真正的談話？我們大多數(shù)人都知道防火墻是網(wǎng)絡(luò)安全的重要組成部分，但不知道防火墻是如何工作的或它們實(shí)際做了什么。信不信由你，有多種類型的防火墻，每種類型都提供不同的保護(hù)、優(yōu)點(diǎn)和缺點(diǎn)。為您的企業(yè)規(guī)模和類型選擇正確的防火墻類型可以對(duì)您企業(yè)的在線安全產(chǎn)生巨大影響。別擔(dān)心——我們隨時(shí)為您提供幫助。

我們已經(jīng)深入研究了網(wǎng)絡(luò)安全領(lǐng)域。我們已經(jīng)弄清楚了行業(yè)術(shù)語，并弄清楚了數(shù)據(jù)包過濾和應(yīng)用層檢查之間的區(qū)別。我們還提供了一系列建議，旨在幫助您找到適合您業(yè)務(wù)需求的完美防火墻解決方案。

適合企業(yè)的最佳防火墻類型

• Windows Defender 或 OS X 應(yīng)用程序防火墻:最適合創(chuàng)業(yè)者
• 第三方軟件防火墻：最適合處理敏感數(shù)據(jù)的個(gè)人
• 防火墻和殺毒軟件:最適合小型企業(yè)
• 基本路由器:最佳預(yù)算選項(xiàng)
• 防火墻路由器:最適合中型企業(yè)
• VPN路由器：最適合擁有多個(gè)地點(diǎn)的企業(yè)
• 負(fù)載均衡器：最適合托管自己網(wǎng)站的企業(yè)
• 統(tǒng)一威脅管理 (UTM):最適合大型企業(yè)

Windows Defender 或 OS X 應(yīng)用程序防火墻：最適合獨(dú)行者

大多數(shù)人沒有意識(shí)到他們的 Windows 或 Mac 計(jì)算機(jī)已經(jīng)包含免費(fèi)的防火墻軟件。因此，如果您是一個(gè)獨(dú)立經(jīng)營小型企業(yè)的個(gè)人，您可能已經(jīng)擁有所需的所有入侵保護(hù)——無需昂貴的第三方防火墻。

如果您有一臺(tái) Windows 計(jì)算機(jī)，則您的操作系統(tǒng)已經(jīng)包含 Windows Defender — Microsoft 的免費(fèi)防火墻軟件。Windows Defender 是一個(gè)狀態(tài)檢查防火墻，因此它會(huì)在每次在線交換時(shí)分析 TCP 握手和數(shù)據(jù)包標(biāo)簽（稍后會(huì)詳細(xì)介紹）。它已在您的計(jì)算機(jī)上預(yù)先啟用，因此您無需執(zhí)行任何操作即可開始使用。

在 Apple 計(jì)算機(jī)上，您會(huì)獲得 OS X 應(yīng)用程序防火墻——一種監(jiān)控 TCP 握手的電路級(jí)網(wǎng)關(guān)軟件。雖然它允許您設(shè)置自己的防火墻規(guī)則，但它不使用數(shù)據(jù)包過濾，這使得它不如免費(fèi)的 Windows 防火墻可靠。而且它沒有預(yù)先啟用，因此請(qǐng)務(wù)必在連接到 Internet 之前打開您的防火墻軟件。

還要記住，Windows Defender 和 OS X 應(yīng)用程序防火墻都是軟件防火墻，因此它們只能保護(hù)您的個(gè)人計(jì)算機(jī) - 因此我們將它們推薦給個(gè)人，而不是大公司。它們也相當(dāng)基礎(chǔ)，因此如果您要處理大量敏感數(shù)據(jù)（如客戶信用卡號(hào)、地址或電話號(hào)碼），您可能需要升級(jí)到第三方軟件防火墻。

第三方軟件防火墻：最適合處理敏感數(shù)據(jù)的個(gè)人

第三方防火墻補(bǔ)充了您計(jì)算機(jī)上現(xiàn)有的防火墻軟件。它們提供額外的安全功能來幫助阻止?jié)撛诘木W(wǎng)絡(luò)犯罪分子。每個(gè)第三方防火墻解決方案都提供了不同的功能組合，因此您可能需要進(jìn)行一些購物才能找到適合您需求的軟件。但功能可能包括額外的深度數(shù)據(jù)包檢測層、反垃圾郵件功能、數(shù)據(jù)備份等等——可能性幾乎是無窮無盡的。

