防火牆類型的定義與說明

有哪些不同類型的防火牆？

防火牆有許多種類，通常依據所保護的系統、外型尺寸、網路佈置和資料過濾方式來分類，包括

• 網路防火牆
• 主機型防火牆
• 硬體防火牆
• 軟體防火牆
• 內部防火牆
• 分散式防火牆
• 週邊防火牆
• 下一代防火牆 (NGFW)
• 封包過濾防火牆
• 電路級閘道
• Web 應用程式防火牆
• Proxy 防火牆
• 狀態檢測防火牆

現代防火牆的功能

防火牆自推出以來，一直是 網路安全性的 基石。隨著技術的發展，防火牆的功能和部署方法也在不斷演進。

技術的進步導致了許多防火牆變化的出現。範圍廣泛的術語和選項可能會造成混淆。不同的防火牆執行不同的功能，這是建立類型區別的一種方法。將防火牆類型分類的常見方法是依據其保護的系統、外型尺寸、在網路基礎架構中的位置，以及資料過濾方法。

組織可能需要多種防火牆類型，以達到有效的網路安全性。還要注意的是，一種防火牆產品可以提供多種防火牆類型。

受保護系統的防火牆類型

網路防火牆

網路防火牆位於可信賴與不可信賴網路（如內部系統和網際網路）之間。它的主要作用是根據預先定義的規則集監視、控制和決定傳入和傳出流量的有效性。這些規則旨在防止未經授權的存取，並維持網路的完整性。

網路防火牆的運作功能在於它能仔細檢查每個資料封包。透過比較封包屬性，如來源和目的地 IP 位址、協定和連接埠號碼與其建立的規則，可有效阻擋潛在威脅或不想要的資料流。無論是以硬體、軟體或兩者兼具的方式實作，其放置位置都能確保全面的流量篩檢。

除了簡單的流量調節外，網路防火牆還提供記錄功能。日誌可協助管理員追蹤和探查可疑活動。

主機型防火牆

主機型防火牆是在網路中單一裝置上運作的軟體。它可直接安裝在個別電腦或裝置上，針對潛在威脅提供集中的保護層。透過檢查該特定裝置的傳入和傳出流量，可有效過濾有害內容，確保 惡意軟體、病毒和其他惡意活動不會滲入系統。

在網路安全性極為重要的環境中，主機型防火牆是周邊型解決方案的補充。邊界防禦可確保更廣泛的網路邊界安全，而主機型防火牆則可加強裝置層級的安全性。這種雙重防護策略可確保即使威脅超越網路的主要防禦能力，個別電腦仍能受到保護。

防火牆類型 (依型態)

硬體防火牆

硬體防火牆是放置在電腦或網路與網際網路連線之間的實體裝置。它獨立於主機裝置運作，檢查入站和出站流量，確保符合設定的安全規則性。透過主動分析資料封包，硬體防火牆能夠識別並阻擋威脅，為潛在的網路入侵提供堅固的屏障。

硬體防火牆的操作包括將它直接連接到網際網路來源與目標網路或系統之間。一旦實作，所有網際網路流量，無論是傳入或傳出，都必須經過此裝置。當它檢查每個資料封包時，會根據預先定義的安全政策作出決定。惡意或可疑的流量會被封鎖，因此只有安全且合法的資料才能到達內部網路。威脅在進入內部系統之前就已被攔截，提供主動式的網路安全性。

軟體防火牆

軟體防火牆是採用軟體外型而非實體裝置的防火牆，可部署在伺服器或虛擬機器上，以確保雲端環境的安全。

軟體防火牆的設計目的是在難以或無法部署實體防火牆的環境中保護敏感資料、工作負載和應用程式。

軟體防火牆體現了與硬體防火牆（也稱為下一代防火牆或 NGFW）相同的防火牆技術。它們提供多重部署選項，以符合混合/多重雲端環境和現代雲端應用程式的需求。軟體防火牆可以部署到任何虛擬化網路或雲端環境中。

什麼是軟體防火牆？

軟體防火牆的類型

軟體防火牆的類型包括容器防火牆、虛擬防火牆 (也稱為雲端防火牆) 和管理服務防火牆。

容器防火牆

容器防火牆是下一代防火牆的軟體版本，專為 Kubernetes 環境打造。

嵌入 Kubernetes 環境中的容器工作負載很難使用傳統防火牆來確保安全性。因此，容器防火牆透過與 Kubernetes 協調的深度安全性整合，協助網路安全性團隊保護開發人員的安全，防止現代應用程式攻擊和資料外洩。

