在使用者級別,也可以利用 PC 和 Mac 上的防火牆來保護該特定端點。 這些基於主機的防火牆通常內建於電腦作業系統本身。 例如,Windows PC 受到 Windows 防火牆的保護,該防火牆是 Microsoft 內建於作業系統中的 Windows Defender 安全性工具套件的一部分。
這些端點防火牆補充了企業部署的網路防火牆,以防止惡意內容進入其內部網路。 雖然網路防火牆可能更強大,但它可能缺乏對特定係統需求或網路內部流量的洞察力。 可以調整桌面防火牆以提供特定於特定電腦的保護,並過濾進入和離開電腦的所有流量。 這可以使其能夠防範內部威脅,例如透過組織網路橫向移動的惡意軟體。
桌面防火牆 101
個人或桌面防火牆的工作原理實際上與網路級防火牆類似。 關於桌面防火牆需要了解的兩個重要概念是入站和出站流量之間的差異以及不同的信任區域。
入站與出站網路連接
防火牆可以執行的最基本的過濾等級是阻止某些連接埠或協定進入或離開電腦。 與企業電子郵件系統一樣,電腦可能有多個不同的通訊地址或連接埠。 有些可能僅供內部訪問,而其他則設計為公開(例如公司的支持和聯繫電子郵件地址)。
桌面防火牆只能將一小部分連接埠提供給外部系統,以便為偵聽特定連接埠的應用程式提供服務。 例如,通常允許在 Web 伺服器上的連接埠 80 (HTTP) 和 443 (HTTPS) 上進行通訊,因為這些是 Web 流量的標準連接埠。
允許通過或封鎖哪些端口的決定很大程度取決於流量流動的方向:
- 輸入流量:輸入流量是進入電腦的流量。 對於入站流量,防火牆通常具有 DEFAULT_DENY 策略,這表示除非以其他方式配置防火牆策略(例如允許 Web 伺服器的連接埠 80 或 443 流量),否則流量將被封鎖。
- 輸出流量:輸出流量是離開電腦的流量。 對於此流量,預設值為 DEFAULT_ALLOW,這表示允許所有流量通過防火牆,除非策略另有說明。 例如,防火牆策略可以設定為僅允許到特定位址的 SSH 流量。
雖然桌面防火牆具有預設策略,但可以更改它們以反映電腦及其使用者的獨特需求。
受信任與不受信任的區域
關於個人防火牆的另一個重要概念是信任區域。 端點防火牆可以根據其連接的網路配置為具有不同的策略。 這是一種具有行動裝置和筆記型電腦的資產,它們可能經常在不同的無線網路之間移動。
如果您已將電腦連接到新的無線網絡,則您可能已經做出了有關信任區域的決定。 當 Windows 詢問網路是否應被視為公共網路或私人網路時,這就是它的意思。 在私人家庭網路上,防火牆策略規則比公共網路更寬鬆,例如當地咖啡館的無線網路。 這使得可以存取受信任的專用網路上的文件共享和其他資源,但可以在公共網路上阻止這些潛在危險的連接。
防火牆策略規則管理
防火牆的預設策略旨在適合大多數情況,但它們並不適合所有情況。 個人或組織可能需要調整桌面防火牆的策略以提高其安全性或可用性。
端點防火牆可以設定為集中管理其策略規則或從裝置進行管理。 在前一種情況下,組織可以設定防火牆策略設定以符合公司安全策略,並使使用者無法修改它們。
在後者中,使用者可以完全控制其個人防火牆的配置方式。 一般來說,最好保留預設設置,除非有合法需求(例如在裝置上執行 Web 伺服器)。 電腦上的每個開啟的連接埠都會建立另一個潛在的攻擊向量。
5 項不可或缺的端點保護措施
防火牆是組織網路保護策略的重要組成部分;然而,僅靠防火牆不足以防範網路安全威脅。 端點資安解決方案必須具備的五項功能包括:
- 網路釣魚防護能力
- 反勒索軟體保護
- Content Disarm and Reconstruction (CDR)
- 反機器人保護
- 自動化漏洞後偵測與回應
Check Point SandBlast Agent 端點資安解決方案可以幫助保護組織的端點免受網路安全威脅。 要了解有關SandBlast Agent 的更多信息,請聯繫我們。 我們也歡迎您申請演示來了解SandBlast Agent 的實際應用。
反映意見