信息技术数字 » 资源 » 防火墙配置:保护网络的完整指南
防火墙通过应用基于 IP 地址、端口、协议和应用程序的规则来控制网络流量,从而阻止未经授权的访问。
路由器防火墙、操作系统以及(在适用情况下)下一代防火墙和网络分段的结合,可以提供有效的纵深防御。
在企业环境中,正确设计网络区域、ACL 和记录,并通过安全测试来检验配置,是关键所在。
为了方便而禁用防火墙会使系统面临严重风险;正确的做法是设置具体规则并始终保持防火墙启用状态。
在任何现代网络上,从 家庭无线网络 深入到大型公司的基础设施, 防火墙是第一道防线 面对攻击、未经授权的访问和数据泄露,如果没有最基本的谨慎配置,就像把前门虚掩着一样:也许什么事都不会发生……直到它真的发生了。
即便如此,许多用户甚至一些组织仍然运行着带有以下功能的防火墙: 默认设置,但并不真正了解它的作用或如何调整。在这里,您将找到一份全面而非常实用的指南,介绍什么是防火墙,如何在 Windows、macOS、Linux、路由器和服务器环境中配置防火墙,以及高级最佳实践(下一代防火墙、分段、日志记录、其他工具),以便您可以根据自己的环境调整保护级别,而不会感到不知所措。
什么是防火墙?它为什么如此重要?
防火墙,也称为防火墙,是一种系统, 分析进出您的网络或设备的流量 并根据一系列规则决定允许哪些流量以及阻止哪些流量。这些流量由使用不同协议(TCP、UDP、ICMP 等)和端口传输的数据包组成。
这个想法很简单:防火墙充当…… 设备或内部网络与互联网之间的过滤器和屏障它会检查包裹的来源、目的地、传输端口以及内容类型。如果符合允许的规则,则放行;否则,阻止传输。这种逻辑具有明显的优势:更高的安全性、更低的恶意软件感染概率以及对进出流量的更好控制。
把防火墙想象成…… 你数字家园的前门您可以决定允许谁进入,阻止谁进入,以及每位客人可以访问房屋的哪些区域。此外,防火墙不仅可以阻止攻击;它还允许您限制对某些网站或应用程序的访问,这些网站或应用程序虽然本身并不恶意,但您不希望它们被使用(例如,企业环境中的社交媒体)。
在现实世界中,我们发现主要有两种类型的防火墙:软件防火墙(集成到操作系统中或作为程序安装)和硬件防火墙(专用设备,通常集成到专业或企业级路由器中)。除此之外,还有…… 下一代防火墙(NGFW)它结合了多层高级安全、深度包检测、入侵防御系统 (IPS) 以及应用分段和控制功能。
您可能会遇到的防火墙类型
“防火墙”这个统称涵盖了多种采用不同实现方式的技术。了解这些技术有助于您在检查路由器配置、操作系统或企业级下一代防火墙 (NGFW) 时,清楚地知道您看到的是什么。
第一组包括防火墙 包过滤它们在路由器或交换机上创建检查点,并根据源IP地址、目标IP地址、端口和协议对每个数据包进行简单的检查。它们速度很快,但不会深入检查数据包的内容。
然后还有防火墙 环线层走道这些方法侧重于根据会话状态批准或拒绝连接,而不详细检查每个数据包。它们效率很高,但在检测复杂威胁方面效果较差。
防火墙 状态检查 它们将数据包信息与 TCP 连接跟踪相结合。它们维护一个活动会话表,并验证流量是否符合允许的流,从而提供比简单静态过滤更强大的保护。
我们还有 应用层网关或代理防火墙它们在应用层运行,检查 HTTP、FTP 和其他流量,并可根据应用类型甚至内容应用高度细粒度的策略。这种方法构成了许多云防火墙和深度流量检测工具的基础。
被称为 下一代防火墙(NGFW) 它们集成了深度检测、应用控制、入侵防御系统 (IPS) 功能、网页类别过滤、高级文件分析,以及日益增强的基于人工智能的功能。它们可以部署为物理设备、虚拟机或云服务。
此外,从它们所在位置的角度来看,我们可以这样讨论防火墙: 软件 (在每台PC、服务器或设备上)以及防火墙 硬件 (网络边界的专用设备)。除此之外,还有…… 云防火墙它们充当大型代理,具有可扩展性,能够保护分布式环境以及拥有众多用户和地点的组织。
路由器上的防火墙:网络的第一道防线
你家里或办公室里的路由器通常都有一个 集成NAT/PAT的防火墙这意味着,最初,除非有端口转发、活动的 DMZ 或 UPnP 等协议配置错误,否则没有人可以从 Internet 直接连接到您的内部设备。
