使用技巧

什么是防火墙?不同类型的防火墙以及是否需要一个入门指南

每个网站都需要保护。就像您的个人计算机一样,在线服务器也可能成为攻击目标。您需要一种方法来阻止黑客或其他非法流量来源。那就是防火​​墙进来的地方。

简而言之,什么是防火墙?这是计算机与“外部世界”之间的障碍。

如果您使网站不受保护,恶意参与者可能会对您的服务器造成严重破坏,这就是为什么您应该尽一切努力来保护WordPress网站。设置防火墙应该是您的首要任务之一。

但是有许多不同类型的防火墙,您可能不知道从哪里开始。让我们遍历所有类型的防火墙,何时需要一台,以及如何在服务器上进行设置。

什么是防火墙?防火墙做什么?

每当您访问网站时,您基本上都在连接到另一台计算机:Web服务器。但是,由于服务器只是一台专用计算机,因此很容易遭受与您自己的PC相同类型的攻击。

直接连接到另一台设备,而中间没有任何保护是不安全的。建立连接后,用恶意软件感染另一方或发起DDoS攻击要容易得多。

这就是防火墙的用途。它是您与试图连接到您的任何其他设备之间的中介,或者是在Web服务器的情况下,它与它每天与他人建立的数百或数千个连接之间的中介。

电脑连线

连接到Web服务器

那么防火墙到底是如何工作的呢?

防火墙仅监视设备上的传入和传出流量,扫描是否有恶意活动迹象。如果检测到可疑物品,它将立即阻止其到达目的地。

对于您的计算机或服务器而言,这是一个很大的过滤系统。

防火墙在最初开发时是非常简单的数据包分析器,它基于最小的预定义规则集来允许或阻止传入的流量。它们非常容易绕开。

如今,它们已经演变为复杂的编程部分,它们可以更好地阻止未经尝试的入侵,并且是所有设备必不可少的软件。

需要防火墙时

您可能想知道:什么时候需要防火墙?我真的需要一个吗?

连接到Internet的任何计算机都需要防火墙。不仅您的计算机,而且您的Web服务器,电话,IoT设备或任何您能想到的具有使用Internet的能力。

不受保护的设备很容易被入侵和感染。

这可能使黑客能够接管您的计算机,安装他们想要的任何东西,在您输入敏感信息(例如银行凭证)时进行监视,甚至查看您的网络摄像头/摄像机,并通过麦克风进行监听。

对于网络服务器,如果黑客设法通过,他们可能会破坏您的网站,嵌入感染您的访问者的恶意软件,更改您的WordPress管理员登录凭据或完全关闭您的网站。

找不到网站

404页

没有防火墙,您的网站甚至您的个人设备都容易受到DDoS攻击,这种攻击媒介会发送成千上万的虚假数据包,从而使您的服务器超载,并使您的网站或Internet瘫痪。

不服气吗?防火墙可以保护您或您的网站免受以下攻击:

  • 入侵:防火墙可防止未经授权的用户远程访问您的计算机或服务器,并执行他们想要的任何操作。
  • 恶意软件:设法渗透的攻击者可以发送恶意软件来感染您或您的服务器。恶意软件可能会窃取个人信息,将自身传播给其他用户,或者以其他方式损坏您的计算机。
  • 蛮力攻击:黑客试图尝试数百种用户名和密码组合来发现您的管理员(或其他用户)登录凭据。
  • DDoS攻击:防火墙(尤其是Web应用程序防火墙)可以尝试检测DDoS攻击期间发生的虚假流量涌入。

防火墙类型

有许多不同类型的防火墙,每种防火墙都针对不同的情况而设计。有些适用于单台计算机,而另一些适用于网络范围的过滤。

它们的工作方式各不相同,并且在阻止某些类型的流量方面效果更好。如果您想知道该寻找哪个,我们将分解所有主要类型的防火墙。

快速摘要:除非您正在运行自己的服务器堆栈(使用自己的Internet提供网站),否则您主要需要担心的防火墙类型是个人防火墙,软件防火墙和Web应用程序防火墙。

使用WordPress,我们的流量增长了1,187%。
我们将向您展示如何。
加入20,000多个其他人,他们每周都会收到有关WordPress内部技巧的新闻!

