每個網站都需要保護。就像您的個人計算機一樣,在線伺服器也可能成為攻擊目標。您需要一種方法來阻止黑客或其他非法流量來源。那就是防火牆進來的地方。
簡而言之,什麼是防火牆?這是計算機與「外部世界」之間的障礙。
如果您使網站不受保護,惡意參與者可能會對您的伺服器造成嚴重破壞,這就是為什麼您應該盡一切努力來保護WordPress網站。設置防火牆應該是您的首要任務之一。
但是有許多不同類型的防火牆,您可能不知道從哪裡開始。讓我們遍歷所有類型的防火牆,何時需要一台,以及如何在伺服器上進行設置。
什麼是防火牆?防火牆做什麼?
每當您訪問網站時,您基本上都在連接到另一台計算機:Web伺服器。但是,由於伺服器只是一台專用計算機,因此很容易遭受與您自己的PC相同類型的攻擊。
直接連接到另一台設備,而中間沒有任何保護是不安全的。建立連接後,用惡意軟體感染另一方或發起DDoS攻擊要容易得多。
這就是防火牆的用途。它是您與試圖連接到您的任何其他設備之間的中介,或者是在Web伺服器的情況下,它與它每天與他人建立的數百或數千個連接之間的中介。
那麼防火牆到底是如何工作的呢?
防火牆僅監視設備上的傳入和傳出流量,掃描是否有惡意活動跡象。如果檢測到可疑物品,它將立即阻止其到達目的地。
對於您的計算機或伺服器而言,這是一個很大的過濾系統。
防火牆在最初開發時是非常簡單的數據包分析器,它基於最小的預定義規則集來允許或阻止傳入的流量。它們非常容易繞開。
如今,它們已經演變為複雜的編程部分,它們可以更好地阻止未經嘗試的入侵,並且是所有設備必不可少的軟體。
需要防火牆時
您可能想知道:什麼時候需要防火牆?我真的需要一個嗎?
連接到Internet的任何計算機都需要防火牆。不僅您的計算機,而且您的Web伺服器,電話,IoT設備或任何您能想到的具有使用Internet的能力。
不受保護的設備很容易被入侵和感染。
這可能使黑客能夠接管您的計算機,安裝他們想要的任何東西,在您輸入敏感信息(例如銀行憑證)時進行監視,甚至查看您的網路攝像頭/攝像機,並通過麥克風進行監聽。
對於網路伺服器,如果黑客設法通過,他們可能會破壞您的網站,嵌入感染您的訪問者的惡意軟體,更改您的WordPress管理員登錄憑據或完全關閉您的網站。
沒有防火牆,您的網站甚至您的個人設備都容易受到DDoS攻擊,這種攻擊媒介會發送成千上萬的虛假數據包,從而使您的伺服器超載,並使您的網站或Internet癱瘓。
不服氣嗎?防火牆可以保護您或您的網站免受以下攻擊:
- 入侵:防火牆可防止未經授權的用戶遠程訪問您的計算機或伺服器,並執行他們想要的任何操作。
- 惡意軟體:設法滲透的攻擊者可以發送惡意軟體來感染您或您的伺服器。惡意軟體可能會竊取個人信息,將自身傳播給其他用戶,或者以其他方式損壞您的計算機。
- 蠻力攻擊:黑客試圖嘗試數百種用戶名和密碼組合來發現您的管理員(或其他用戶)登錄憑據。
- DDoS攻擊:防火牆(尤其是Web應用程序防火牆)可以嘗試檢測DDoS攻擊期間發生的虛假流量湧入。
防火牆類型
有許多不同類型的防火牆,每種防火牆都針對不同的情況而設計。有些適用於單台計算機,而另一些適用於網路範圍的過濾。
它們的工作方式各不相同,並且在阻止某些類型的流量方面效果更好。如果您想知道該尋找哪個,我們將分解所有主要類型的防火牆。
快速摘要:除非您正在運行自己的伺服器堆棧(使用自己的Internet提供網站),否則您主要需要擔心的防火牆類型是個人防火牆,軟體防火牆和Web應用程序防火牆。
使用WordPress,我們的流量增長了1,187%。
我們將向您展示如何。
加入20,000多個其他人,他們每周都會收到有關WordPress內部技巧的新聞!
