什麼是防火牆？網路防火牆的運作方式

什麼是防火牆？

防火牆是一種安全系統，根據一套安全規則來監視和控制網路流量。防火牆通常位於受信任的網路和不受信任的網路之間；通常，不受信任的網路是網際網路。例如，辦公室網路通常使用防火牆來保護其網路免受線上威脅。

防火牆決定是否允許傳入和傳出的流量通過。它們可以內建於硬體、軟體或兩者的組合之中。「防火牆」一詞是借用了建築中的一種做法，即在建築物之間或建築物的中間建起一道防護牆以做防火之用。與此相似，網路防火牆用於遏制線上威脅。

為什麼要使用防火牆？

防火牆的主要作用是保障安全。防火牆可以在傳入的惡意流量到達網路之前攔截它，並防止敏感性資訊離開網路。

防火牆也可用於內容篩選。例如，學校可以設定防火牆以防止其網路上的使用者存取成人內容。同樣，在某些國家/地區，政府執行著防火牆，可以防止該民族國家內部的人存取網際網路的某些部分。

本文將重點介紹設定用於安全性的防火牆，這包含幾種類型。

防火牆有哪些不同類型？

基於代理的防火牆：

這些是位於用戶端和伺服器之間的代理*。用戶端連接到防火牆，防火牆檢查傳出的封包，之後它將建立到預期接收者（Web 伺服器）的連線。同樣，當 Web 伺服器試圖向用戶端傳送回應時，防火牆將攔截該請求，檢查封包，然後在防火牆和用戶端之間的單獨連線中傳遞該回應。基於代理的防火牆有效地阻止了用戶端和伺服器之間的直接連線。

基於代理的防火牆有點像酒吧里的保鏢。該保鏢會在客人進入酒吧之前將其攔下，以確保他們不是未成年人、未攜帶武器或以任何其他方式對酒吧及其顧客構成威脅。保鏢還會在顧客出門時將其攔下，以確保他們有安全的回家方式，且不打算酒後駕車。

在酒吧配備保鏢的缺點是，當很多人試圖同時進入或離開酒吧時，隊伍會很長，會耽誤一些人的時間。同樣，基於代理的防火牆的一個主要缺點是它會導致延遲，尤其是在流量大的時候。

*代理伺服器是一台電腦，充當區域網路和較大網路（例如網際網路）之間的閘道。

具狀態防火牆：

在電腦科學中，「具狀態」的應用程式是指從先前事件和互動中儲存了資料的應用程式。具狀態防火牆會儲存關於開放連線的資訊，並使用此資訊來分析傳入和傳出的流量，而不是檢查每個封包。由於具狀態防火牆不會檢查每個封包，因此比基於代理的防火牆要快。

具狀態防火牆在做出決策時依賴於很多背景因素。例如，如果防火牆記錄了請求某種回應的連線上的傳出封包，則它只會允許該連線上提供所請求回應類型的傳入封包。

具狀態防火牆還可以透過保持連接埠*全部關閉（僅當傳入封包請求存取特定連接埠時開啟）來保護連接埠。這可以減輕稱為連接埠掃描的攻擊。

與具狀態防火牆相關的一個已知漏洞是，可以透過誘使用戶端請求某種資訊來操縱它們。一旦用戶端請求該回應，攻擊者就可以透過防火牆傳送符合該條件的惡意封包。例如，不安全的網站可以使用 JavaScript 代碼從 Web 瀏覽器建立這些類型的偽造請求。

*網路連接埠是傳送資訊的位置；它不是一個實體場所，而是通訊端點。進一步瞭解連接埠 >>

新一代防火牆 (NGFW)：

NGFW 不僅具有傳統防火牆的功能，還採用了許多附加功能來解決對 OSI 模型其它層的威脅。部分特定於 NGFW 的功能包括：

• 深度封包檢查 (DPI)：與傳統防火牆相比，NGFW 對封包進行更深入的檢查。這種深度檢查可以查看封包負載等內容，以及封包正在存取哪些應用程式。這可讓防火牆強制執行更精細的篩選規則。
• 應用程式感知：啟用此功能讓防火牆知道哪些應用程式正在執行以及這些應用程式正在使用哪些連接埠。這可以防止那些意圖中斷正在執行的處理序然後接管其連接埠的某些惡意程式碼類型。
• 身分感知：這讓防火牆根據身分執行規則，例如正在使用哪台電腦、哪個使用者已登入等。
• 沙箱：防火牆可以隔離與傳入封包相關聯的程式碼片段，並在「沙箱」環境中執行它們，以確保它們不會產生惡意行為。然後，將此沙箱測試的結果作為決定是否讓封包進入網路的標準。

