真正的談話?我們大多數人都知道防火墻是網絡安全的重要組成部分,但不知道防火墻是如何工作的或它們實際做了什么。信不信由你,有多種類型的防火墻,每種類型都提供不同的保護、優點和缺點。為您的企業規模和類型選擇正確的防火墻類型可以對您企業的在線安全產生巨大影響。別擔心——我們隨時為您提供幫助。
我們已經深入研究了網絡安全領域。我們已經弄清楚了行業術語,并弄清楚了數據包過濾和應用層檢查之間的區別。我們還提供了一系列建議,旨在幫助您找到適合您業務需求的完美防火墻解決方案。
適合企業的最佳防火墻類型
- Windows Defender 或 OS X 應用程序防火墻:最適合創業者
- 第三方軟件防火墻:最適合處理敏感數據的個人
- 防火墻和殺毒軟件:最適合小型企業
- 基本路由器:最佳預算選項
- 防火墻路由器:最適合中型企業
- VPN路由器:最適合擁有多個地點的企業
- 負載均衡器:最適合托管自己網站的企業
- 統一威脅管理 (UTM):最適合大型企業
Windows Defender 或 OS X 應用程序防火墻:最適合獨行者
大多數人沒有意識到他們的 Windows 或 Mac 計算機已經包含免費的防火墻軟件。因此,如果您是一個獨立經營小型企業的個人,您可能已經擁有所需的所有入侵保護——無需昂貴的第三方防火墻。
如果您有一臺 Windows 計算機,則您的操作系統已經包含 Windows Defender — Microsoft 的免費防火墻軟件。Windows Defender 是一個狀態檢查防火墻,因此它會在每次在線交換時分析 TCP 握手和數據包標簽(稍后會詳細介紹)。它已在您的計算機上預先啟用,因此您無需執行任何操作即可開始使用。
在 Apple 計算機上,您會獲得 OS X 應用程序防火墻——一種監控 TCP 握手的電路級網關軟件。雖然它允許您設置自己的防火墻規則,但它不使用數據包過濾,這使得它不如免費的 Windows 防火墻可靠。而且它沒有預先啟用,因此請務必在連接到 Internet 之前打開您的防火墻軟件。
還要記住,Windows Defender 和 OS X 應用程序防火墻都是軟件防火墻,因此它們只能保護您的個人計算機 - 因此我們將它們推薦給個人,而不是大公司。它們也相當基礎,因此如果您要處理大量敏感數據(如客戶信用卡號、地址或電話號碼),您可能需要升級到第三方軟件防火墻。
第三方軟件防火墻:最適合處理敏感數據的個人
第三方防火墻補充了您計算機上現有的防火墻軟件。它們提供額外的安全功能來幫助阻止潛在的網絡犯罪分子。每個第三方防火墻解決方案都提供了不同的功能組合,因此您可能需要進行一些購物才能找到適合您需求的軟件。但功能可能包括額外的深度數據包檢測層、反垃圾郵件功能、數據備份等等——可能性幾乎是無窮無盡的。
如果您是處理敏感數據的個人,我們建議您使用此選項,因為它為您提供了額外的工具和保護措施,以確保數據的安全,同時價格實惠且易于管理。
話雖如此,擁有多名員工的公司可能更喜歡硬件防火墻。由于軟件防火墻只能保護安裝了軟件的設備,因此它不能保護您的整個網絡。此外,您必須在網絡上的每臺設備(甚至是移動設備!)上手動安裝和更新軟件。根據軟件的不同,您可能還必須為每臺設備購買單獨的許可證,這很昂貴——尤其是考慮到許多第三方防火墻的價格。
不過,不要誤會我們的意思——在公司設備上安裝軟件防火墻仍然很重要。如果您網絡上的每臺設備都有軟件防火墻,那么即使有一臺設備被滲透,您的網絡仍然受到保護。軟件防火墻還允許您的員工在他們最喜歡的咖啡館工作,并享受與辦公室相同的在線安全性。我們只是說復雜的第三方軟件防火墻可能不適用于大公司——至少不能作為您的主要網絡安全解決方案。
防火墻 + 防病毒軟件:最適合小型企業
您擁有的員工越多,您網絡上的某個人就越有可能意外安裝惡意軟件或下載計算機病毒。這就是為什么我們認為最好的小型企業防火墻是防火墻+防病毒軟件的組合。
包含防病毒軟件的防火墻使用深度數據包檢查來識別和拒絕包含惡意軟件或病毒的文件、消息和其他形式的數據。因此,與常規防火墻相比,它們具有更好的入侵檢測記錄。通常,此類軟件充當 Web 應用程序防火墻,因此無論您使用哪個應用程序訪問互聯網,它都能確保您的安全。
