您對(duì)惡意流量和軟件有什么防線(xiàn)？你有防火墻保護(hù)你的基礎(chǔ)設(shè)施嗎？安全性處于技術(shù)討論的最前沿。隨著行業(yè)創(chuàng)新和構(gòu)建網(wǎng)站、應(yīng)用程序和平臺(tái)，保護(hù)這些事物所在的環(huán)境變得越來(lái)越重要。在網(wǎng)絡(luò)托管空間中，有許多選項(xiàng)可用于保護(hù)您的基礎(chǔ)設(shè)施。但是您怎么知道要選擇哪些安全選項(xiàng)？防火墻可以證明是一種簡(jiǎn)單、有效且適度的數(shù)據(jù)安全解決方案。

什么是防火墻？

防火墻是一種用于網(wǎng)絡(luò)安全的設(shè)備，用于監(jiān)控傳入和傳出的網(wǎng)絡(luò)流量，并根據(jù)一組預(yù)定的安全規(guī)則確定是允許還是阻止它。您可以拒絕訪(fǎng)問(wèn)未經(jīng)授權(quán)的流量，而允許合法流量到達(dá)目的地。防火墻還可以阻止惡意軟件感染您的計(jì)算機(jī)。

防火墻的目的是什么？

防火墻的目的是減少或消除不需要的網(wǎng)絡(luò)連接并增加合法流量的自由流動(dòng)。防火墻是基礎(chǔ)架構(gòu)的重要補(bǔ)充，因?yàn)樗鼈兛梢詭椭鷮⒂?jì)算機(jī)和服務(wù)器與 Internet 隔離開(kāi)來(lái)，從而提供數(shù)據(jù)的安全性和隱私性。如前所述，它們不僅監(jiān)控進(jìn)出您的服務(wù)器的流量，而且在某些情況下還會(huì)限制該流量。

例如，如果我們考慮拒絕服務(wù) (DoS) 攻擊，錯(cuò)誤的流量會(huì)淹沒(méi)您的網(wǎng)站，并可能導(dǎo)致目標(biāo)網(wǎng)站的服務(wù)器癱瘓。適當(dāng)配置的防火墻可以幫助保護(hù)您的環(huán)境免受此類(lèi)情況的影響。您可以過(guò)濾流量并搜索指向攻擊正在進(jìn)行的異常情況的模式。

防火墻如何工作？

防火墻監(jiān)控所有數(shù)據(jù)流量，以根據(jù)預(yù)設(shè)規(guī)則允許良好數(shù)據(jù)并阻止不良數(shù)據(jù)。它使用以下三種方法中的一種或任意組合：數(shù)據(jù)包過(guò)濾、狀態(tài)檢查和代理服務(wù)。

1. 數(shù)據(jù)包過(guò)濾方法被實(shí)施以監(jiān)控網(wǎng)絡(luò)連接。數(shù)據(jù)包是沿給定網(wǎng)絡(luò)路徑傳輸?shù)拇虬谝黄鸬臄?shù)據(jù)單元。對(duì)包進(jìn)行分析并與配置規(guī)則或“訪(fǎng)問(wèn)列表”進(jìn)行比較。然后，防火墻會(huì)確定允許或拒絕訪(fǎng)問(wèn)您的環(huán)境的內(nèi)容。
2. 狀態(tài)檢查方法允許根據(jù)狀態(tài)、端口和協(xié)議分析流量模式。防火墻監(jiān)視連接上從打開(kāi)到關(guān)閉的活動(dòng)。它跟蹤已知的可信數(shù)據(jù)包，以確定來(lái)自網(wǎng)站或應(yīng)用程序的授權(quán)數(shù)據(jù)與來(lái)自黑客或其他網(wǎng)站安全漏洞的任何數(shù)據(jù)。
3. 代理服務(wù)方法可防止 Internet 流量與服務(wù)器之間的直接網(wǎng)絡(luò)連接。這種類(lèi)型的實(shí)現(xiàn)使?fàn)顟B(tài)檢查更進(jìn)一步。防火墻充當(dāng)您的服務(wù)器和最終用戶(hù)發(fā)出的請(qǐng)求之間的中介。檢查整個(gè)數(shù)據(jù)包，并根據(jù)規(guī)則集阻止或允許。