如果您是處理敏感數(shù)據(jù)的個(gè)人，我們建議您使用此選項(xiàng)，因?yàn)樗鼮槟峁┝祟~外的工具和保護(hù)措施，以確保數(shù)據(jù)的安全，同時(shí)價(jià)格實(shí)惠且易于管理。

話雖如此，擁有多名員工的公司可能更喜歡硬件防火墻。由于軟件防火墻只能保護(hù)安裝了軟件的設(shè)備，因此它不能保護(hù)您的整個(gè)網(wǎng)絡(luò)。此外，您必須在網(wǎng)絡(luò)上的每臺(tái)設(shè)備（甚至是移動(dòng)設(shè)備！）上手動(dòng)安裝和更新軟件。根據(jù)軟件的不同，您可能還必須為每臺(tái)設(shè)備購買單獨(dú)的許可證，這很昂貴——尤其是考慮到許多第三方防火墻的價(jià)格。

不過，不要誤會(huì)我們的意思——在公司設(shè)備上安裝軟件防火墻仍然很重要。如果您網(wǎng)絡(luò)上的每臺(tái)設(shè)備都有軟件防火墻，那么即使有一臺(tái)設(shè)備被滲透，您的網(wǎng)絡(luò)仍然受到保護(hù)。軟件防火墻還允許您的員工在他們最喜歡的咖啡館工作，并享受與辦公室相同的在線安全性。我們只是說復(fù)雜的第三方軟件防火墻可能不適用于大公司——至少不能作為您的主要網(wǎng)絡(luò)安全解決方案。

防火墻 + 防病毒軟件：最適合小型企業(yè)

您擁有的員工越多，您網(wǎng)絡(luò)上的某個(gè)人就越有可能意外安裝惡意軟件或下載計(jì)算機(jī)病毒。這就是為什么我們認(rèn)為最好的小型企業(yè)防火墻是防火墻+防病毒軟件的組合。

包含防病毒軟件的防火墻使用深度數(shù)據(jù)包檢查來識(shí)別和拒絕包含惡意軟件或病毒的文件、消息和其他形式的數(shù)據(jù)。因此，與常規(guī)防火墻相比，它們具有更好的入侵檢測記錄。通常，此類軟件充當(dāng) Web 應(yīng)用程序防火墻，因此無論您使用哪個(gè)應(yīng)用程序訪問互聯(lián)網(wǎng)，它都能確保您的安全。

請(qǐng)記住，此建議仍然是軟件防火墻，因此它具有與第三方軟件防火墻相同的所有缺點(diǎn)。話雖如此，我們認(rèn)為如果您的員工人數(shù)超過幾個(gè)，那么在每位員工的設(shè)備上安裝和更新軟件所帶來的額外成本和不便都是值得的（因?yàn)椤安东@”惡意軟件或病毒的機(jī)會(huì)會(huì)隨著您的人數(shù)增加而增加）帶進(jìn)來）。

基本路由器：最佳預(yù)算選項(xiàng)

如果您經(jīng)營一家擁有多名員工的小型企業(yè)，那么您很可能已經(jīng)投資了一個(gè)基本的 Wi-Fi 路由器，因此辦公室中的每個(gè)人都可以同時(shí)連接到互聯(lián)網(wǎng)。如果是這樣，您已經(jīng)獲得了基本的防火墻保護(hù)。

Wi-Fi 路由器是一種出色的低預(yù)算、小型企業(yè)防火墻解決方案，因?yàn)槁酚善鲿?huì)自動(dòng)阻止任何不符合基本安全參數(shù)（當(dāng)然，由您設(shè)置）的外部流量。這基本上使您的路由器成為無狀態(tài)防火墻，像保鏢一樣監(jiān)控TCP 握手，以確保每個(gè)傳入的請(qǐng)求都在您的內(nèi)部網(wǎng)絡(luò)的“列表”上。

當(dāng)然，這意味著您的路由器只能提供最低限度的網(wǎng)絡(luò)安全性——如果您要處理大量不想被泄露的敏感數(shù)據(jù)，這并不理想。在這種情況下，您可能應(yīng)該升級(jí)到防火墻路由器或第三方軟件防火墻。