虛擬防火牆

虛擬防火牆是下一代防火牆的虛擬化實體，用於虛擬和雲端環境，以確保東西向和南北向流量的安全。它們有時被稱為 「雲端防火牆」。

虛擬防火牆是一種軟體防火牆，可檢查和控制公共雲端環境中的南北向周邊網路流量，以及實體資料中心和分支機搆內的東西向流量。虛擬防火牆透過微區隔提供先進的威脅防護措施。

什麼是虛擬防火牆？

雲端防火牆

雲端防火牆」一詞與虛擬防火牆的概念最接近。這些都是錨定在雲端的軟體機制，主要負責篩選出惡意的網路流量。雲端中的遞送模式讓大家共同認定為防火牆即服務 (FWaaS)。

此術語的一個值得注意的迭代是 「公共雲端防火牆」。此概念強調公共雲端部署，在功能上與硬體防火牆基本相同。

雲端防火牆」一詞的定義各不相同。主要是指安全供應商在雲端提供的防火牆、雲端超級擴充器直接提供的功能，或在各種公有雲內保護應用程式的裝置。產業標準定義似乎尚未出現。

什麼是公共雲端防火牆？

管理式服務防火牆

軟體防火牆也可以管理服務的方式提供，類似於許多其他軟體即服務 (SaaS) 產品。某些管理服務防火牆產品提供了一種靈活的方式來部署應用程式層級(第 7 層) 安全，而無需管理監督。作為管理服務，其中一些防火牆可以快速大規模增減

硬體防火牆 vs. 軟體防火牆

硬體防火牆是安裝在網路與其連接裝置之間的獨立實體裝置。它可根據預先定義的安全性政策，監視和控制傳入和傳出的網路流量。部署硬體防火牆需要熟練的人員，以確保正確的設定和持續的管理。

另一方面，軟體防火牆是在伺服器或虛擬機器內操作。這類型的防火牆在以安全為中心的作業系統上執行，通常分層覆蓋在一般硬體資源上。通常可以使用雲端自動化工具快速實作。

硬體和軟體防火牆都能為網路安全性提供必要的保護，其選擇取決於特定需求和部署環境。

防火牆類型 (依網路基礎建設內的位置排列)

內部防火牆

內部防火牆主要在網路範圍內發揮功能，針對可能已經滲透外圍防禦的安全性威脅。外部或周邊防火牆專注於傳入的外部威脅，而內部防火牆則不同，它專注於網路內設備之間的流量。這一點很重要，因為並非所有威脅都源自網際網路。問題可能來自組織內部，無論是員工的無心之失或是惡意的企圖。

此類防火牆依據零信任原則運作。它不會因為任何活動來自網路內部，就自動信任該活動。防火牆將網路分割成不同的區域，每個區域都有其特定的安全性措施，可確保潛在的威脅不會肆無忌憚地擴散到整個系統。舉例來說，微區隔是一種技術，可將網路分割成較小的隔離區域，以提高安全性。此外，這些解決方案可利用智慧型自動化功能，依據可觀測性和已建立的安全行為來調整和更新安全通訊協定，以確保持續且動態的保護。

分散式防火牆

分散式防火牆是一種網路安全性機制，旨在保護組織的整個基礎架構。傳統防火牆通常集中在單一節點或裝置上，而分散式防火牆則不同，它是在整個網路中運作。它們利用多種裝置的功能來監控和調節流量，確保一致且完整的保護。

分散式防火牆的一個主要優勢是能夠同時監控內部和外部流量。傳統的防火牆一直以來都著重於外部威脅。然而，隨著安全威脅的演進，監控內部流量以偵測潛在威脅的需求已變得至關重要。分散式防火牆可填補這個缺口，可檢查網路內和進入網路的流量，因此可提供更全面的安全性層級。

分散式防火牆的另一個顯著特點是其可擴展性和效率。透過將流量監控流程分散至眾多裝置或節點，可防止瓶頸和壅塞點。這種分散式的特性可確保當組織擴充或流量增加時，防火牆系統可以相應地大規模擴充，而不會影響效能或安全性。

週邊防火牆

邊界防火牆建立私人網路與網際網路公共區域之間的邊界。作為主要防禦，此類防火牆會仔細檢查嘗試通過的每個資料位元組。這可保障私人網路不受不必要且可能有害的資料影響。邊界防火牆的重要作用是根據預先定義的參數區分並隨後允許或禁止流量，以確保只有合法且安全的資料才能進入。