防火墻是一種軟件嗎？

防火墻可以是基于軟件或基于硬件的。每種類(lèi)型的防火墻都有其獨(dú)特的優(yōu)缺點(diǎn)。但是，防火墻的主要目標(biāo)是阻止惡意流量請(qǐng)求和數(shù)據(jù)包，同時(shí)允許合法流量通過(guò)。

硬件和軟件防火墻都有助于根據(jù)先前建立的安全策略監(jiān)控和過(guò)濾傳入和傳出的網(wǎng)絡(luò)流量。換句話(huà)說(shuō)，防火墻根據(jù)一組預(yù)先確定的安全規(guī)則來(lái)確定是允許還是阻止網(wǎng)絡(luò)流量。

硬件與軟件防火墻有什么區(qū)別？

硬件防火墻和軟件防火墻之間的主要區(qū)別在于，硬件防火墻運(yùn)行在其物理設(shè)備上，而軟件防火墻安裝在一臺(tái)或多臺(tái)機(jī)器上。

什么是硬件防火墻？

硬件防火墻是一種物理設(shè)備，配置為根據(jù)特定設(shè)置監(jiān)控和允許/拒絕基礎(chǔ)設(shè)施的流量。硬件防火墻還可以通過(guò)將防火墻與服務(wù)器分開(kāi)來(lái)實(shí)現(xiàn)服務(wù)器的最高性能，從而不使用任何服務(wù)器資源。

擁有硬件防火墻可確保您 100% 控制網(wǎng)絡(luò)上的流量。使用單個(gè)設(shè)備，您可以決定哪些流量應(yīng)該或不應(yīng)該到達(dá)您的服務(wù)器。無(wú)需安裝或啟用軟件防火墻，因?yàn)閿?shù)據(jù)包將在到達(dá)您的服務(wù)器之前被攔截和分析。

硬件防火墻也很容易配置。您通常可以設(shè)置默認(rèn)規(guī)則并將其應(yīng)用于所有流量。精細(xì)控制可將規(guī)則深入到不同的端口和服務(wù)，如 SSH（安全外殼）和 RDP（遠(yuǎn)程桌面協(xié)議），使微調(diào)變得簡(jiǎn)單。硬件防火墻的另一個(gè)好處是能夠直接與您的環(huán)境建立虛擬專(zhuān)用網(wǎng)絡(luò) (VPN) 連接。只要有穩(wěn)定的互聯(lián)網(wǎng)連接，您就可以訪(fǎng)問(wèn)您的基礎(chǔ)設(shè)施。

什么是軟件防火墻？

軟件防火墻是安裝在本地計(jì)算機(jī)上的防火墻，它根據(jù)配置的規(guī)則允許或拒絕進(jìn)出您的計(jì)算機(jī)的流量；它不需要任何物理設(shè)置。軟件防火墻本地安裝在您要保護(hù)的一個(gè)或多個(gè)設(shè)備上。您可以更精細(xì)地控制為運(yùn)行該軟件的每個(gè)特定設(shè)備設(shè)置的規(guī)則。流量可以分析到內(nèi)容并根據(jù)其中包含的關(guān)鍵字進(jìn)行阻止。

由于軟件防火墻是本地的，它通常對(duì)安全警報(bào)很有效。無(wú)論是管理規(guī)則還是用戶(hù)，管理員都可以參考日志或通知來(lái)確定設(shè)備上發(fā)生了什么。立即了解系統(tǒng)上正在發(fā)生的事情對(duì)您有利。

但是，要使軟件防火墻正常工作，需要在網(wǎng)絡(luò)中的每臺(tái)設(shè)備上安裝該軟件。如果 Internet 和您的系統(tǒng)之間沒(méi)有硬件防火墻，您的基礎(chǔ)設(shè)施可能容易受到攻擊。確保您的操作系統(tǒng)與您希望使用的軟件之間的兼容性也很重要。無(wú)論軟件有多好，兼容性問(wèn)題都會(huì)削弱您的安全有效性。