现在订阅

成功!感谢您的订阅

您将在一周内收到下一期的Kinsta新闻通讯。

订阅Kinsta新闻通讯

订阅

我同意条款和条件以及隐私政策

这三个是最重要的。但是,如果您想更好地了解防火墙的工作方式以及这些年来的发展情况,请阅读更多有关其余内容的信息。

个人防火墙

防火墙的工作方式有很大不同,具体取决于是单台计算机,整个网络(例如在业务办公室内部)还是Web服务器使用它们。个人防火墙只能在一台计算机上使用。这是预装在Windows和Mac计算机上或与防病毒软件一起安装的防火墙。

尽管它的工作方式与服务器防火墙类似(根据一组预定义的规则允许或拒绝来自其他设备,应用程序和IP的连接),但其功能却有所不同。

个人防火墙可以保护您用于连接到网站和在线应用程序的端口(将其隐藏起来,以使攻击者无法看到它们是打开的),防御通过网络传播的攻击,防止人们访问和接管您的计算机,并分析所有传入和传出流量。

它们还充当应用程序防火墙,监视设备上应用程序的活动,并拒绝允许使用不安全或未知软件建立连接。

如今,获得个人防火墙相当容易。如果您使用任何现代版本的Windows,则默认情况下应该已经有一个正在运行的Windows。

个人防火墙

Windows Defender防火墙

Mac计算机也附带一台,但您需要自己打开它。为此,请导航至系统偏好设置,单击安全性和隐私,然后单击防火墙:

macOS中的防火墙应用程序

macOS中的防火墙应用程序

防病毒软件通常也自带。Avast防病毒软件就是一个例子:其软件防火墙与Windows兼容,可作为第二道防线。

付费第三方个人防火墙也存在,但它们可能与您的默认设置冲突。

硬件与软件防火墙

防火墙有两种不同的形状:硬件和软件防火墙。软件防火墙是计算机的可下载程序,可以从中央控制面板进行监视。硬件防火墙提供了类似的功能,但实际上已安装在建筑物中。

您可能不知道,但是家里可能有一种硬件防火墙:路由器,允许您连接到互联网的设备。虽然它与专用硬件防火墙设备不完全相同,但它提供了监视,允许或拒绝连接的类似功能。

软件和硬件防火墙都位于您的计算机和外界之间,仔细分析任何试图穿过的连接。您可以在网络上运行它们中的一个或两个。

但是,硬件防火墙也有一些缺点。它们很难设置并且需要持续的维护,因此它们通常不适合单台计算机或没有IT部门的小型企业。它们可能导致性能问题,尤其是与软件防火墙堆叠在一起时。而且它们不适合阻止设备上的应用程序或基于用户的限制。

另一方面,硬件防火墙将轻松保护您的整个计算机网络,而为此设置软件则是一项艰巨的任务。而且,尽管攻击者可以设法阻止软件进入,但他们无法篡改物理设备。

顾名思义,软件防火墙可以更好地处理计算机上的程序。阻止应用程序,管理用户,生成日志以及监视网络上的用户是他们的专长。它们在网络范围内配置不是那么容易,但是当安装在多个设备上时,它们可以实现更好的控制。

数据包过滤防火墙

包过滤防火墙是最简单的防火墙,也是最早开发的防火墙之一。数据包是计算机和服务器之间交换的数据。单击链接,上载文件或发送电子邮件时,会将数据包发送到服务器。当您加载网页时,它会向您发送数据包。

数据包过滤防火墙会分析这些数据包,并根据一组预定义的规则将其阻止。例如,您可以阻止源自某个服务器或IP地址的数据包,或试图到达服务器上某个目标的数据包。

缺点:这些类型的防火墙简单易行。无法应用高级规则。如果允许流量通过某个端口,则包过滤防火墙将允许任何东西通过,即使是到现代防火墙的流量显然也不合法。

这些功能的唯一好处是它们非常简单,几乎不影响性能。他们不检查流量,保存日志或执行任何高级功能。如今,应避免使用数据包筛选防火墙,或至少将其与更高级的防火墙搭配使用,因为有更好的解决方案。

状态防火墙

在“无状态”之后,简单的数据包筛选器便出现了状态防火墙技术。这是革命性的,因为有状态的防火墙不仅可以分析数据包通过时的数据包并根据简单的参数进行拒绝,还可以处理动态信息并在数据包通过网络时继续监视数据包。

一个简单的数据包筛选防火墙只能基于IP地址或端口之类的静态信息进行阻止。状态防火墙更擅长检测和阻止非法流量,因为它们可以识别模式和其他高级概念。

与无状态防火墙相比,缺点是它们的强度更高,这是因为将数据包数据存储在内存中并进行了更严格的分析,此外还要保留阻止和通过的日志。但是它们是一个更好的解决方案。

Web应用防火墙

Web应用程序防火墙

WAF如何工作

尽管今天仍然使用有状态技术,但仅靠状态技术已不足以有效地保持网络安全。应用程序和Web应用程序防火墙是下一步。

是否需要为您的网站提供快速,可靠且完全安全的托管服务?Kinsta提供了所有这些以及WordPress专家提供的24/7世界一流的支持。查看我们的计划

传统防火墙仅监视网络上的常规流量。他们很难或完全无法检测到来自应用程序,服务或其他软件的流量。应用程序防火墙旨在与这些程序配合使用,以利用软件漏洞捕获越过较旧的防火墙的入侵企图。