請記住,此建議仍然是軟件防火墻,因此它具有與第三方軟件防火墻相同的所有缺點。話雖如此,我們認為如果您的員工人數超過幾個,那么在每位員工的設備上安裝和更新軟件所帶來的額外成本和不便都是值得的(因為“捕獲”惡意軟件或病毒的機會會隨著您的人數增加而增加)帶進來)。
基本路由器:最佳預算選項
如果您經營一家擁有多名員工的小型企業,那么您很可能已經投資了一個基本的 Wi-Fi 路由器,因此辦公室中的每個人都可以同時連接到互聯網。如果是這樣,您已經獲得了基本的防火墻保護。
Wi-Fi 路由器是一種出色的低預算、小型企業防火墻解決方案,因為路由器會自動阻止任何不符合基本安全參數(當然,由您設置)的外部流量。這基本上使您的路由器成為無狀態防火墻,像保鏢一樣監控TCP 握手,以確保每個傳入的請求都在您的內部網絡的“列表”上。
當然,這意味著您的路由器只能提供最低限度的網絡安全性——如果您要處理大量不想被泄露的敏感數據,這并不理想。在這種情況下,您可能應該升級到防火墻路由器或第三方軟件防火墻。
不過,從好的方面來說,路由器是硬件防火墻,因此它可以保護網絡上的所有設備。這可以節省您的資金,因為您不必為每個員工的計算機購買許可證。此外,您只需 10 美元就可以找到基本的路由器,而且您不必浪費寶貴的業務時間在每位員工的計算機上更新、監控和安裝防火墻。
防火墻路由器:最適合中型企業
隨著業務的發展,在每個員工設備上安裝和維護防火墻軟件變得越來越不切實際——至少作為網絡安全的主要形式。在這種情況下,一次保護整個網絡的硬件防火墻可能是更好的解決方案。輸入防火墻路由器。
防火墻路由器通過添加更復雜的防火墻規則來更好地識別安全威脅,從而升級您使用基本路由器獲得的安全性。某些型號提供狀態安全防火墻、內置防病毒軟件(通過您的路由器而不是單個設備運行)、應用程序監控和“家長”控制,以阻止員工訪問危險站點(或任何您認為不適合工作的站點)。
這意味著您可以獲得軟件防火墻的所有保護,但您可以在一臺設備中控制所有設置和更新。此外,您還可以為連接到 Wi-Fi 網絡的每臺設備(包括移動設備)提供保護。
VPN路由器:最適合擁有多個地點的企業
如果您的業務分布在多個辦公室,或者您有遠程員工,您就會知道讓每個人都在同一頁面上是多么困難。不過,好消息是:使用 VPN 路由器,它會變得更容易并提高您的安全性。
通常,只有 Internet 連接上的設備才能訪問您的內部網絡。這意味著設備必須物理存在于同一位置才能相互連接以進行文件共享、打印和其他內部網絡功能。
但是使用虛擬專用網絡(或 VPN),您可以通過 VPN 隧道將您的私有內部業務網絡擴展到其他批準的設備和網絡。這些隧道充當數據分層的另一層(例如將一封信放入盒子內的信封中),過濾掉試圖滲透您內部網絡連接的黑客的攻擊。
VPN 路由器簡化了這個過程。當您的每個地點都使用 VPN 路由器時,您的路由器可以相互通信,有效地將每個辦公室的內部網絡組合成一個大型專用網絡。最后,這使得與遠程員工和辦公室的溝通和協作變得更加容易,同時仍然享受全公司范圍內的高水平網絡安全。
負載均衡器:最適合托管自己網站的企業
如果您的企業在您自己的服務器上托管網站,那么除了您的專用網絡防火墻解決方案之外,您可能還需要一個負載平衡器。托管網站時,您的服務器需要面向外部,這意味著公眾可以訪問存儲在您服務器上的數據。否則,用戶將無法加載您的網站。但您還希望保護您的服務器免受黑客和其他惡意在線實體的侵害。幸運的是,負載平衡器可以充當自動防火墻,就像內部網絡的路由器一樣。
負載均衡器在您的服務器之間分配傳入流量。這樣,沒有單個服務器會被同時請求所淹沒。負載平衡不僅使您的托管網站加載速度更快,還可以保護您的企業免受 DDOS 攻擊(黑客劫持多個系統以壓倒您的服務器并使您的網站崩潰)。
如果您已經在使用負載平衡,則可能不需要另一個防火墻來保護您的服務器。負載平衡器已經監視TCP 握手并執行數據包過濾功能以確定分發傳入請求的最有效方式。換句話說,它已經充當了狀態防火墻并丟棄了惡意傳入流量。少一件需要擔心的事情,對吧?