需要注意的一個(gè)小因素是軟件防火墻可能會(huì)占用您設(shè)備的資源。雖然具有更強(qiáng)大硬件的計(jì)算機(jī)和服務(wù)器可能不會(huì)注意到太大的差異，但那些資源有限的計(jì)算機(jī)和服務(wù)器可能會(huì)因某些軟件防火墻而減慢速度。軟件越輕量級(jí)，您的環(huán)境就會(huì)運(yùn)行得越好。

防火墻和防病毒軟件有什么區(qū)別？

找出防火墻和防病毒軟件之間的確切區(qū)別：

防火墻

防火墻是路由器的狀態(tài)版本。在這里，所有的數(shù)據(jù)包都通過(guò)防火墻進(jìn)入或離開(kāi)網(wǎng)絡(luò)，防火墻在檢查它們之后決定是允許還是阻止這些數(shù)據(jù)包。流量通過(guò)防火墻，只有經(jīng)過(guò)授權(quán)的流量才能獲得訪(fǎng)問(wèn)權(quán)限。 換句話(huà)說(shuō)，保護(hù)是通過(guò)只允許合法流量/訪(fǎng)問(wèn)并過(guò)濾掉所有未經(jīng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)私有網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的。

殺毒軟件

防病毒是一種應(yīng)用程序或軟件，可提供來(lái)自 Internet 的惡意數(shù)據(jù)的安全性。殺毒軟件的工作原理是三個(gè)步驟：

• 檢測(cè)：首先，防病毒軟件從設(shè)備中檢測(cè)病毒。
• 識(shí)別：檢測(cè)后識(shí)別病毒的類(lèi)型或病毒的行為。
• 刪除：識(shí)別病毒后，它可以從計(jì)算機(jī)中刪除。它作為預(yù)防措施起作用，以便刪除病毒并防止任何潛在的病毒在將來(lái)感染您的系統(tǒng)。

防火墻的優(yōu)點(diǎn)和缺點(diǎn)是什么？

防火墻的優(yōu)點(diǎn)是什么？

正如我們已經(jīng)討論過(guò)的，防火墻是防止黑客攻擊網(wǎng)絡(luò)的屏障。它將有助于保護(hù)您的網(wǎng)絡(luò)免受惡意軟件、未經(jīng)授權(quán)的流量等可疑活動(dòng)的影響。

監(jiān)控流量

防火墻監(jiān)控通過(guò)它的流量，并檢查是否有任何危險(xiǎn)的惡意軟件或附加到數(shù)據(jù)包的代碼。如果發(fā)現(xiàn)任何惡意數(shù)據(jù)包，它會(huì)立即阻止它們。

防止黑客病毒和惡意軟件注入

防火墻有助于保護(hù)服務(wù)器免受注入病毒和惡意軟件的黑客攻擊。它通過(guò)阻止未經(jīng)請(qǐng)求和不需要的傳入網(wǎng)絡(luò)流量來(lái)實(shí)現(xiàn)此目的。此外，防火墻通過(guò)評(píng)估此傳入流量中是否存在任何惡意（例如可能感染您的計(jì)算機(jī)的黑客和惡意軟件）來(lái)驗(yàn)證訪(fǎng)問(wèn)權(quán)限。

訪(fǎng)問(wèn)控制

防火墻是使用可以對(duì)某些主機(jī)和服務(wù)執(zhí)行的訪(fǎng)問(wèn)策略構(gòu)建的。為防止被黑客利用，最好阻止此類(lèi)主機(jī)訪(fǎng)問(wèn)設(shè)備。

軟件防火墻具有成本效益

軟件防火墻更便宜，并帶有最新的功能和更新的操作系統(tǒng)。甚至有一些軟件防火墻帶有高級(jí)防病毒軟件，可以提供更多保護(hù)。硬件防火墻往往比軟件防火墻貴一些。

隱私

當(dāng)談到互聯(lián)網(wǎng)訪(fǎng)問(wèn)時(shí)，隱私是用戶(hù)的主要關(guān)注點(diǎn)之一。黑客總是尋找私人信息。在這種情況下，帶有 VPN 的防火墻有助于隱藏域名服務(wù) (DNS) 和 IP 地址等個(gè)人信息，從而使黑客無(wú)法獲取任何私人信息。