不過，從好的方面來說，路由器是硬件防火墻，因此它可以保護(hù)網(wǎng)絡(luò)上的所有設(shè)備。這可以節(jié)省您的資金，因?yàn)槟槐貫槊總€(gè)員工的計(jì)算機(jī)購買許可證。此外，您只需 10 美元就可以找到基本的路由器，而且您不必浪費(fèi)寶貴的業(yè)務(wù)時(shí)間在每位員工的計(jì)算機(jī)上更新、監(jiān)控和安裝防火墻。

防火墻路由器：最適合中型企業(yè)

隨著業(yè)務(wù)的發(fā)展，在每個(gè)員工設(shè)備上安裝和維護(hù)防火墻軟件變得越來越不切實(shí)際——至少作為網(wǎng)絡(luò)安全的主要形式。在這種情況下，一次保護(hù)整個(gè)網(wǎng)絡(luò)的硬件防火墻可能是更好的解決方案。輸入防火墻路由器。

防火墻路由器通過添加更復(fù)雜的防火墻規(guī)則來更好地識(shí)別安全威脅，從而升級(jí)您使用基本路由器獲得的安全性。某些型號(hào)提供狀態(tài)安全防火墻、內(nèi)置防病毒軟件（通過您的路由器而不是單個(gè)設(shè)備運(yùn)行）、應(yīng)用程序監(jiān)控和“家長”控制，以阻止員工訪問危險(xiǎn)站點(diǎn)（或任何您認(rèn)為不適合工作的站點(diǎn)）。

這意味著您可以獲得軟件防火墻的所有保護(hù)，但您可以在一臺(tái)設(shè)備中控制所有設(shè)置和更新。此外，您還可以為連接到 Wi-Fi 網(wǎng)絡(luò)的每臺(tái)設(shè)備（包括移動(dòng)設(shè)備）提供保護(hù)。

VPN路由器：最適合擁有多個(gè)地點(diǎn)的企業(yè)

如果您的業(yè)務(wù)分布在多個(gè)辦公室，或者您有遠(yuǎn)程員工，您就會(huì)知道讓每個(gè)人都在同一頁面上是多么困難。不過，好消息是：使用 VPN 路由器，它會(huì)變得更容易并提高您的安全性。

通常，只有 Internet 連接上的設(shè)備才能訪問您的內(nèi)部網(wǎng)絡(luò)。這意味著設(shè)備必須物理存在于同一位置才能相互連接以進(jìn)行文件共享、打印和其他內(nèi)部網(wǎng)絡(luò)功能。

但是使用虛擬專用網(wǎng)絡(luò)（或 VPN），您可以通過 VPN 隧道將您的私有內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)擴(kuò)展到其他批準(zhǔn)的設(shè)備和網(wǎng)絡(luò)。這些隧道充當(dāng)數(shù)據(jù)分層的另一層（例如將一封信放入盒子內(nèi)的信封中），過濾掉試圖滲透您內(nèi)部網(wǎng)絡(luò)連接的黑客的攻擊。

VPN 路由器簡化了這個(gè)過程。當(dāng)您的每個(gè)地點(diǎn)都使用 VPN 路由器時(shí)，您的路由器可以相互通信，有效地將每個(gè)辦公室的內(nèi)部網(wǎng)絡(luò)組合成一個(gè)大型專用網(wǎng)絡(luò)。最后，這使得與遠(yuǎn)程員工和辦公室的溝通和協(xié)作變得更加容易，同時(shí)仍然享受全公司范圍內(nèi)的高水平網(wǎng)絡(luò)安全。

負(fù)載均衡器：最適合托管自己網(wǎng)站的企業(yè)

如果您的企業(yè)在您自己的服務(wù)器上托管網(wǎng)站，那么除了您的專用網(wǎng)絡(luò)防火墻解決方案之外，您可能還需要一個(gè)負(fù)載平衡器。托管網(wǎng)站時(shí)，您的服務(wù)器需要面向外部，這意味著公眾可以訪問存儲(chǔ)在您服務(wù)器上的數(shù)據(jù)。否則，用戶將無法加載您的網(wǎng)站。但您還希望保護(hù)您的服務(wù)器免受黑客和其他惡意在線實(shí)體的侵害。幸運(yùn)的是，負(fù)載平衡器可以充當(dāng)自動(dòng)防火墻，就像內(nèi)部網(wǎng)絡(luò)的路由器一樣。

負(fù)載均衡器在您的服務(wù)器之間分配傳入流量。這樣，沒有單個(gè)服務(wù)器會(huì)被同時(shí)請(qǐng)求所淹沒。負(fù)載平衡不僅使您的托管網(wǎng)站加載速度更快，還可以保護(hù)您的企業(yè)免受 DDOS 攻擊（黑客劫持多個(gè)系統(tǒng)以壓倒您的服務(wù)器并使您的網(wǎng)站崩潰）。