統一威脅管理 (UTM):最適合大型企業
如果您經營大型企業級業務,您可能需要比路由器或單個軟件更復雜的安全解決方案。在這種情況下,您可能需要考慮統一威脅管理 (UTM) 解決方案。
每個 UTM 產品都是不同的——有些是物理設備,有些是軟件,有些是基于云的,有些是這三者的組合。但是,無論采用何種實施方法,所有 UTM 解決方案都旨在為您的所有安全需求提供一站式服務。
UTM 解決方案通常在一個地方提供防火墻、防病毒、VPN 和其他入侵檢測和防御功能。這樣一來,您就可以對 Wi-Fi 網絡(或虛擬專用網絡)上所有設備上的所有 Web 應用程序進行深度數據包過濾,但所有這些都在一個地方進行控制。
UTM 解決方案的確切成本可能會因您選擇的提供商、業務規模以及 UTM 包含的特定功能組合而有很大差異。一些 UTM 的成本與第三方軟件防火墻大致相同。但要為更高的總體成本做好準備——畢竟,您正在將防病毒保護、VPN 安全、軟件防火墻和硬件防火墻整合到一個解決方案中。
要知道的防火墻術語
防火墻提供商使用了很多行話,這使得很難理解每個選項實際提供的內容。所以這里是我們在本文中經常使用的一些術語的快速和骯臟的細分。
TCP 握手
TCP聽起來像是毒品或高端清潔產品,但實際上是傳輸控制協議的簡稱。每個在線設備都使用 TCP 連接到互聯網,當兩個設備想要相互連接時,它們使用 TCP 握手。
因此,假設您使用筆記本電腦并想要訪問一個網站。您的計算機會向托管該網站的服務器發送稱為SYNchronize的請求。然后,服務器將發回所謂的ACKnowledge響應。最后,您的計算機會以自己的ACKnowledge響應作為回報,并且——瞧!——你已連接到該網站。
這與防火墻和網絡安全有什么關系?聰明的黑客可以偽造 TCP 握手并使用它來訪問您企業的內部網絡。這就是防火墻保護如此重要的最基本原因之一。
電路級網關
一些防火墻充當電路級網關,這意味著它們監視您的設備或網絡上的 TCP 握手以確定這些會話是否合法。這種類型的網絡過濾是一種非常基本的安全解決方案,但它可以幫助保護您免受黑客試圖偽造 TCP 握手以訪問您公司的專用網絡。
電路級網關還會屏蔽網絡上每個設備的單獨 IP 地址。相反,所有來自您網絡的傳出流量都會被賦予一個 ID,該 ID 與您的電路級網關設備(通常是路由器)的 IP 地址一起使用。這為您的公司和員工提供了額外的隱私保護。
包過濾
互聯網上的數據是通過數據包傳輸的。將數據包想象成信封:外部標有遞送信息(遞送地址、退貨地址等),而內部包含實際消息。TCP 握手完成后,您嘗試訪問的網站會發送一個數據包。該數據包標有您的 IP 地址(交付地址)和源 IP(發件人地址),其中包含您的計算機用于加載頁面的少量數據。
包過濾是一個安全過程,您的防火墻會檢查發送到您 IP 地址的任何數據包外部的標簽。數據包過濾安全解決方案使用一組預定義的防火墻規則(由您控制??)來確定(基于數據包標簽)傳入流量是否是惡意的。如果它是惡意的,防火墻會丟棄數據包,從而拒絕訪問您的網絡并保護您免受黑客攻擊。
無狀態防火墻
無狀態防火墻是一種僅使用數據包過濾來監控您的在線連接的防火墻。雖然包過濾無疑是阻止惡意流量進入網絡的有效方法,但它仍然相當基本,因為它只考慮傳入數據包的外部標簽。因此,無狀態防火墻(雖然通常有效)不會使用更復雜的加密來識別欺詐連接。也就是說,無狀態防火墻可能仍帶有其他安全功能(如應用程序監控),因此您當然不應該將它們排除在外。
狀態檢測防火墻
狀態檢查防火墻稍微復雜一些,因為它結合了 TCP 握手監控和基本數據包過濾的數據包標簽檢查。這使得有狀態檢查防火墻比單獨的電路級網關或無狀態防火墻更安全,但它確實需要額外的計算資源。因此,如果您的小型企業買不起最新的設備,則狀態防火墻可能會降低您的計算機和 Internet 加載速度。
代理深度數據包檢測
如果數據包是信件,那么代理深度包檢測防火墻就是郵政檢查員。使用深度數據包檢查的安全防火墻代表您(通過代理)打開數據包,以便分析內部的實際內容并識別病毒、惡意軟件或其他威脅。這意味著只要您網絡中的某人試圖訪問可疑應用程序或單擊電子郵件中的惡意鏈接,它就會保護您和您的員工。長話短說:深度數據包檢測使您的防火墻的入侵檢測更加強大。
下一代防火墻
許多網絡安全公司喜歡說他們提供“下一代防火墻”。但老實說,這主要只是一個流行語。到目前為止,對于什么是下一代防火墻還沒有行業標準,在線安全提供商通過在幾乎所有的防火墻產品上貼上“下一代”標簽來利用這一點。因此,如果您已經檢查了一些選項并且對下一代防火墻是什么(以及您是否需要)感到困惑,請不要擔心 - 這不是您。