簡(jiǎn)易安裝

安裝軟件防火墻非常簡(jiǎn)單，不需要任何專(zhuān)業(yè)指導(dǎo)。Internet 上有可幫助您完成安裝過(guò)程的教程。如今，所有現(xiàn)代操作系統(tǒng)都預(yù)裝了防火墻。

防火墻的缺點(diǎn)是什么？

保護(hù)和保護(hù)您的企業(yè)數(shù)據(jù)是您的公司可以承擔(dān)的防止欺詐或盜竊的最重要任務(wù)之一。通過(guò)防火墻的入侵威懾可以成為您公司網(wǎng)絡(luò)和黑客之間的可靠防御。但是，防火墻絕不應(yīng)該是您公司的唯一防線(xiàn)。

服務(wù)器資源性能

在性能方面，基于軟件的防火墻能夠限制計(jì)算機(jī)的整體性能。RAM 資源和處理能力是限制性能的一些因素。例如，不斷在后臺(tái)運(yùn)行的軟件防火墻使用更多的處理能力和 RAM 資源，這會(huì)阻礙系統(tǒng)性能。但是，硬件防火墻不會(huì)導(dǎo)致任何系統(tǒng)性能問(wèn)題，因?yàn)樗耆且粋€(gè)單獨(dú)的設(shè)備。

硬件防火墻成本更高

如前所述，軟件防火墻更便宜，并且?guī)в凶钚碌牟僮飨到y(tǒng)。有無(wú)數(shù)的產(chǎn)品可供選擇，價(jià)格不等。通常，小型企業(yè)的防火墻硬件起價(jià)在 700 美元左右，很快就會(huì)達(dá)到 10,000 美元左右。然而，大多數(shù)擁有 15 到 100 個(gè)用戶(hù)的公司預(yù)計(jì)防火墻的硬件成本在1,500 到 4,000 美元之間。

用戶(hù)限制

我們知道防火墻可以防止未經(jīng)授權(quán)從網(wǎng)絡(luò)訪(fǎng)問(wèn)我們的系統(tǒng)。但是，這對(duì)于大型組織來(lái)說(shuō)可能是個(gè)問(wèn)題。防火墻使用的策略可能不靈活，從而阻止員工執(zhí)行某些操作。有時(shí)，這可能會(huì)導(dǎo)致安全問(wèn)題，因?yàn)橥ㄟ^(guò)后門(mén)漏洞（一種使正常身份驗(yàn)證程序無(wú)效以訪(fǎng)問(wèn)系統(tǒng)的惡意軟件）傳遞的數(shù)據(jù)沒(méi)有得到正確檢查。因此，允許遠(yuǎn)程訪(fǎng)問(wèn)應(yīng)用程序中的資源，例如文件、服務(wù)器和數(shù)據(jù)庫(kù)。它提供了遠(yuǎn)程發(fā)出系統(tǒng)命令和更新惡意軟件的能力。

復(fù)雜的操作

大型組織的防火墻需要一組不同的員工（一個(gè)專(zhuān)門(mén)的安全團(tuán)隊(duì)只負(fù)責(zé)維護(hù)防火墻）來(lái)操作和維護(hù)它們。該團(tuán)隊(duì)將監(jiān)控并確保防火墻足夠安全，以保護(hù)網(wǎng)絡(luò)免受違規(guī)者的侵害。

防火墻的類(lèi)型有哪些？

有六種不同類(lèi)型的防火墻：

1.包過(guò)濾防火墻

包過(guò)濾是一種實(shí)現(xiàn)防火墻以監(jiān)控網(wǎng)絡(luò)連接的特定方法。數(shù)據(jù)包被分析并與配置規(guī)則或“訪(fǎng)問(wèn)列表”進(jìn)行比較。然后，防火墻會(huì)確定允許或拒絕訪(fǎng)問(wèn)您的環(huán)境的內(nèi)容。