周邊防火牆的效能取決於其辨識和判別資料封包性質的能力。它會檢查每個封包的標頭資訊和有效負載，以判斷意圖。這種層級的檢查有助於識別潛在威脅，例如惡意軟體或即將發生的網路攻擊跡象，以便及時採取預防措施。

周邊防火牆可以監控內部和外部流量。內部流量在網路內的使用者、裝置和系統之間流動，而外部流量則源自網際網路。鑑於網際網路上的威脅數量眾多且變化多端，管理外部流量成為這些防火牆的重要任務。

隨著時間的推移，技術的進步重新定義了周邊防火牆架構。下一代防火牆 (NGFW) 的推出突顯了這種演進。NGFW 整合了基本封包過濾和狀態檢測的功能，並整合了額外的安全功能，包括深度封包檢測和 入侵偵測/預防機制。這樣的進步強化了整體的防禦機制，確保私人網路仍然受到保護。

依資料過濾方法分類的防火牆類型

下一代防火牆 (NGFW) 延伸了傳統防火牆的功能，提供更全面的安全性解決方案。NGFW 與主要著重於狀態檢測的前代產品不同，NGFW 提供增強的功能來瞭解和控制應用程式流量、整合入侵防護機制，以及利用雲端威脅情報。這種進化的方法可確保對資料封包進行更仔細的檢驗，以應對現代網路威脅的複雜細微差異。

除了存取控制之外，NGFW 還擅長應對先進惡意軟體和複雜應用層攻擊等現代挑戰。他們會深入研究資料，檢視流量的性質，並找出可能代表潛在威脅的模式。整合 NGFW 內的威脅情報來源，可確保 NGFW 隨時更新最新的威脅媒介，維持其效能以因應不斷演進的網路安全挑戰。

NGFW 的出現代表著向前邁進了一大步。NGFW 將傳統防火牆的基本功能與先進的安全功能結合，提供強大、多元的防線。它們能夠在應用程式層運作，並整合額外的防護機制，使其成為保護企業網路免受明顯和隱蔽威脅的不可或缺的資產。

封包過濾防火牆

封包過濾防火牆在網路層運作，負責管制網路間的資料封包流量。這些防火牆依賴預先定義的規則來評估封包的特定屬性，例如來源 IP、目的地 IP、連接埠和通訊協定。如果屬性符合既定規則，封包就允許通過。如果沒有，封包會被攔截。

封包過濾防火牆的類型可進一步細分為靜態封包過濾防火牆、動態封包過濾防火牆、無狀態封包過濾防火牆、有狀態封包過濾防火牆。

電路層級閘道

電路層閘道主要在 OSI 模型的會話層運作。它的作用是監督和驗證封包之間的握手過程，特別是針對 TCP 和 UDP 連線。透過檢查握手過程以及與封包相關的 IP 位址，此防火牆可辨識合法流量，並阻止未經授權的存取。電路級閘道主要著重於標頭資訊，確保流量符合防火牆的規則集，而不會深入研究資料封包的實際內容。

當使用者尋求啟動與遠端主機的連線時，電路層級閘道會建立一個電路，基本上是使用者與目標主機之間的虛擬連線。閘道會監控穿越此電路的流量。它可以確保流量與已建立的連線一致，只允許經過驗證和授權的流量通過。當資料封包符合這些條件時，防火牆會促進連線，允許傳輸控制通訊協定或使用者資料包協定代表使用者與目的地伺服器通訊。如果封包不符合標準，閘道就會拒絕連線，有效地終止連線。

電路級閘道的特點在於其設計和實作的簡單性。由於它們不是為了理解或解釋應用程式通訊協定而設計，因此其部署通常很直接。電路層級閘道有別於基本的連接埠轉送機制。在電路層級的閘道設定中，用戶端會識別一個中間系統，使得閘道的操作比純粹的連接埠轉送更為全面。

Web 應用程式防火牆

Web 應用程式防火牆通常稱為 WAF，是 Web 應用程式、Web 伺服器和 API 的專門保護層。它的功能是檢查和過濾 HTTP 流量，從而保護網路應用程式免受跨網站指令碼編寫 (XSS)、SQL 插入和檔案包含等威脅。WAF 在第 7 層運作，特別針對應用程式層威脅，因此與眾不同。