現在訂閱
成功!感謝您的訂閱
您將在一周內收到下一期的Kinsta新聞通訊。
訂閱Kinsta新聞通訊
訂閱
我同意條款和條件以及隱私政策
這三個是最重要的。但是,如果您想更好地了解防火牆的工作方式以及這些年來的發展情況,請閱讀更多有關其餘內容的信息。
個人防火牆
防火牆的工作方式有很大不同,具體取決於是單台計算機,整個網路(例如在業務辦公室內部)還是Web伺服器使用它們。個人防火牆只能在一台計算機上使用。這是預裝在Windows和Mac計算機上或與防病毒軟體一起安裝的防火牆。
儘管它的工作方式與伺服器防火牆類似(根據一組預定義的規則允許或拒絕來自其他設備,應用程序和IP的連接),但其功能卻有所不同。
個人防火牆可以保護您用於連接到網站和在線應用程序的埠(將其隱藏起來,以使攻擊者無法看到它們是打開的),防禦通過網路傳播的攻擊,防止人們訪問和接管您的計算機,並分析所有傳入和傳出流量。
它們還充當應用程序防火牆,監視設備上應用程序的活動,並拒絕允許使用不安全或未知軟體建立連接。
如今,獲得個人防火牆相當容易。如果您使用任何現代版本的Windows,則默認情況下應該已經有一個正在運行的Windows。
Mac計算機也附帶一台,但您需要自己打開它。為此,請導航至系統偏好設置,單擊安全性和隱私,然後單擊防火牆:
防病毒軟體通常也自帶。Avast防病毒軟體就是一個例子:其軟體防火牆與Windows兼容,可作為第二道防線。
付費第三方個人防火牆也存在,但它們可能與您的默認設置衝突。
硬體與軟體防火牆
防火牆有兩種不同的形狀:硬體和軟體防火牆。軟體防火牆是計算機的可下載程序,可以從中央控制面板進行監視。硬體防火牆提供了類似的功能,但實際上已安裝在建築物中。
您可能不知道,但是家裡可能有一種硬體防火牆:路由器,允許您連接到互聯網的設備。雖然它與專用硬體防火牆設備不完全相同,但它提供了監視,允許或拒絕連接的類似功能。
軟體和硬體防火牆都位於您的計算機和外界之間,仔細分析任何試圖穿過的連接。您可以在網路上運行它們中的一個或兩個。
但是,硬體防火牆也有一些缺點。它們很難設置並且需要持續的維護,因此它們通常不適合單台計算機或沒有IT部門的小型企業。它們可能導致性能問題,尤其是與軟體防火牆堆疊在一起時。而且它們不適合阻止設備上的應用程序或基於用戶的限制。
另一方面,硬體防火牆將輕鬆保護您的整個計算機網路,而為此設置軟體則是一項艱巨的任務。而且,儘管攻擊者可以設法阻止軟體進入,但他們無法篡改物理設備。
顧名思義,軟體防火牆可以更好地處理計算機上的程序。阻止應用程序,管理用戶,生成日誌以及監視網路上的用戶是他們的專長。它們在網路範圍內配置不是那麼容易,但是當安裝在多個設備上時,它們可以實現更好的控制。
數據包過濾防火牆
包過濾防火牆是最簡單的防火牆,也是最早開發的防火牆之一。數據包是計算機和伺服器之間交換的數據。單擊鏈接,上載文件或發送電子郵件時,會將數據包發送到伺服器。當您載入網頁時,它會向您發送數據包。
數據包過濾防火牆會分析這些數據包,並根據一組預定義的規則將其阻止。例如,您可以阻止源自某個伺服器或IP地址的數據包,或試圖到達伺服器上某個目標的數據包。
缺點:這些類型的防火牆簡單易行。無法應用高級規則。如果允許流量通過某個埠,則包過濾防火牆將允許任何東西通過,即使是到現代防火牆的流量顯然也不合法。
這些功能的唯一好處是它們非常簡單,幾乎不影響性能。他們不檢查流量,保存日誌或執行任何高級功能。如今,應避免使用數據包篩選防火牆,或至少將其與更高級的防火牆搭配使用,因為有更好的解決方案。
狀態防火牆
在「無狀態」之後,簡單的數據包篩選器便出現了狀態防火牆技術。這是革命性的,因為有狀態的防火牆不僅可以分析數據包通過時的數據包並根據簡單的參數進行拒絕,還可以處理動態信息並在數據包通過網路時繼續監視數據包。
一個簡單的數據包篩選防火牆只能基於IP地址或埠之類的靜態信息進行阻止。狀態防火牆更擅長檢測和阻止非法流量,因為它們可以識別模式和其他高級概念。
與無狀態防火牆相比,缺點是它們的強度更高,這是因為將數據包數據存儲在內存中並進行了更嚴格的分析,此外還要保留阻止和通過的日誌。但是它們是一個更好的解決方案。
Web應用防火牆
儘管今天仍然使用有狀態技術,但僅靠狀態技術已不足以有效地保持網路安全。應用程序和Web應用程序防火牆是下一步。
是否需要為您的網站提供快速,可靠且完全安全的託管服務?Kinsta提供了所有這些以及WordPress專家提供的24/7世界一流的支持。查看我們的計劃