2.狀態(tài)檢查防火墻

狀態(tài)檢查技術(shù)允許根據(jù)狀態(tài)、端口和協(xié)議分析流量模式。防火墻監(jiān)視連接上從打開(kāi)到關(guān)閉的活動(dòng)。接下來(lái)，防火墻會(huì)跟蹤已知的可信數(shù)據(jù)包，以區(qū)分來(lái)自網(wǎng)站或應(yīng)用程序的授權(quán)數(shù)據(jù)與來(lái)自未經(jīng)授權(quán)來(lái)源的任何數(shù)據(jù)。

3. 狀態(tài)多層檢測(cè)防火墻 (SMLI)

狀態(tài)多層檢測(cè)防火墻在網(wǎng)絡(luò)、傳輸和應(yīng)用層過(guò)濾數(shù)據(jù)包。SMLI 防火墻檢查整個(gè)數(shù)據(jù)包并將它們與受信任的數(shù)據(jù)包進(jìn)行比較。這些類(lèi)型的防火墻僅在數(shù)據(jù)包單獨(dú)通過(guò)每一層的過(guò)濾器時(shí)才允許數(shù)據(jù)包通過(guò)，從而確保所有通信都與受信任的來(lái)源進(jìn)行。

4.代理防火墻

基于代理的防火墻將狀態(tài)檢查更進(jìn)一步，防止 Internet 流量和服務(wù)器之間的直接網(wǎng)絡(luò)連接。防火墻充當(dāng)服務(wù)器和最終用戶(hù)請(qǐng)求之間的中介。檢查整個(gè)數(shù)據(jù)包，并根據(jù)設(shè)置的規(guī)則阻止或允許。

5. 下一代防火墻 (NGFW)

傳統(tǒng)防火墻僅檢查數(shù)據(jù)包標(biāo)頭，而下一代防火墻將傳統(tǒng)防火墻技術(shù)與附加功能相結(jié)合。與 SMLI 防火墻一樣，下一代防火墻分析數(shù)據(jù)包中的數(shù)據(jù)，以更有效地識(shí)別和阻止惡意數(shù)據(jù)。NGFW 包括附加功能，例如：

• 加密流量驗(yàn)證。
• 入侵預(yù)防。
• 防病毒軟件。
• 網(wǎng)站過(guò)濾。
• 入侵預(yù)防。
• 深度數(shù)據(jù)包檢測(cè) (DPI)。

6. 網(wǎng)絡(luò)地址轉(zhuǎn)換防火墻 (NAT)

NAT 防火墻類(lèi)似于代理防火墻，充當(dāng)一組計(jì)算機(jī)和外部流量之間的中介。它們充當(dāng)專(zhuān)用網(wǎng)絡(luò)，允許具有獨(dú)立網(wǎng)絡(luò)地址的多個(gè)設(shè)備通過(guò)單個(gè) IP 地址連接到 Internet。此防火墻后面的設(shè)備保持隱藏狀態(tài)，并且阻止了未經(jīng)請(qǐng)求的通信。

您需要防火墻來(lái)保護(hù)您的數(shù)據(jù)安全嗎？

是的，防火墻對(duì)于安全而言與防病毒程序一樣重要。防火墻阻止惡意軟件在網(wǎng)絡(luò)中傳播和傳播，并防止黑客試圖侵入目標(biāo)系統(tǒng)。

禁用防火墻可以：

• 導(dǎo)致惡意軟件注入并使企業(yè)容易受到濫用，從而使病毒感染互連設(shè)備和網(wǎng)絡(luò)犯罪分子以遠(yuǎn)程執(zhí)行惡意代碼。
• 允許所有數(shù)據(jù)包不受限制地進(jìn)出網(wǎng)絡(luò)。這包括預(yù)期的流量和惡意數(shù)據(jù)，從而使網(wǎng)絡(luò)處于危險(xiǎn)之中。
• 影響所有連接到網(wǎng)絡(luò)的設(shè)備。

受到傷害的不僅僅是相關(guān)的計(jì)算機(jī)。蠕蟲(chóng)是一種惡意軟件，可以通過(guò)網(wǎng)絡(luò)連接傳播，感染連接到局域網(wǎng) (LAN) 的所有計(jì)算機(jī)。

