什麼是防火牆?

防火牆是一種網路安全裝置,它根據組織先前建立的安全策略來監視和過濾傳入和傳出的網路流量。從最基本的角度來看,防火牆本質上是位於專用內部網路和公共互聯網之間的屏障。防火牆的主要目的是允許非威脅性流量進入並阻止危險流量進入。

與專家交談 2025 年 Gartner 報告

什麼是防火牆?不同類型的防火牆

防火牆的歷史

防火牆自 20 世紀 80 年代末以來就已存在,最初是作為資料包過濾器而建立的,它是為檢查電腦之間傳輸的資料包或位元組而設置的網路。儘管資料包過濾防火牆至今仍在使用,但隨著幾十年來技術的發展,防火牆已經取得了長足的進步。

  • 第一代病毒
    • 第一代 1980 年代末,獨立電腦的病毒攻擊影響了所有企業,並推動了防毒產品。
  • 第二代網路
    • 第二代,即 20 世紀 90 年代中期,來自網路的攻擊影響了所有業務並推動了防火牆的創建。
  • 第 3 代應用程式
    • 第三代,2000 年初,在影響大多數企業並推動入侵防禦系統產品 (IPS) 的應用程式中利用脆弱性。
  • 第 4 代有效負載
    • 第四代,約 2010 年,有針對性、未知、逃避的多形式攻擊的增加,影響大多數企業,並推動了反機器人和沙盒產品。
  • 第 5 代超級
    • 第五代,約 2017年,使用先進攻擊工具的大規模、多向量、特大攻擊正在推動先進的威脅防護解決方案。

早在 1993 年,Check Point 執行長 Gil Shwed 就推出了第一個狀態檢查防火牆 FireWall-1。快轉二十七年,防火牆仍然是組織抵禦網路攻擊的第一道防線。現今的防火牆,包括次世代防火牆和網路防火牆,透過內建功能支援多種功能和功能,包括:

防火牆的演進

與它們所保護的網路一樣,防火牆在過去十年中也發生了巨變。即使是最早期的防火牆工具對網路安全也是不可或缺,因為其 1980 年代的對應產品最初是以封包過濾工具的形式出現。

早期開發:封包過濾防火牆

第一代防火牆於 1980 年代末推出,採用簡單的封包過濾。這些工具在網路層 (OSI 第 3 層) 檢查資料封包,並透過 IP 位址、連接埠和通訊協定等參數過濾網路回應的封包。然而,由於缺乏情境感知且過度專注於個別封包,導致容易受到複雜攻擊 (如 IP 分段) 的威脅。

狀態偵測技術的出現

1990 年代,Check Point 率先推出了狀態檢測防火牆。這種第二代防火牆持續監控連線狀態,確保封包是已建立工作階段的一部分。這項增強功能大幅提升安全性。

應用程式層與 Proxy 防火牆

應用程式層防火牆與 Proxy 防火牆大約同時出現。前者在第 7 層運行,能夠分析及套用特定於應用程式的資料和規則集。它們的安全性也很高,能將流量要求與底層網路架構完全分離,但早期型號的處理能力有限,延遲也很嚴重。

統一威脅管理(UTM)和次世代防火牆(NGFW)

2010 年代見證了 UTM 系統的出現,該系統旨在將防火牆的反應能力與防毒、入侵偵測和其他企業安全系統的額外資料點結合。下一代防火牆 (NGFW) 能夠透過增加深度封包偵測、進階威脅防護和應用程式層級過濾來推動這些整合功能。

現代演進:雲端與人工智慧

如今,防火牆已適應雲端環境與容器化應用程式,催生防火牆即服務 (Firewall-as-a-Service,FWaaS)。在跨環境資料的基礎上,人工智慧與機器學習因其優異的異常偵測、預測性威脅分析和適應性原則執行功能,正日益獲得部署。

