二為一。深度資料包過濾、入侵防禦和應用程式監控只是其龐大的網路功能中的一小部分。

下一代雲防火牆確實以線上服務的形式存在，但WAF更為常見並提供類似的功能。但是，如果您想要絕對最先進的防火牆技術，並在一個程式中提供全套安全保護，請尋找NGFW。

如何獲得防火牆

為了保護您自己和您的網站，您需要一個高質量的防火牆來阻止入侵者。

就個人防火牆而言，通常沒有必要特意去買一個。Windows的內建防火牆執行良好，無需任何配置。在您的防病毒軟體通常附帶的應用程式防火牆和路由器上的資料包過濾器之間，您的計算機通常受到的保護不止於此。

只需確保您的防火牆已啟用，您安裝了良好的防病毒軟體，並且您的路由器配置正確。macOS使用者也可以這樣說。

但是，如果您有一個需要保護的網站怎麼辦？

那時就大不一樣了。沒有那麼多內建工具可以保護您，而且通常由您來保護您的網站。例如，如果您正在執行WordPress，則沒有防火牆或任何東西可以保護您的伺服器，而安全外掛是最常見的選項之一。

WordPress開發人員盡最大努力保持程式碼優化，但是當漏洞出現時，您無法防止入侵。

每個站點都可以從WAF中受益。Sucuri、Wordfence、Cloudflare等線上服務可以在幾分鐘內在您的伺服器上進行設定。

提供主動和被動措施以提高安全性

除了自己安裝防火牆之外，您還應該選擇一個能夠妥善管理其伺服器的網路主機。太多廉價主機不關心安全問題，如果您的網站受到攻擊，可能會導致巨大的問題。

小結

在現代個人計算機上，您通常不需要做太多事情，因為大多數作業系統都預裝了防火牆。至於您的網站，太多主機根本不關心保護他們的伺服器，因此保護自己成為您的工作。