您已經知道您的計算機需要保護,並且您可能會盡您所能確保其安全(我們希望如此)。 但除了您的計算機,在線伺服器也需要保護。 否則,它們特別容易受到攻擊。 無論您是在保護計算機、網路還是伺服器,如何阻止黑客和惡意流量? 帶防火牆。
簡單來說,防火牆就像一個虛擬的保鏢。 它在計算機和……嗯,其他一切之間提供保護。 讓我們從一個小小的 Internet 101 開始。每當您使用計算機訪問網站時,您都在連接到另一種類型的計算機:Web 伺服器。 由於伺服器本質上是計算機,因此它們容易受到與您的個人計算機相同類型的攻擊。
如果兩者之間沒有某種保護,您就不會連接到其他設備(例如陌生人的計算機或 iPhone),對嗎? 如果您這樣做了,您會擔心他們會竊取您的信息或以某種方式攻擊您的設備。 連接到 Web 伺服器也是如此。 從網路伺服器的角度來看,它需要在自身與每天與計算機建立的數千個連接之間進行保護。
什麼是防火牆?
回顧一下,它是一種用於網路安全的設備。 它監控網路流量——傳入和傳出——以根據其安全規則允許或阻止數據包。
其目的是在您的內部網路和從外部來源流入的流量(如互聯網的其餘部分)之間建立一個屏障。 這可以阻止黑客、病毒和其他惡意流量。
有預先設置的規則來分析和過濾流量,重新路由來自可疑或不安全來源的數據,以防止對您的網路的攻擊。
防火牆保護您的網站免受以下侵害:
- 蠻力攻擊:黑客嘗試數百個用戶名和密碼組合來發現您的登錄憑據。
- DDoS 攻擊:發送數千(甚至數百萬)個虛假數據包以導致伺服器過載並關閉您的站點的攻擊。
- 入侵:未經授權的用戶試圖訪問您的計算機或伺服器。
- 惡意軟體:攻擊者想用惡意軟體感染您的設備或伺服器,這些惡意軟體可以竊取您的個人信息、損害您的計算機,甚至傳播到其他設備。
埠和 IP 地址
防火牆將充當計算機入口點(稱為埠)的數據保護器。 這是數據在外部和內部設備之間流動的地方——也是您網路的一個脆弱點。
互聯網協議 (IP) 地址是分配給設備或網路的唯一地址。 就我們的目的而言,IP 地址是埠的所在——您的網路埠在某種程度上位於 IP 地址內。 首先,只有某些源地址才能通過 IP 地址。 之後,防火牆會提供更多過濾器,以便只有某些流量源才能訪問這些埠。 您,您的網路的所有者,可以訪問任何埠; 訪問者只能訪問其中的一部分——或者如果防火牆阻止訪問則不能訪問。
防火牆的類型
防火牆有多種類型,您使用哪一種取決於您的特定需求(單一設備與網路或伺服器保護)。
軟體與硬體
所有防火牆都屬於兩大類之一:軟體或硬體防火牆。 最好同時擁有兩者以獲得最大程度的保護,但有些人可能同時擁有其中一個。 無論哪種方式,這兩種類型的防火牆都在您的計算機和 Internet 的其餘部分之間設置了一道屏障。
- 軟體:這種類型的防火牆是安裝在您計算機上的程序。 它將通過應用程序和埠調節流量,以執行諸如監視和管理用戶、生成日誌和阻止應用程序之類的操作。
- 硬體:這種物理類型的防火牆是位於網關和網路之間的實際設備。 您的路由器是一種硬體防火牆,儘管有更多專用設備用於更大規模的用途。
您應該了解的有關硬體防火牆的信息
對於某些人來說,設置硬體防火牆很棘手,特別是如果您只有一台計算機需要保護,或者您經營一家小型企業但沒有經驗豐富的 IT 部門。 硬體防火牆會導致性能問題,尤其是與軟體防火牆一起使用時。 它們也沒有提供許多個人計算機所有者需要的全面保護,例如應用程序阻止。
但是,對於需要保護整個計算機網路的個人和企業來說,硬體防火牆就顯得更加必要了。 很難找到具有這種保護級別的軟體。 此外,如果黑客找到突破方法,他們可以輕鬆禁用軟體防火牆,但篡改物理設備要困難得多。
讓我們更多地了解不同類型的防火牆。
包過濾防火牆
數據包包括在您的計算機和伺服器之間流動的數據。 當您發送電子郵件、上傳文件或單擊鏈接時,數據包會從您的計算機發送到伺服器; 當您前往網站並載入網頁時,伺服器會向您的計算機發送一個數據包。
包過濾防火牆檢查包(即指定和源 IP 地址),如果它們不符合預設規則,則阻止它們通過。 因此,如果您嘗試訪問一個有惡意報告的網站,您的計算機將不會載入它以確保您的安全。