现代路由器上的典型策略是 “除非明确允许,否则拒绝所有入境货物”IPv4 NAT/PAT 技术进一步强化了这一点:内部设备使用私有 IP 地址,路由器会将它们的出站连接转换为公共 IP 地址。任何试图从互联网发起通信但未开放端口或未遵循预定义规则的操作都将被拒绝。
这就是为什么向本地网络电脑开放DMZ,而该电脑本身又没有正确配置防火墙是如此危险的原因: 那套设备将完全暴露在外。 连接到互联网,除重定向到另一台机器的端口外,所有端口均可访问。
路由器防火墙的基本良好实践之一是不要打开非绝对必要的端口。 除特殊设备外,避免使用DMZ。 (就像游戏主机一样)并且始终禁用 UPnP,以防止设备自行打开端口。手动打开端口可以让您完全控制哪些端口对外开放。
建议定期检查哪些端口是开放的,关闭不再使用的端口,并尽可能限制可以访问敏感服务的 IP 地址(例如,仅允许从特定的管理 IP 地址而不是从整个互联网访问 SSH)。
家用和高级路由器上的常用防火墙选项
根据路由器品牌不同,防火墙配置选项也会有所不同,但逻辑类似: 安全配置文件、规则和其他过滤让我们来看一些非常有代表性的例子。
华硕路由器
华硕路由器集成了基于防火墙的功能 iptables的在网页界面的“防火墙”菜单中,您可以激活或停用 IPv4 和 IPv6 的防火墙(默认情况下已启用,理应如此),并配置反 DoS 措施,以阻止尝试连接次数过多的源地址。
VPN 能抵御病毒和恶意软件吗?完整指南另一种常见方法是阻止对 WAN 接口的 ping 请求(ICMP 回显请求),这样路由器就不会响应(隐身模式)。在某些环境中 IPv6防火墙配置为 非常严格的入境政策每个设备都有自己的公共 IP 地址,但会阻止意外的传入连接,而允许正常传出连接。
华硕还提供“LAN 到 WAN 过滤”功能,该功能允许您: 阻止局域网到互联网的流量 基于源 IP 地址、目标 IP 地址和端口。此外,防火墙内部还支持 URL 和关键字过滤,以强制执行限制。
Livebox 路由器(Livebox Fiber 等)
在互联网服务提供商常用的Livebox路由器上,防火墙的管理位于“高级设置 > 防火墙设置”菜单中。您可以在此处选择多个级别:低、中、高和自定义。
等级 “低”实际上没有任何过滤作用。 (超出NAT的基本需求),专为优先考虑灵活性而非安全性的高级用户而设计。“中等”级别(通常是出厂默认设置)会阻止所有入站连接,并允许出站流量,但NetBIOS等特定服务除外。
“高调”限制性最强: 它仅允许访问定义明确的标准服务。 并阻止意外的传入连接。“自定义”模式允许用户设置特定规则,适用于了解自身操作的管理员;配置不当可能会阻止合法服务或留下重大安全漏洞。
AVM FRITZ!Box 路由器
FRITZ!Box 设备内置了相当全面的防火墙。在高级设置中,您可以在“互联网 > 过滤器”菜单下启用它。 隐身模式 避免响应 WAN 上的 ping 请求,并阻止敏感端口(例如 25(未加密的 SMTP)、NetBIOS 或 Teredo,如果它们未使用)。
在NAT环境中,检查以下内容至关重要: 已创建的端口转发 并关闭那些不再有用的服务,以防止过时的服务成为攻击入口。如果FRITZ!Box自身的远程管理服务并非必不可少,也应将其禁用;更安全的做法是通过VPN访问它,并在进入网络后使用其私有IP地址来管理路由器。
FRITZ!Box 还提供基于 IPsec 的远程访问和站点到站点 VPN 连接。这是一种很好的方式。 避免将服务直接暴露于互联网。 并要求任何远程访问都必须通过加密和受控通道进行。
下一代防火墙 (NGFW) 和高级安全
在企业环境中,像 FortiGate 系列这样的下一代防火墙的功能远不止简单的端口过滤。 它们集成了先进的网络功能和深度安全防护。 在同一平台上,减少了对多种不同设备的需求。
例如,FortiGate 基于 FortiOS 操作系统,并集成了 SD-WAN、ZTNA(零信任访问)、WLAN 和 LAN 集成、加密流量深度检测等功能。 IPS通过 FortiGuard 服务,按网络类别和基于人工智能的分析功能进行筛选。
