什麼是防火牆？

防火牆歷史

防火牆自 20 世紀 80 年代末以來就已存在，最初是作為資料包過濾器而建立的，它是為檢查電腦之間傳輸的資料包或位元組而設置的網路。儘管資料包過濾防火牆至今仍在使用，但隨著幾十年來技術的發展，防火牆已經取得了長足的進步。

• 第一代病毒
  • 第一代 1980 年代末，獨立電腦的病毒攻擊影響了所有企業，並推動了防毒產品。
• 第二代網路
  • 第二代，即 20 世紀 90 年代中期，來自網路的攻擊影響了所有業務並推動了防火牆的創建。
• 第 3 代應用程式
  • 第三代，2000 年初，在影響大多數企業並推動入侵防禦系統產品 (IPS) 的應用程式中利用脆弱性。
• 第 4 代有效負載
  • 第四代，約 2010 年，有針對性、未知、逃避的多形式攻擊的增加，影響大多數企業，並推動了反機器人和沙盒產品。
• 第 5 代超級
  • 第五代，約 2017年，使用先進攻擊工具的大規模、多向量、特大攻擊正在推動先進的威脅防護解決方案。

早在 1993 年，Check Point 執行長 Gil Shwed 就推出了第一個狀態檢查防火牆 FireWall-1。快轉二十七年，防火牆仍然是組織抵禦網路攻擊的第一道防線。現今的防火牆，包括次世代防火牆和網路防火牆，透過內建功能支援多種功能和功能，包括：

• 網路威脅防護
• 應用程式和基於身分的控制
• 混合雲端支援
• 可擴充效能

防火牆的類型

• 封包篩選

  根據過濾器的標準進行分析和分配少量數據。

• 代理服務

  在應用程式層過濾訊息的同時提供保護的網路安全系統。

• 狀態檢查

  動態資料包過濾，監視活動連線以確定允許哪些網路資料包通過防火牆。

• 次世代防火牆 (NGFW)

  深度資料包檢測 具有應用程式級檢測功能的防火牆。

防火牆有什麼作用？

防火牆是任何安全架構的必要組成部分，它消除了主機級保護中的猜測，並將其委託給您的網路安全裝置。防火牆，尤其是次世代防火牆，專注於阻止惡意軟體和應用程式層攻擊，再加上整合的入侵防禦系統（IPS），這些次世代防火牆可以快速、無縫地做出反應，以偵測並回應整個網路的外部攻擊。他們可以製定策略來更好地保護您的網絡，並進行快速評估以檢測入侵或可疑活動（例如惡意軟體）並將其關閉。

為什麼我們需要防火牆？

Firewalls, especially Next Generation Firewalls, focus on blocking malware and application-layer attacks. Along with an integrated intrusion prevention system (IPS), these Next Generation Firewalls are able to react quickly and seamlessly to detect and combat attacks across the whole network. Firewalls can act on previously set policies to better protect your network and can carry out quick assessments to detect invasive or suspicious activity, such as malware, and shut it down. By leveraging a firewall for your security infrastructure, you’re setting up your network with specific policies to allow or block incoming and outgoing traffic.

網路層與應用程式層檢查

網路層或封包過濾器在 TCP/IP 協定堆疊的相對較低層級檢查封包，不允許封包通過防火牆，除非它們與已建立的規則集匹配，其中規則集的來源和目標基於 Internet 協定 ( IP）位址和連接埠。執行網路層檢查的防火牆比執行應用程式層檢查的類似裝置效能更好。缺點是不需要的應用程式或惡意軟體可以通過允許的端口，例如通過網絡通訊協定 HTTP 和 HTTPS，連接埠 80 和 443 分別通訊埠進行輸出網際網路流量。

NAT 和 VPN 的重要性

防火牆也執行基本的網路層級功能，例如網路位址轉換 (NAT)和虛擬私人網路 (VPN)。網路位址轉換將可能位於 RFC 1918 中定義的「私人位址範圍」內的內部用戶端或伺服器 IP 位址隱藏或轉換為公用 IP 位址。隱藏受保護裝置的位址可以保留有限數量的 IPv4 位址，並且可以防禦網路偵察，因為 IP 位址對 Internet 是隱藏的。

類似地，虛擬私人網路 (VPN)將專用網路延伸到隧道內的公共網路上，該隧道通常經過加密，封包的內容在穿越網路時受到保護。這使用戶能夠透過共享或公共網路安全地發送和接收資料。

次世代防火牆及以後

第三代防火牆在 TCP/IP 堆疊的應用程式層級檢查封包，能夠識別 Skype 或 Facebook 等應用程序，並根據應用程式類型強制執行安全性策略。

如今，UTM（統一威脅管理）裝置和次世代防火牆還包括威脅防護技術，例如入侵防禦系統（IPS）或防毒軟體，以偵測和防止惡意軟體和威脅。這些裝置還可能包括沙箱技術來偵測文件中的威脅。

As the cyber security landscape continues to evolve and attacks become more sophisticated, Next Generation Firewalls will continue to be an essential component of any organization’s security solution, whether you’re in the data center, network, or cloud.

Protect your network using Check Point’s Quantum NGFW –  the most effective AI-powered firewalls, featuring the highest rated threat prevention, seamless scalability, and unified policy management.

To learn more about the essential capabilities your Next Generation Firewall needs to have, download the Next Generation Firewall (NGFW) Buyer’s Guide today.