如果您已經(jīng)在使用負(fù)載平衡，則可能不需要另一個(gè)防火墻來保護(hù)您的服務(wù)器。負(fù)載平衡器已經(jīng)監(jiān)視TCP 握手并執(zhí)行數(shù)據(jù)包過濾功能以確定分發(fā)傳入請(qǐng)求的最有效方式。換句話說，它已經(jīng)充當(dāng)了狀態(tài)防火墻并丟棄了惡意傳入流量。少一件需要擔(dān)心的事情，對(duì)吧？

統(tǒng)一威脅管理 (UTM)：最適合大型企業(yè)

如果您經(jīng)營大型企業(yè)級(jí)業(yè)務(wù)，您可能需要比路由器或單個(gè)軟件更復(fù)雜的安全解決方案。在這種情況下，您可能需要考慮統(tǒng)一威脅管理 (UTM) 解決方案。

每個(gè) UTM 產(chǎn)品都是不同的——有些是物理設(shè)備，有些是軟件，有些是基于云的，有些是這三者的組合。但是，無論采用何種實(shí)施方法，所有 UTM 解決方案都旨在為您的所有安全需求提供一站式服務(wù)。

UTM 解決方案通常在一個(gè)地方提供防火墻、防病毒、VPN 和其他入侵檢測和防御功能。這樣一來，您就可以對(duì) Wi-Fi 網(wǎng)絡(luò)（或虛擬專用網(wǎng)絡(luò)）上所有設(shè)備上的所有 Web 應(yīng)用程序進(jìn)行深度數(shù)據(jù)包過濾，但所有這些都在一個(gè)地方進(jìn)行控制。

UTM 解決方案的確切成本可能會(huì)因您選擇的提供商、業(yè)務(wù)規(guī)模以及 UTM 包含的特定功能組合而有很大差異。一些 UTM 的成本與第三方軟件防火墻大致相同。但要為更高的總體成本做好準(zhǔn)備——畢竟，您正在將防病毒保護(hù)、VPN 安全、軟件防火墻和硬件防火墻整合到一個(gè)解決方案中。

要知道的防火墻術(shù)語

防火墻提供商使用了很多行話，這使得很難理解每個(gè)選項(xiàng)實(shí)際提供的內(nèi)容。所以這里是我們?cè)诒疚闹薪?jīng)常使用的一些術(shù)語的快速和骯臟的細(xì)分。

TCP 握手

TCP聽起來像是毒品或高端清潔產(chǎn)品，但實(shí)際上是傳輸控制協(xié)議的簡稱。每個(gè)在線設(shè)備都使用 TCP 連接到互聯(lián)網(wǎng)，當(dāng)兩個(gè)設(shè)備想要相互連接時(shí)，它們使用 TCP 握手。

因此，假設(shè)您使用筆記本電腦并想要訪問一個(gè)網(wǎng)站。您的計(jì)算機(jī)會(huì)向托管該網(wǎng)站的服務(wù)器發(fā)送稱為SYNchronize的請(qǐng)求。然后，服務(wù)器將發(fā)回所謂的ACKnowledge響應(yīng)。最后，您的計(jì)算機(jī)會(huì)以自己的ACKnowledge響應(yīng)作為回報(bào)，并且——瞧！——你已連接到該網(wǎng)站。

這與防火墻和網(wǎng)絡(luò)安全有什么關(guān)系？聰明的黑客可以偽造 TCP 握手并使用它來訪問您企業(yè)的內(nèi)部網(wǎng)絡(luò)。這就是防火墻保護(hù)如此重要的最基本原因之一。

電路級(jí)網(wǎng)關(guān)

一些防火墻充當(dāng)電路級(jí)網(wǎng)關(guān)，這意味著它們監(jiān)視您的設(shè)備或網(wǎng)絡(luò)上的 TCP 握手以確定這些會(huì)話是否合法。這種類型的網(wǎng)絡(luò)過濾是一種非常基本的安全解決方案，但它可以幫助保護(hù)您免受黑客試圖偽造 TCP 握手以訪問您公司的專用網(wǎng)絡(luò)。