这些下一代防火墙通常基于某种架构。 定制ASIC,允许 极高的性能 即使在检查大量加密流量时,也能提高能源效率。此外,它们还集成到所谓的“安全架构”中:一个横跨网络、终端和云的安全网,其统一策略由 FortiManager 等平台进行管理。
这种方法的关键在于: 整个网络表面都覆盖着一致的策略。从边界到终端,包括混合和云环境,这有助于快速响应新出现的威胁、分割复杂的网络,并全面了解流量和安全事件。
设计和配置结构良好的网络防火墙的步骤
在企业网络(物理网络或虚拟网络)中部署防火墙时,仅仅插入设备并保留默认设置是不够的,必须事先进行设计。 区域、IP 地址和策略 这样就能进行精细的交通管制。
设计防火墙区域和 IP 地址分配方案
第一步是识别网络资产(服务器、关键应用程序、工作站、物联网设备、POS机、VoIP设备等),并根据其重要性进行分组。 功能、敏感度级别和访问需求与其采用单一的扁平网络(所有人的所有内容都对其他人可见),不如创建分段或区域。
定义一个 非军事区 对于暴露于互联网的服务器,例如网站、电子邮件、VPN 或公共 API,其互联网访问权限受到严格限制。而内部服务器,例如数据库、管理系统、工作站以及语音或销售点设备,则位于安全策略更为严格的内部区域。
使用 IPv4 时,必须使用地址范围。 所有内部网络的私有地址 并配置NAT,以便内部设备在需要时可以访问互联网。在构建基础设施的过程中,使用支持VLAN的交换机来维护不同网段之间的二层逻辑隔离。
一旦区域结构和IP地址分配方案明确,就会在防火墙中创建相应的区域。 分配给物理接口或子接口这种映射关系是确保防火墙规则在不同区域之间正确应用的关键。
配置访问控制列表(ACL)
区域划分完成后,就可以开始创建了。 规定谁可以和谁交谈的规则这些规则以 ACL(访问控制列表)的形式实现,其中规定了区域之间允许(或拒绝)的流量,并尽可能详细地进行了规定。
ACL 是针对每个防火墙接口或子接口应用的,强烈建议这样做。 尽可能微调源 IP 地址、目标 IP 地址和端口。换句话说,允许“此服务器访问此数据库的此端口”比允许“整个网络访问另一个网络上的所有端口”要好。
一条非常重要的规则是在每个访问控制列表 (ACL) 的末尾“拒绝所有请求”。这种限制性策略确保了…… 任何未明确涵盖的流量都将被阻止。随后,对每个接口应用入站和出站 ACL,根据流量方向调整行为。
最好禁用对防火墙管理界面的公共访问,并确保不仅测试应用程序是否正常工作,还要测试…… 我们不希望看到的交通流量实际上并没有通过。例如,需要验证应用级控制功能(网页类别屏蔽、高级文件分析、入侵防御系统等)是否按预期运行。
商业环境中的智能手机:用途、风险和管理配置其他服务和日志
在许多防火墙中,都可以激活 补充服务 例如直接在设备上启用 DHCP、NTP 或 IPS 等服务。仅应启用实际会用到的服务;其余服务应禁用,以减少攻击面。
另一个关键方面是日志配置。为了遵守相关法规,例如…… PCI DSS防火墙必须向日志服务器或安全信息和事件管理 (SIEM) 系统发送详细日志,内容涵盖访问者、访问者位置、访问的服务以及访问结果等信息。例如,PCI DSS 标准在其 10.2 和 10.3 节中对这些日志的内容提出了具体要求。
日志数量可能很大,但这是唯一的方法 审计访问权限并检测攻击模式或异常情况建议制定相关政策,用于保留、轮换和监控这些事件,以便在出现问题时能够迅速做出反应。
彻底测试配置
在将新的防火墙配置投入生产环境之前,或者在进行重大更改之后,必须验证以下几点: 它阻止应该阻止的东西,允许必要的东西。这包括端口扫描、漏洞分析和 渗透测试.
拥有 配置备份 在安全地点测试恢复到先前状态的过程。在进行任何关键操作之前,请记录计划的更改,并确认您知道如何在维护期间出现问题时恢复防火墙。
虚拟服务器网络(私有云或公有云)中的防火墙
在云服务器平台上,除了操作系统自带的防火墙和任何中间防火墙之外,通常还会有一个可通过控制面板配置的网络级防火墙。了解这些防火墙的应用顺序有助于…… 避免规则之间的冲突.