WAF 位於 Web 應用程式之前，扮演反向代理的角色。這表示它們會截取並檢查網路應用程式的要求，確保只有合法的流量才能通過。任何可疑或惡意的流量都會立即被封鎖，防止潛在的攻擊。此架構不僅能增強網路應用程式的安全性，還能幫助應用程式避免直接暴露於網際網路威脅中。

為了維持效率，WAF 採用政策或規則集。這些規則有助於防火牆分辨良性和潛在惡意流量。這些政策的調整可以迅速執行，以便立即回應新興的威脅或不斷變化的攻擊模式。定期更新這些規則至關重要。

什麼是 WAF？| Web 應用程式防火牆解說

Proxy 防火牆

Proxy 防火牆是在應用程式層運作的網路重要防禦機制。也稱為應用程式防火牆或閘道防火牆，主要功能是作為中介，過濾電腦系統與外部伺服器之間的訊息。如此一來，就能保護網路資源免受潛在的網路威脅。

傳統防火牆不會對應用程式通訊協定流量進行解密或廣泛檢查，而代理防火牆則不同，它會深入檢查。它們會仔細檢查進出網路的流量，識別潛在網路攻擊或惡意軟體的跡象。防火牆運作的核心是維護自己的網際網路協定 (IP) 位址。此設計可確保外部網路無法直接存取受保護的內部網路。

Proxy 防火牆的操作流程簡單直接，但卻非常有效。網路內的電腦使用 Proxy 作為閘道連線至網際網路。當使用者嘗試存取外部網站或服務時，他們的要求會被 Proxy 防火牆攔截。此防火牆會根據其設定的政策評估請求。如果認為安全，它會代表使用者建立連線。透過此方法，Proxy 防火牆可確保只建立經授權且安全的連線。

狀態檢測防火牆

狀態檢測防火牆是主動式網路連線監控中不可或缺的一環。透過追蹤這些連線，它們可以分析傳入和傳出流量的上下文，確保只有安全的資料封包才會穿越網路。它們位於開放系統互連 (OSI) 模型的第 3 層和第 4 層，主要功能是根據狀態和內容過濾流量。此方法比純粹的封包層級防護更徹底，因為它了解資料交換的更廣泛背景。

狀態防火牆的基本技術是其執行封包檢查的能力。它會仔細檢查每個資料封包的內容，以判斷其是否符合先前已識別的安全連線屬性。如果匹配，就允許資料通過。但是，如果出現差異，則會對資料包進行政策檢查，以確定其安全性。

狀態檢查能力的一個實例是它與傳輸控制通訊協定 (TCP) 的互動。TCP 便於同時傳送和接收資料，並使用三方握手程序來建立連線。握手包括同步 (SYN)、同步確認 (SYN-ACK) 和確認 (ACK)。狀態防火牆利用此程序在握手過程中檢查封包內容，以識別潛在威脅。如果出現任何警示，例如可疑的來源或目的地，防火牆會立即丟棄資料。此方法可確保只維持合法且安全的連線。

第 3 層與第 7 層防火牆

第 3 層防火牆在開放系統互連 (OSI) 模型的網路層運作。它主要著重於根據 IP 位址、連接埠號碼和特定通訊協定等參數來過濾流量，因此其方法非常廣泛，與路由器的操作類似。這種類型的防火牆提供有效率且廣泛的涵蓋範圍，可根據來源和目的地的詳細資料允許或拒絕封包，以提供保護。

相反，第 7 層防火牆在 OSI 模型的應用層運作。其主要優勢在於能夠深入檢查資料封包內的內容。透過分析特定內容，它可以分辨出良性和惡意的應用程式特定流量，有效防範 SQL 插入或其他應用程式層攻擊等威脅。

在網路安全性的領域中，並不是要選擇其中一種。這兩種類型的防火牆都具有獨特的優點。第 3 層防火牆提供快速、廣泛的過濾功能，而第 7 層防火牆則深入研究資料的複雜細節，確保更深層次的保護。結合兩者的優勢，可提供強大的縱深防禦策略，達到最佳化的安全性。

如何為商業網路選擇正確的防火牆

為企業網路選擇合適的防火牆需要清楚瞭解網路架構、受保護資產以及特定的組織需求。

首先定義防火牆的技術目標。判斷網路是否需要全面的解決方案，或是更直接的防火牆就足夠了。首先，考慮網路類型、資產重要性、預算和預期流量是非常重要的。評估防火牆產品如何整合至現有基礎架構。最後，請務必考慮合規性需求和相關的資料保護法。

防火牆類型常見問題