防火牆 (電腦)
防火牆(英文:firewall)係一種用嚟保護電腦系統同網絡安全嘅技術同設備,主要功能係根據預先設定嘅規則,監控、過濾同控制網絡之間(例如互聯網同內部網絡)嘅資料流量,以減少未經授權存取、惡意攻擊同資料外洩嘅風險。防火牆可以係硬件、軟件,或者兩者結合。
歷史
[編輯]防火牆概念源自網絡安全發展早期,用嚟將可信任嘅內部網絡同不可信任嘅外部網絡分隔。隨住互聯網普及、網絡攻擊手法演變,防火牆由最初只係簡單封鎖某啲通訊埠(port),發展到可以檢查應用層內容、配合入侵防禦、威脅情報等功能嘅綜合式保安閘口。
主要功能
[編輯]防火牆一般包括以下功能:
類型
[編輯]硬件防火牆
[編輯]硬件防火牆係一種實體設備,通常安裝喺網絡入口位置,連接內部網絡同外部互聯網。呢類防火牆主要用喺企業網絡中,提供高效能嘅流量處理同多層次安全功能。
特點:
- 獨立運作,唔會影響內部計算機性能。
- 支援高流量處理,適合大型網絡。
- 通常內置多種安全功能,例如VPN(虛擬私人網絡)、入侵檢測系統(IDS)同防毒功能。
- 設置較為複雜,需要專業技術人員管理。
軟件防火牆
[編輯]軟件防火牆係一種安裝喺操作系統或者應用層面嘅防火牆,主要用嚟保護單一設備,適合個人用戶或者小型網絡。
特點:
- 安裝靈活,通常內置於操作系統(例如Windows 防火牆、macOS防火牆)。
- 用戶可以根據需要自定義規則,例如允許或者禁止某啲應用程序訪問網絡。
- 可能會影響設備性能,因為需要占用部分系統資源。
- 易於更新,可以快速應對新型威脅。
網絡防火牆
[編輯]網絡防火牆屬於一種基於網絡基礎設施嘅防火牆,通常部署喺路由器、交換機或者專用網關設備上,保護整個網絡層嘅流量。
特點:
- 可以管理內部網絡同外部網絡之間嘅全部數據流。
- 支援多用戶同多設備,適合中大型網絡環境。
- 可以設定分區(例如VLAN)同流量規則,實現精細化嘅網絡控制。
- 部署成本較高,但安全性亦相應提高。
包過濾防火牆(Packet Filtering Firewall)
[編輯]呢種防火牆係最基本嘅類型,通過檢查數據包嘅頭部資訊(例如IP地址、端口號、協議類型)嚟決定數據包係咪可以通過。
特點:
- 運行喺網絡層(OSI模型第3層)。
- 高效能,但無法檢查數據包內容,對應用層攻擊無效。
- 配置簡單,適合小型網絡或者基礎防護。
狀態檢測防火牆(Stateful Inspection Firewall)
[編輯]狀態檢測防火牆可以追踪每個連接嘅狀態,並根據連接上下文作出智能決定。
特點:
- 比包過濾防火牆更精確,可以追踪TCP/UDP連接嘅狀態。
- 提供更高層次嘅安全性,但資源消耗較高。
- 適合需要中高級安全保障嘅網絡。
應用層防火牆(Application Layer Firewall)
[編輯]應用層防火牆可以分析數據包嘅內容,對應用層協議(例如HTTP、FTP)進行檢查,從而阻止惡意內容。
特點:
- 運行喺OSI模型第7層。
- 可以檢測同阻止針對應用層嘅攻擊,例如SQL注入、跨站腳本攻擊。
- 處理速度較慢,因為需要深度檢查數據包內容。
- 常見喺Web應用防火牆(WAF)中。
下一代防火牆(NGFW,Next-Generation Firewall)
[編輯]下一代防火牆係結合傳統防火牆同多種安全技術(例如入侵防禦系統、應用識別、數據防洩漏)嘅綜合型防護設備。
特點:
- 支援深度包檢測(DPI),可以識別應用程序同用戶。
- 提供多層次保護,例如防止惡意軟件、釣魚攻擊同零日漏洞。
- 適合中大型企業,通常用作主要安全設備。
- 成本較高,但安全效能強。
雲防火牆(Cloud Firewall)
[編輯]雲防火牆係一種基於雲端嘅防護服務,無需實體設備,適合雲計算環境。
特點:
- 可擴展性高,適合動態變化嘅業務需求。
- 支援即時更新,快速應對新型威脅。
- 配置簡單,用戶只需通過管理介面設置規則。
- 依賴互聯網連接,可能會受到網絡延遲影響。
局限
[編輯]防火牆唔係萬能,主要局限包括:
- 唔等於防毒:防火牆主要管流量,未必能完全阻止惡意程式進入或執行。
- 加密流量難檢查:越來越多流量用TLS加密,若唔做解密檢查,內容層威脅較難偵測。
- 內部威脅:若攻擊者已入侵內部主機,防火牆未必能阻止橫向移動(需配合分段、零信任等)。
- 設定錯誤風險:規則過鬆會造成漏洞,過緊又可能影響正常業務;維護成本同專業要求較高。