傳統防火牆僅監視網路上的常規流量。他們很難或完全無法檢測到來自應用程序,服務或其他軟體的流量。應用程序防火牆旨在與這些程序配合使用,以利用軟體漏洞捕獲越過較舊的防火牆的入侵企圖。
它們還可以用作企業的家長控制系統,從而完全阻止對某些應用程序和網站的訪問。
Web應用程序防火牆的工作原理類似,但是它們監視Web應用程序而不是計算機上的程序。Web應用程序的示例是第三方表單或購物車插件,有時可能會被劫持以將惡意軟體發送到您的伺服器。沒有WAF,您很容易受到這些攻擊。
許多WAF都是基於雲的,這意味著您無需對伺服器進行任何重大更改即可進行設置。但是它們也可以存在於硬體或伺服器軟體上。
如果您需要防火牆服務來保護您的網站,請尋找基於雲的WAF,例如Sucuri或WordFence。無需費心處理敏感的Web主機設置或設置昂貴的硬體,即可安裝這些程序。
下一代防火牆
最後是下一代防火牆(NGFW),這是這一代安全技術中最新出現的發明之一。這些企業級工具就像上述所有工具合而為一。深度數據包過濾,入侵防禦和應用程序監視只是它們廣泛的網路功能中的幾個。
下一代雲防火牆確實可以在線提供服務,但WAF更為常見,並提供類似的功能。但是,如果您要使用絕對的最先進的防火牆技術,並且在一個程序中提供全套安全保護,則可以選擇NGFW。
如何獲得防火牆
為了保護您自己和您的網站,您需要一個高質量的防火牆,以防止入侵者進入。
就個人防火牆而言,通常無需費勁就可以得到一個。Windows的內置防火牆無需任何配置即可很好地工作。而且,在防病毒軟體通常隨附的應用程序防火牆和路由器上的數據包篩選器之間,計算機通常受到的保護還不夠。
只要確保您的防火牆已激活,已安裝好的防病毒軟體以及路由器的配置正確即可。對於macOS用戶可以說相同的話。
但是,如果您有一個需要保護的網站怎麼辦?
那就大不一樣了。保護您的內置工具不多,通常由您來保護網站安全。例如,如果您運行的是WordPress,則沒有防火牆或任何可保護伺服器的內容,安全性插件是最常見的選擇之一。
WordPress開發人員會盡最大努力使代碼保持最佳狀態,但是當確實出現漏洞時,您將無法防止入侵。
每個站點都可以從WAF中受益。Sucuri,Wordfence,Cloudflare等在線服務可以在幾分鐘內在您的伺服器上進行設置。
除了自己安裝防火牆之外,您還應該選擇一個可以正確維護其伺服器的Web主機。太多便宜的主機不關心安全性,如果您的網站受到攻擊,它可能會導致巨大的問題。
在Kinsta,我們提供安全的WordPress託管,其中包括硬體防火牆,暴力檢測和安全保證。
Kinsta和Google Cloud Platform防火牆
藉助GCP防火牆,Kinsta為所有Kinsta計劃增加了一層額外的安全性。如果您不知道,我們的基礎架構是建立在Google Cloud Platform之上的,這意味著託管在我們伺服器上的每個網站都有自己的隔離容器。
這已經比大多數形式的託管更加安全,尤其是因為您的網站使用的是Google的一流技術。但是隨著Google Cloud Platform防火牆的發布,它變得更好了。
我們其中一項計劃中的每個站點現在都受到Google防火牆的保護。
這也可以與第三方WAF一起很好地工作。沒有衝突,只為您的網站提供更多保護。有了Sucuri或Cloudflare之類的服務,您的伺服器將幾乎無法穿透。
概要
在現代的個人計算機上,由於大多數操作系統都已預先安裝了防火牆,因此您通常不需要做很多事情。對於您的網站,太多的主機只是不關心伺服器安全性,因此保護您自己就成了您的工作。
如果您正在尋找具有可支持任何規模站點的可靠安全基礎結構的Web主機,請考慮使用Kinsta。有了我們的安全保證,您知道您將不會成為黑客的受害者。並且他們獲得突破的機會極少,我們將採取措施免費清除該惡意軟體。
即使您確實選擇了具有大量安全性的可靠主機,也最好安裝Web應用程序防火牆作為第二道防線。找到像Sucuri這樣的優質服務,或下載WordPress安全插件,一切都會順利進行。
如果您喜歡這篇文章,那麼您會喜歡Kinsta的WordPress託管平台。加速您的網站並獲得我們經驗豐富的WordPress團隊的24/7支持。我們基於Google Cloud的基礎架構專註於自動擴展,性能和安全性。讓我們向您展示Kinsta的與眾不同!查看我們的計劃