從靜態過濾器到智慧、具情境感知的系統,防火牆持續演進以滿足變幻莫測的威脅環境需求。這就來深入探討使現今防火牆如此重要的所有功能。

不同類型的防火牆

封包篩選

封包過濾是一種用於防火牆的網路安全技術,用以控制網路之間的資料流量。它會根據一組預先定義的規則評估傳入和傳出流量的標頭,然後決定是否要加以允許或封鎖。

防火牆規則是構成防火牆配置的精確指令。它們根據參數 (例如來源和目的地 IP 位址、連接埠和通訊協定) 定義允許或封鎖流量的條件。在企業環境中,這些個別規則會嵌套在一起,形成存取控制清單 (ACL)。處理流量時,防火牆會依照順序對每個封包評估 ACL 規則。一旦封包符合某一規則,防火牆就會執行相應的動作—例如允許、拒絕或阻截流量—而不會進一步評估後續規則。這種結構化和有條理的方法,確保網路存取受到嚴格控制並保持一致。

代理服務

由於防火牆很適合位於網路的邊緣,Proxy 防火牆自然非常適合作為單一進入點:如此一來,它們就能評估每個連線的有效性。Proxy 服務防火牆完全隔離內部與外部,透過在防火牆終止用戶端連線、分析要求,然後與內部伺服器建立新連線。

狀態偵測

狀態偵測會分析資料封包的內容,並將其與已通過防火牆的封包資訊進行比較。

無狀態偵測會單獨分析每個封包;而狀態偵測則會拉取先前的裝置與連線資料,以進一步理解網路流量要求。這更像是將網路資料視為連續的串流。透過維護活躍連線清單,並從更宏觀的角度評估每條連線,狀態防火牆能夠將網路行為指派給長期的使用者與裝置設定檔。

網路應用程式防火牆

網路應用程式防火牆 (WAF) 會對特定應用程式進行封裝,並檢查傳送至該應用程式的 HTTP 要求。與其他防火牆類似,它會套用預設規則來偵測並阻擋惡意流量。審查的元件包括標頭、查詢字串和 HTTP 要求的主體 – 所有這些都可能顯示出惡意活動的跡象。當發現威脅時,WAF 會攔截可疑的要求,並通知安全團隊。

人工智慧驅動型防火牆

防火牆本質上是強大的分析引擎:非常適合用於實施機器學習演算法。因為機器學習演算法能夠比手動對應系統更快擷取及分析更大量的資料,人工智慧驅動的防火牆在處理新型 (零時差) 威脅時,表現一直優於舊式的防火牆。

例如,防火牆中比較常見的 AI 應用之一是使用者和端點行為分析 (UEBA)。它會擷取整個網路的歷史資料,並建立每個使用者和端點的典型互動方式 – 他們使用哪些資源、何時存取等。

高可用性防火牆與超大規模、韌性負載共用叢集

高可用性 (HA) 防火牆旨的設計目的,是在防火牆故障的情況下也能維持網路保護。這是透過 HA 集群形式的備援來實現:多個防火牆對等節點共同作業,提供不間斷的保護。若裝置故障時,系統會自動切換到同級裝置,因此可維持無縫的網路安全。超越傳統的「高可用性」設計,許多組織現在需要超高可擴展性和電信級韌性的防火牆系統,以確保 99.99999%+ 的正常運作時間和高達 1,000 Gbps 的網路輸送量,同時提供全面的威脅防護。智慧型負載共用防火牆設計會在防火牆叢集中分配網路流量。它還可以在意外的流量高峰情況或其他預定義的觸發條件下,自動重新分配額外的防火牆資源給關鍵應用程式,然後在情況恢復正常後,將這些防火牆資源重新分配回原始群組。這麼做可以最佳化效能,並防止任何單一裝置過度負荷,以及確定在所有條件下都能達到最大的網路效能。

虛擬防火牆

防火牆傳統上只能使用硬體,因為它們需要強大的中央處理器來手動檢查 ACL 中的每一條規則。然而現在,這些運算能力基本上可以透過防火牆虛擬化外包。虛擬系統支援內部分段:一個工具可以用來設定和監控多個分段防火牆,允許子防火牆擁有自己的安全原則和配置。