有哪些防火墻用例？

個(gè)人和家庭網(wǎng)絡(luò)

通過(guò)家庭 Internet 連接工作或娛樂(lè)的人當(dāng)然需要防火墻。在大多數(shù)情況下，大多數(shù)操作系統(tǒng)、家庭網(wǎng)絡(luò)路由器和防病毒軟件都會(huì)使用某些防火墻形式。除非有超出這些標(biāo)準(zhǔn)方法的需要，否則除了防火墻之外不需要太多其他東西。您當(dāng)然可以咨詢(xún)您的 Internet 服務(wù)提供商或信息技術(shù)專(zhuān)家，以獲得家庭網(wǎng)絡(luò)方面的幫助。

公司和辦公室網(wǎng)絡(luò)

您的辦公室或營(yíng)業(yè)場(chǎng)所需要基礎(chǔ)之外的安全性。無(wú)論您的基礎(chǔ)架構(gòu)是在內(nèi)部設(shè)置還是由提供商托管，確保傳入和傳出服務(wù)器的數(shù)據(jù)是合法的和受保護(hù)的都是必要的。探索用于保護(hù)您的數(shù)據(jù)和服務(wù)器的解決方案是值得的。

網(wǎng)站和應(yīng)用服務(wù)器網(wǎng)絡(luò)

使用托管提供商托管站點(diǎn)和應(yīng)用程序仍然需要一個(gè)安全的環(huán)境。DoS 攻擊、惡意軟件和其他對(duì)軟件漏洞的利用只是黑客部署的一些東西。通過(guò)適當(dāng)?shù)呐渲煤鸵?guī)則，您可以鎖定您的網(wǎng)站和應(yīng)用程序以獲取您的數(shù)據(jù)。

如何安裝防火墻

以下是如何通過(guò)六個(gè)步驟安裝防火墻：

1.保護(hù)您的防火墻

管理員對(duì)您的防火墻的訪(fǎng)問(wèn)權(quán)應(yīng)僅限于您信任的人。為了阻止任何潛在的攻擊者，請(qǐng)確保您的防火墻通過(guò)以下配置操作中的至少一個(gè)來(lái)保護(hù)：

• 將您的防火墻更新為供應(yīng)商推薦的最新固件。
• 刪除、禁用或重命名任何默認(rèn)用戶(hù)帳戶(hù)，并更改所有默認(rèn)密碼。?確保您使用的是強(qiáng)密碼。
• 如果多人管理防火墻，請(qǐng)根據(jù)職責(zé)創(chuàng)建具有有限權(quán)限的其他帳戶(hù)。不要共享用戶(hù)帳戶(hù)。跟蹤更改并記下誰(shuí)做了哪些更改以及原因。
• 限制可以更改防火墻配置的 IP 子網(wǎng)。

2. Architect 防火墻區(qū)域和 IP 地址

為了保護(hù)您的網(wǎng)絡(luò)數(shù)據(jù)，您應(yīng)該首先識(shí)別數(shù)據(jù)的類(lèi)型。接下來(lái)，創(chuàng)建一個(gè)計(jì)劃，其中根據(jù)業(yè)務(wù)和應(yīng)用程序需求組裝所有數(shù)據(jù)。圍繞數(shù)據(jù)敏感度級(jí)別、功能和網(wǎng)絡(luò)（或區(qū)域）構(gòu)建您的計(jì)劃。

通常，所有提供基于 Web 的服務(wù)（電子郵件、VPN 等）的服務(wù)器都應(yīng)組織到一個(gè)專(zhuān)用區(qū)域，以限制來(lái)自 Internet 的入站流量。該區(qū)域通常稱(chēng)為非軍事區(qū) (DMZ)。因此，不直接從 Internet 訪(fǎng)問(wèn)的服務(wù)器應(yīng)放置在內(nèi)部服務(wù)器區(qū)域下。這些區(qū)域通常包含工作站、數(shù)據(jù)庫(kù)服務(wù)器和任何銷(xiāo)售點(diǎn) (POS) 或互聯(lián)網(wǎng)協(xié)議語(yǔ)音 (VoIP) 設(shè)備。