Web 應用程式防火牆 (WAF)

傳統防火牆有助於保護私人網路免受惡意 Web 應用程式的侵害，而 WAF 可幫助保護 Web 應用程式不受惡意使用者的侵害。WAF 透過篩選和監控 Web 應用程式與網際網路之間的 HTTP 流量來幫助保護 Web 應用程式。它通常可以保護 Web 應用程式，使其免受跨網站偽造、Cross-site scripting (XSS)、檔案包含、SQL 資料隱碼攻擊及其他一些攻擊的影響。

在 Web 應用程式前端部署 WAF，即可在 Web 應用程式與網際網路之間設定一個護盾。盡管基於代理的防火牆能透過使用中繼服務來保護用戶端機器的身分，但 WAF 是一種反向代理，可使客戶在到達伺服器前通過 WAF，從而避免伺服器暴露。

WAF 透過一組稱為原則的規則運作。這些原則旨在透過篩選出惡意流量來抵禦應用程式中的漏洞。WAF 的價值部分來自於原則修改得以實施的速度和簡易性，便於更快回應不同的攻擊媒介；在 DDoS 攻擊中，可透過修改 WAF 原則來快速執行限速。Cloudflare Web 應用程式防火牆之類的商業 WAF 產品可每天保護數百萬個 Web 應用程式免受攻擊。

防火牆即服務 (FWaaS)：

防火牆即服務 (FWaaS) 是一種較新的模式，透過雲端提供防火牆功能。這種服務也可稱為「雲端防火牆」。FWaaS 在雲端平台、基礎結構和應用程式周圍形成一個虛擬屏障，就像傳統防火牆在組織的內部網路周圍形成一個屏障一樣。FWaaS 通常比傳統防火牆更適合保護雲端和多雲端資產。

什麼是「網路防火牆」？

「網路防火牆」是保護網路的任何防火牆。根據定義，幾乎所有安全防火牆都是網路防火牆，儘管防火牆也可以保護單個電腦。

雖然防火牆是網路安全的一個重要元件，但這一領域也有許多其他方面，包括存取控制、使用者驗證以及 DDoS 緩解。瞭解有關網路安全解決方案的更多資訊。

防火牆是基於軟體還是基於硬體？

最初，防火牆是硬體設備（參見下文「防火牆的歷史」部分）。雖然一些硬體防火牆仍在使用，但許多現代防火牆是基於軟體的，這意味著它們可以在幾種不同類型的硬體上執行。而 FWaaS 則是託管在雲端。

防火牆的歷史是怎樣的？

防火牆可以追溯到 20 世紀 80 年代末。第一個防火牆用於允許或封鎖單個資料封包。它們透過檢查其網路層和傳輸層標頭來查看其來源和目的地 IP 位址以及連接埠（例如查看電子郵件的「收件者」和「寄件者」部分），從而決定允許哪些封包以及封包哪些封包。這阻止了非法流量通過，並防止了許多惡意程式碼攻擊。

新一代防火牆增加了具狀態功能。更新一代的防火牆（如 NGFW）增加了在應用程式層檢查流量的能力。

正如防火牆的功能隨著時間的推移而演變，防火牆的部署方式也在不斷變化。最初，防火牆是插入公司網路基礎結構的實體硬體設備。但是，隨著業務流程轉向雲端，透過一個實體盒子輸送所有網路流量變得效率低下。如今，防火牆也可以在軟體中執行，或在雲端虛擬執行。

什麼是 Magic Firewall？

Magic Firewall 是從 Cloudflare 網路部署的網路級防火牆。它旨在取代用於內部部署網路的硬體防火牆。基於硬體的防火牆只能在 IT 部門購買更多防火牆的情況下擴大規模，而 Magic Firewall 更容易擴大規模以處理大量流量。瞭解有關 Magic Firewall 的更多資訊。