電路級(jí)網(wǎng)關(guān)還會(huì)屏蔽網(wǎng)絡(luò)上每個(gè)設(shè)備的單獨(dú) IP 地址。相反，所有來自您網(wǎng)絡(luò)的傳出流量都會(huì)被賦予一個(gè) ID，該 ID 與您的電路級(jí)網(wǎng)關(guān)設(shè)備（通常是路由器）的 IP 地址一起使用。這為您的公司和員工提供了額外的隱私保護(hù)。

包過濾

互聯(lián)網(wǎng)上的數(shù)據(jù)是通過數(shù)據(jù)包傳輸?shù)摹?shù)據(jù)包想象成信封：外部標(biāo)有遞送信息（遞送地址、退貨地址等），而內(nèi)部包含實(shí)際消息。TCP 握手完成后，您嘗試訪問的網(wǎng)站會(huì)發(fā)送一個(gè)數(shù)據(jù)包。該數(shù)據(jù)包標(biāo)有您的 IP 地址（交付地址）和源 IP（發(fā)件人地址），其中包含您的計(jì)算機(jī)用于加載頁面的少量數(shù)據(jù)。

包過濾是一個(gè)安全過程，您的防火墻會(huì)檢查發(fā)送到您 IP 地址的任何數(shù)據(jù)包外部的標(biāo)簽。數(shù)據(jù)包過濾安全解決方案使用一組預(yù)定義的防火墻規(guī)則（由您控制??）來確定（基于數(shù)據(jù)包標(biāo)簽）傳入流量是否是惡意的。如果它是惡意的，防火墻會(huì)丟棄數(shù)據(jù)包，從而拒絕訪問您的網(wǎng)絡(luò)并保護(hù)您免受黑客攻擊。

無狀態(tài)防火墻

無狀態(tài)防火墻是一種僅使用數(shù)據(jù)包過濾來監(jiān)控您的在線連接的防火墻。雖然包過濾無疑是阻止惡意流量進(jìn)入網(wǎng)絡(luò)的有效方法，但它仍然相當(dāng)基本，因?yàn)樗豢紤]傳入數(shù)據(jù)包的外部標(biāo)簽。因此，無狀態(tài)防火墻（雖然通常有效）不會(huì)使用更復(fù)雜的加密來識(shí)別欺詐連接。也就是說，無狀態(tài)防火墻可能仍帶有其他安全功能（如應(yīng)用程序監(jiān)控），因此您當(dāng)然不應(yīng)該將它們排除在外。

狀態(tài)檢測防火墻

狀態(tài)檢查防火墻稍微復(fù)雜一些，因?yàn)樗Y(jié)合了 TCP 握手監(jiān)控和基本數(shù)據(jù)包過濾的數(shù)據(jù)包標(biāo)簽檢查。這使得有狀態(tài)檢查防火墻比單獨(dú)的電路級(jí)網(wǎng)關(guān)或無狀態(tài)防火墻更安全，但它確實(shí)需要額外的計(jì)算資源。因此，如果您的小型企業(yè)買不起最新的設(shè)備，則狀態(tài)防火墻可能會(huì)降低您的計(jì)算機(jī)和 Internet 加載速度。

代理深度數(shù)據(jù)包檢測

如果數(shù)據(jù)包是信件，那么代理深度包檢測防火墻就是郵政檢查員。使用深度數(shù)據(jù)包檢查的安全防火墻代表您（通過代理）打開數(shù)據(jù)包，以便分析內(nèi)部的實(shí)際內(nèi)容并識(shí)別病毒、惡意軟件或其他威脅。這意味著只要您網(wǎng)絡(luò)中的某人試圖訪問可疑應(yīng)用程序或單擊電子郵件中的惡意鏈接，它就會(huì)保護(hù)您和您的員工。長話短說：深度數(shù)據(jù)包檢測使您的防火墻的入侵檢測更加強(qiáng)大。

下一代防火墻

許多網(wǎng)絡(luò)安全公司喜歡說他們提供“下一代防火墻”。但老實(shí)說，這主要只是一個(gè)流行語。到目前為止，對(duì)于什么是下一代防火墻還沒有行業(yè)標(biāo)準(zhǔn)，在線安全提供商通過在幾乎所有的防火墻產(chǎn)品上貼上“下一代”標(biāo)簽來利用這一點(diǎn)。因此，如果您已經(jīng)檢查了一些選項(xiàng)并且對(duì)下一代防火墻是什么（以及您是否需要）感到困惑，請(qǐng)不要擔(dān)心 - 這不是您。