如果您使用的是 IP 版本 4，則應(yīng)為所有內(nèi)部網(wǎng)絡(luò)使用內(nèi)部 IP 地址。網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 必須配置為允許內(nèi)部設(shè)備在必要時(shí)在 Internet 上進(jìn)行通信（例如，連接調(diào)制解調(diào)器、電纜等）。一旦您開(kāi)發(fā)了您的網(wǎng)絡(luò)區(qū)域系統(tǒng)并建立了相應(yīng)的 IP 地址策略，您就可以創(chuàng)建防火墻區(qū)域并將它們分配給您的防火墻接口。

3.配置訪(fǎng)問(wèn)控制列表

指定網(wǎng)絡(luò)區(qū)域并將其分配給接口后，您將開(kāi)發(fā)稱(chēng)為訪(fǎng)問(wèn)控制列表 (ACL) 的防火墻規(guī)則。ACL 確定哪些流量需要授權(quán)才能流入和流出每個(gè)區(qū)域。您的 ACL 應(yīng)盡可能具體。

要過(guò)濾未經(jīng)授權(quán)的流量，請(qǐng)?jiān)诿總€(gè) ACL 的末尾創(chuàng)建拒絕所有規(guī)則。接下來(lái)，為每個(gè)接口使用入站和出站 ACL（訪(fǎng)問(wèn)控制列表）。如果可能，請(qǐng)從公共訪(fǎng)問(wèn)中禁用防火墻管理界面。請(qǐng)記住在此階段盡可能詳細(xì)。

確保研究防火墻控制下一代級(jí)別流量的能力：

• 它可以根據(jù)網(wǎng)絡(luò)類(lèi)別阻止流量嗎？
• 你能打開(kāi)文件的高級(jí)掃描嗎？
• 它是否包含某種程度的入侵防御系統(tǒng) (IPS) 功能？

4. 配置您的其他防火墻服務(wù)和日志記錄

如果愿意，防火墻應(yīng)該用作網(wǎng)絡(luò)時(shí)間協(xié)議 (NTP) 服務(wù)器、動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 服務(wù)器、入侵防御系統(tǒng)等。禁用您不打算使用的任何服務(wù)。為了滿(mǎn)足支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)的要求，防火墻應(yīng)配置為向您的日志服務(wù)器報(bào)告并確保包含足夠的詳細(xì)信息。

5. 測(cè)試你的防火墻配置

驗(yàn)證您的防火墻是否阻止了根據(jù)您的 ACL 配置應(yīng)阻止的流量。這應(yīng)該包括滲透測(cè)試和漏洞掃描。確保您保留所有防火墻配置的安全備份，以防出現(xiàn)任何故障。如果一切順利，您的防火墻就可以投入生產(chǎn)了。在進(jìn)行任何更改之前，請(qǐng)測(cè)試恢復(fù)配置的過(guò)程、做筆記并測(cè)試您的恢復(fù)過(guò)程。

6. 防火墻管理

一旦您的防火墻配置并正確運(yùn)行，您將需要對(duì)其進(jìn)行維護(hù)以使其發(fā)揮最佳功能。確保至少每六個(gè)月更新一次固件、執(zhí)行漏洞掃描、監(jiān)控日志并檢查您的配置規(guī)則。托管主機(jī)為您處理基礎(chǔ)架構(gòu)中硬件防火墻的安裝、監(jiān)控和維護(hù)。

如何安裝軟件防火墻

Windows 附帶一個(gè)稱(chēng)為 Windows 防火墻的防火墻。它是從控制面板訪(fǎng)問(wèn)的。請(qǐng)按照以下步驟確保防火墻已打開(kāi)：

1. 打開(kāi)控制面板。
2. 單擊系統(tǒng)和安全標(biāo)題。
3. 單擊Windows 防火墻標(biāo)題。

1. 單擊Windows 防火墻窗口左側(cè)的打開(kāi)或關(guān)閉Windows 防火墻鏈接。

防火墻現(xiàn)已開(kāi)啟。