虛擬防火牆提供許多優勢:例如,多租用環境就能從這種分割中獲益。它也允許大型組織透過單一中央工具,以更精簡的方式實施網路分割。除此之外,虛擬防火牆可以提供與硬體防火牆相同的所有功能。

雲端防火牆

人們常常將虛擬化防火牆與雲端防火牆混為一談,但兩者之間有區別:虛擬化描述的是底層架構,而雲端防火牆則指的是它們所保護的企業資產。雲端防火牆是用來保護組織的公共和私有雲端網路的防火牆。

防火牆即服務 (FWaaS)

由於雲端虛擬化現在可以購買處理能力並遠端使用,虛擬防火牆已成為可能。這為防火牆架構開啟了新的可能性 – 其中之一就是防火牆即服務 (FWaaS)。

FWaaS 與任何軟體即服務一樣,是一種透過雲端部署、預先建置的防火牆解決方案。FWaaS 的獨特之處在於其全球據點 (Points of Presence),可讓防火牆的部署更為本地化 (且無延遲),而非將所有企業流量透過內部機房進行路由與分析。

託管防火牆

最後,擁有防火牆固然很好,但正如我們即將講到的,這個工具需要不斷改進和調整。有些企業發現,這樣的人力需求很快就會讓精簡的網路安全團隊應接不暇。因此,許多人選擇透過託管防火牆來路由流量—該防火牆會持續監控威脅、異常情況或不尋常的流量模式。這些外包的防火牆也可以從供應商的先進工具和威脅情資中受益。

防火牆協定的重要性

即使是基本防火牆,也能深入解析每個封包所遵守的來源、目的地和協定。但僅有能見度並不能防止攻擊;防火牆規則管理防火牆工具對每個封包的反應 - 最終要麼允許、要麼拒絕該封包進入企業網路。

這些規則是維護網路安全的根本,可控制系統的存取權限,確保只有授權的流量才能通過,而惡意或不想要的資料則會遭到阻擋。為了節省時間,大多數現成的防火牆都提供預先設定的規則集。畢竟,許多威脅是普遍存在的,無論您所屬的產業或員工的具體情況如何—當攻擊者能夠掃描任何針對公眾的網路尋找常見脆弱性時,特別如此。現代防火牆在出貨時已預先設定規則集,可立即減少企業可能面臨的潛在威脅;這對部署而言是一大福音,可讓管理員減少新工具一般需要的大量手動設定工作。這能減少錯誤並確保遵守產業最佳做法。

為什麼我們需要防火牆?

防火牆,尤其是次世代防火牆,致力於阻擋惡意軟體和應用程式層攻擊。除了整合式入侵防禦系統 (IPS),這些次世代防火牆能夠快速且無縫地回應,以偵測及抵禦整個網路上的攻擊。防火牆可以根據先前設定的原則,更完善地保護您的網路,並進行快速評估以偵測侵入或可疑活動 (舉凡惡意軟體),並將其阻絕。利用防火牆作為您的安全基礎架構,您就可以使用特定的原則來設定網路,以允許或阻擋傳入或傳出的流量。

防火牆安全最佳做法

防火牆並非一勞永逸的解決方案。貴組織面臨的攻擊瞬息萬變,而僅依靠手動規則更新的防火牆同樣需要投入大量的時間和精力。

根據最低權限原則制定規則

有效防火牆規則管理的基礎是最小權限原則。在功能上表示只允許服務特定、必要業務功能的流量。只要遵守這項原則,就能保證未來的規則變更能將風險降至最低、維持對網路流量的更大控制,並限制不必要的跨網路通訊。將此套用於規則時,需要定義來源和目的地 IP 位址 (或範圍) 以及目的地連接埠等詳細資訊。這就是為什麼需要對所有入站和出站活動使用明確的拒絕/允許策略來取代「任何/任意」等過度放任的規則。