雖然這是一種非常常見的防火牆類型,但它並不是最有效的,尤其是與下一代防火牆(我們將在接下來討論)相比時。 保護是有限的,因為防火牆不掃描請求的內容,只掃描請求本身,這意味著它很可能讓來自它信任的來源的惡意請求通過。
如果您目前正在使用數據包過濾防火牆,那麼至少可以同時使用另一種更高級的防火牆。 但是,如果您使用的是更現代的防火牆,您可能不需要這樣做,因為它應該包含這種類型的保護。
下一代防火牆
下一代防火牆或 NGFW 能夠更好地保護您的設備和網路。 這些防火牆提供以下功能:
- 殺毒軟體
- 應用監控
- 深度包檢測
- 加密流量檢測
- 入侵防禦
這意味著檢查請求的數據,而不僅僅是請求本身,以確保沒有惡意嘗試通過。
代理防火牆
代理防火牆過濾應用級流量,充當終端系統之間的中介。 客戶端向防火牆發送請求,在與安全規則進行比較後,它要麼被允許,要麼被阻止。 代理防火牆以監控層協議(例如 FTP 和 HTTP)的流量而聞名。
網路地址轉換防火牆
網路地址轉換防火牆或 NAT 允許具有自己網路地址的不同設備使用一個 IP 地址連接到 Internet,並且各個 IP 地址保持隱藏狀態。 這樣,當攻擊者掃描網路以查找 IP 地址時,他們無法獲得有關所有在線設備的詳細信息。 這類似於代理防火牆的功能——NAT 是流量和一組計算機之間的中介。
狀態多層檢查防火牆
有狀態多層檢測防火牆,或簡稱有狀態防火牆或 SMLI,可在多個層(應用程序、網路和傳輸)過濾數據包。 每個數據包都經過整體檢查,並且只有在滿足安全準則的情況下才允許一次通過每一層。 此外,狀態防火牆識別模式,更容易阻止非法流量。
這種技術與包過濾防火牆形成對比,包過濾防火牆有時被稱為「無狀態」。 狀態防火牆對您的設備造成更大壓力,但那是因為它們存儲和分析了更多的數據包數據。
我需要防火牆嗎?
既然您對「什麼是防火牆」有了答案,您可能想知道是否需要一個。 你肯定會。 每當您擁有連接到 Internet 的設備(例如計算機)時,您都需要保護。 這不僅僅適用於計算機。 任何聯網設備都需要保護,例如您的智能手機。
可以這樣想:如果您在連接到 Internet 的設備上沒有防火牆,黑客可能會進入該設備,接管它,安裝他們想要的任何惡意軟體並找出您的所有敏感信息,比如你的銀行賬戶餘額和登錄信息。 它變得更糟。 黑客還可以進入您的攝像頭和麥克風觀看和/或聆聽您的聲音。
如果黑客進入 Web 伺服器,他們可以更改您的網站登錄憑據、破壞或刪除您的網站,甚至向您的網站添加惡意軟體,從而感染訪問者的設備。 如果發生這種情況,您可以告別流量和銷售。
除非您要保護自己的伺服器,否則要尋找以下類型的防火牆:
個人的
個人防火牆不是用於網路或 Web 伺服器,而是僅用於一台計算機。 您可能已經有了它——它通常是 Mac 或 Windows 計算機的標準配置,以及防病毒軟體。
個人防火牆執行以下操作:
- 分析所有傳入和傳出流量,以及與設備應用程序的連接是否安全。
- 保護您在連接網站和應用程序時使用的埠。 攻擊者無法看到這些埠在使用時是否打開。
- 防止黑客訪問和控制您的計算機。
- 防禦碰巧通過的攻擊。
Web應用程序
即使防火牆監控網路流量,它也可能無法檢測到來自應用程序、服務或軟體的流量。 這就是應用防火牆的用途——捕捉針對軟體或舊防火牆的惡意嘗試。
網路應用防火牆 (WAF) 以類似的方式工作,但它們專門用於監控網路應用程序,而不是計算機應用程序。 Web 應用程序的示例是第三方表單和購物車插件。 當 Web 應用程序被黑客入侵時,惡意軟體會發送到伺服器。
WAF 通常基於雲,這使得它們更易於設置,因為您無需在伺服器級別執行任何操作,但它們也可能是硬體防火牆的一部分。 另外,請記住,應用程序監控通常是下一代防火牆的一部分。
最後的想法
在您的計算機上內置防火牆,或者通過防病毒軟體獲得相同的保護,都很棒。 但是,如果您有一個需要保護的 WordPress 網站呢? 這就是那些基於雲的 WAF 的用武之地。信譽良好的在線服務和/或安全插件將保護您的站點並儘可能保證您和您的訪問者的安全。 此外,請確保為其伺服器選擇具有高級安全性的 Web 主機,包括可靠的防火牆。 好消息——我們已經收集了 六個最適合您的 WordPress 安全插件就在這裡.