它们还可以用作企业的家长控制系统,从而完全阻止对某些应用程序和网站的访问。

Web应用程序防火墙的工作原理类似,但是它们监视Web应用程序而不是计算机上的程序。Web应用程序的示例是第三方表单或购物车插件,有时可能会被劫持以将恶意软件发送到您的服务器。没有WAF,您很容易受到这些攻击。

许多WAF都是基于云的,这意味着您无需对服务器进行任何重大更改即可进行设置。但是它们也可以存在于硬件或服务器软件上。

如果您需要防火墙服务来保护您的网站,请寻找基于云的WAF,例如Sucuri或WordFence。无需费心处理敏感的Web主机设置或设置昂贵的硬件,即可安装这些程序。

下一代防火墙

最后是下一代防火墙(NGFW),这是这一代安全技术中最新出现的发明之一。这些企业级工具就像上述所有工具合而为一。深度数据包过滤,入侵防御和应用程序监视只是它们广泛的网络功能中的几个。

下一代云防火墙确实可以在线提供服务,但WAF更为常见,并提供类似的功能。但是,如果您要使用绝对的最先进的防火墙技术,并且在一个程序中提供全套安全保护,则可以选择NGFW。

如何获得防火墙

为了保护您自己和您的网站,您需要一个高质量的防火墙,以防止入侵者进入。

就个人防火墙而言,通常无需费劲就可以得到一个。Windows的内置防火墙无需任何配置即可很好地工作。而且,在防病毒软件通常随附的应用程序防火墙和路由器上的数据包筛选器之间,计算机通常受到的保护还不够。

只要确保您的防火墙已激活,已安装好的防病毒软件以及路由器的配置正确即可。对于macOS用户可以说相同的话。

但是,如果您有一个需要保护的网站怎么办?

那就大不一样了。保护您的内置工具不多,通常由您来保护网站安全。例如,如果您运行的是WordPress,则没有防火墙或任何可保护服务器的内容,安全性插件是最常见的选择之一。

WordPress开发人员会尽最大努力使代码保持最佳状态,但是当确实出现漏洞时,您将无法防止入侵。

每个站点都可以从WAF中受益。Sucuri,Wordfence,Cloudflare等在线服务可以在几分钟内在您的服务器上进行设置。

Kinsta安全托管

Kinsta提供主动和被动措施以提高安全性

除了自己安装防火墙之外,您还应该选择一个可以正确维护其服务器的Web主机。太多便宜的主机不关心安全性,如果您的网站受到攻击,它可能会导致巨大的问题。

在Kinsta,我们提供安全的WordPress托管,其中包括硬件防火墙,暴力检测和安全保证。

Kinsta和Google Cloud Platform防火墙

借助GCP防火墙,Kinsta为所有Kinsta计划增加了一层额外的安全性。如果您不知道,我们的基础架构是建立在Google Cloud Platform之上的,这意味着托管在我们服务器上的每个网站都有自己的隔离容器。

这已经比大多数形式的托管更加安全,尤其是因为您的网站使用的是Google的一流技术。但是随着Google Cloud Platform防火墙的发布,它变得更好了。

我们其中一项计划中的每个站点现在都受到Google防火墙的保护。

这也可以与第三方WAF一起很好地工作。没有冲突,只为您的网站提供更多保护。有了Sucuri或Cloudflare之类的服务,您的服务器将几乎无法穿透。

概要

在现代的个人计算机上,由于大多数操作系统都已预先安装了防火墙,因此您通常不需要做很多事情。对于您的网站,太多的主机只是不关心服务器安全性,因此保护您自己就成了您的工作。

如果您正在寻找具有可支持任何规模站点的可靠安全基础结构的Web主机,请考虑使用Kinsta。有了我们的安全保证,您知道您将不会成为黑客的受害者。并且他们获得突破的机会极少,我们将采取措施免费清除该恶意软件。

即使您确实选择了具有大量安全性的可靠主机,也最好安装Web应用程序防火墙作为第二道防线。找到像Sucuri这样的优质服务,或下载WordPress安全插件,一切都会顺利进行。

如果您喜欢这篇文章,那么您会喜欢Kinsta的WordPress托管平台。加速您的网站并获得我们经验丰富的WordPress团队的24/7支持。我们基于Google Cloud的基础架构专注于自动扩展,性能和安全性。让我们向您展示Kinsta的与众不同!查看我们的计划