保持文件更新

由於預先設定的規則已變更和更新,清晰且全面的文件至關重要。網路安全團隊的任何成員都應該能夠透過文件輕鬆理解每條規則的用途。至少,您應該記錄諸如規則的目的、受影響的服務、涉及的使用者和裝置、實施日期、規則的到期日 (若為暫時性),以及建立它的分析師人名等詳細資訊。

保護防火牆本身

防火牆不僅僅是企業安全的關鍵要素:它是任何網路基礎架構中最公開的部分,使得未受管理的防火牆本身成為一種威脅。為了保護防火牆,必須遵循幾個關鍵的最佳做法:完全停用不安全的通訊協定,如 telnet 和 SNMP;配置與記錄資料庫應予以備份;並實施隱蔽規則,以保護防火牆免受網路掃描的影響。最後,請定期關注防火牆解決方案可用的更新。

將群組規則和網路歸入對應的類別

將企業網路分割成相應的安全等級,是網路安全的另一項基礎 最佳做法,而防火牆規則完全適合執行這些區分。為了簡化管理,請根據規則的功能或相關特性,將規則組織成類別或區段。此方法可讓您以最有效的順序來組織規則,並確保監督更為周延。

人工智慧驅動型防火牆愈來愈能自動化其所依據的規則和文件:這些在效率方面的巨大進步是 NGFW 替換其舊型號的主要原因。

網路層與應用程式層檢查

網路層或封包過濾器在 TCP/IP 協定堆疊的相對較低層級檢查封包,不允許封包通過防火牆,除非它們與已建立的規則集匹配,其中規則集的來源和目標基於 Internet 協定 ( IP)位址和連接埠。執行網路層檢查的防火牆比執行應用程式層檢查的類似裝置效能更好。缺點是不需要的應用程式或惡意軟體可以通過允許的端口,例如通過網絡通訊協定 HTTP 和 HTTPS,連接埠 80 和 443 分別通訊埠進行輸出網際網路流量。

NAT 和 VPN 的重要性

防火牆也執行基本的網路層級功能,例如網路位址轉換 (NAT)和虛擬私人網路 (VPN)。網路位址轉換將可能位於 RFC 1918 中定義的「私人位址範圍」內的內部用戶端或伺服器 IP 位址隱藏或轉換為公用 IP 位址。隱藏受保護裝置的位址可以保留有限數量的 IPv4 位址,並且可以防禦網路偵察,因為 IP 位址對 Internet 是隱藏的。

類似地,虛擬私人網路 (VPN)將專用網路延伸到隧道內的公共網路上,該隧道通常經過加密,封包的內容在穿越網路時受到保護。這使用戶能夠透過共享或公共網路安全地發送和接收資料。

次世代防火牆及以後

第三代防火牆在 TCP/IP 堆疊的應用程式層級檢查封包,能夠識別 Skype 或 Facebook 等應用程序,並根據應用程式類型強制執行安全性策略。

如今,UTM(統一威脅管理)裝置和次世代防火牆還包括威脅防護技術,例如入侵防禦系統(IPS)防毒軟體,以偵測和防止惡意軟體和威脅。這些裝置還可能包括沙箱技術來偵測文件中的威脅。

隨著網路安全情勢的不斷演變和攻擊手段的日益複雜,無論是在數據中心、網路還是雲端,次世代防火牆都將繼續成為所有組織安全解決方案的一大要件。

使用 Check Point 的 Quantum NGFW 保護您的網路 – 這是最有效的人工智慧防火牆,具備最高等級的威脅防護、無縫可擴展性及統一原則管理。

結合尖端威脅防護、無與倫比的效能和精簡效率,Check Point Quantum 的先進功能包括智慧流量檢查、與雲端服務的無縫整合和深入的事件自動化。親自體驗 Quantum 如何展現輕鬆的可擴展性與集中原則管理示範。

若要進一步瞭解次世代防火牆需要具備的必要功能,請立即下載《次世代防火牆 (NGFW) 買家指南》