通常情况下, 传入的数据包首先要经过网络防火墙。 (平台管理者),然后通过服务器防火墙(例如 Linux 上的 iptables 或 Windows 防火墙),最后通过任何其他软件机制。出站流量遵循相反的路径。
在这种类型的面板中,配置通常基于规则,规则包含名称、操作(允许或拒绝)、源和目标(IP、范围、CIDR、“任意”、“内部”、“外部”)、源端口和目标端口(特定端口、范围或“任意”)。 协议 (TCP、UDP、两者或 ICMP)。
一个关键细节是 规则顺序规则在列表中的位置越高,优先级就越高。如果对同一流量,一条“拒绝”规则放在一条“允许”规则之前,则该流量将被阻止。因此,通常允许用户通过拖放来重新排列规则顺序,从而调整优先级。
如果防火墙处于关闭状态,所有数据包都会未经过滤地进出。在活动状态下,默认行为通常是“允许所有不匹配任何规则的数据包”,但制定策略会更加安全。 默认拒绝,仅允许必要的信息。尤其是在涉及敏感数据的环境中。
操作系统中的防火墙:Windows、macOS 和 Linux
除了路由器防火墙和任何基于云的网络防火墙之外,每个现代系统都包含自身的一层保护。正确配置它可以提供…… 纵深防御如果任何服务暴露在互联网上,或者攻击者设法进入本地网络,这将特别有用。
Windows 防火墙:基本和高级配置
在 Windows 系统中,内置防火墙(Windows Defender 防火墙或 Microsoft Defender 防火墙)会根据以下条件过滤流量: 预定义和自定义规则您可以在“Windows 安全中心”应用程序的“防火墙和网络保护”部分查看和管理它。
第一步是检查当前网络配置:域网络、专用网络或公共网络。 私人网路 (就像在家一样)假定环境相对可靠,并允许更多传入连接,而在 公共网络(例如咖啡馆里的WiFi) 规则更加严格,几乎所有来自外部的东西都被屏蔽了。
通过此界面,您可以为每种类型的网络启用或禁用防火墙,但禁用防火墙并非明智之举,因为 增加遭受未经授权访问的风险如果某个合法应用程序因为被阻止而无法运行,正确的做法是为其创建例外或打开特定端口,而不是关闭整个防火墙。
高级设置用于管理 出入境规则这些规则决定了允许哪些连接。Windows 将这些规则分为四种类型:程序规则(允许或阻止特定可执行文件)、端口规则(控制特定的 TCP/UDP 端口)、预定义规则(由系统提供)和自定义规则(最灵活,允许您组合程序、端口、协议和地址)。
此外,还有一种选择是 阻止所有传入连接包括那些在允许列表中的用户。当您需要最高级别的安全性时,这非常有用,但可能会导致一些必要的服务(例如共享、远程桌面等)停止工作。
许多组织使用集中式管理工具,例如 代理配置 Ivanti Endpoint Security 等解决方案允许您创建 Windows 防火墙策略并将其批量部署到具有不同 Windows 版本(XP/2003、Vista 及更高版本)的设备,定义入站/出站规则、例外情况以及防火墙激活/停用,作为配置或修复任务的一部分。
Windows 防火墙中的帮助、实用程序和安全定义
详细的配置可能比较复杂,因此有一些工具可以简化日常操作。 TinyWall例如,它充当 Windows 防火墙的管理层,允许您更改操作模式(更严格或更宽松)、显示活动连接、创建白名单,并防止防火墙本身阻止您需要的应用程序。
另一种情况是 Windows防火墙控制它可以集成到系统托盘中,提供快速配置文件(高、中、低、无过滤器)和方便的界面,用于管理规则、导入/导出配置,以及激活学习模式,该模式可以检测数字签名的程序,从而更智能地创建规则。
企业安全解决方案,例如 Ivanti Endpoint Security,定义了 与 Windows 防火墙相关的特定安全威胁 (例如,Windows XP/2003 中的 ST000102 防火墙)。这些定义包含可自定义变量,用于跟踪实际防火墙配置是否与所需策略匹配;如果不匹配,则将计算机标记为易受攻击,并启动修复任务以强制应用正确的设置。
macOS 中的防火墙
在 Mac 上,防火墙的配置位于“系统设置”(或旧版本中的“系统偏好设置”)的“防火墙设置”部分。 网络和防火墙您可以在那里激活它,然后访问高级选项,以决定如何处理传入的连接。
除此之外,你还可以…… 阻止未经请求的连接它只允许必要的应用程序和服务运行,控制哪些特定应用程序可以接收流量,并能自动将受信任的应用程序添加到允许列表中。就端口细节而言,它比 Windows 系统更简单,但对普通用户来说非常有效。
错误 404 未找到:它是什么、原因、对您的网站的影响以及如何修复它。在企业环境中,通常会辅以集中管理的安全策略,以确保所有 Mac 机器都遵循相同的规则,允许哪些服务和应用程序可以接收连接。
Linux 防火墙:UFW 作为一种简单的选择
在 Linux 系统中,尤其是在像 Ubuntu 这样的发行版中,通常使用更易于使用的工具来管理 iptables(或 nftables)。其中最流行的工具之一是…… UFW(简单防火墙)它提供清晰的命令来激活防火墙并定义规则。
安装是通过软件包管理器完成的(例如,“sudo apt-get install ufw”),虽然 UFW 通常默认处于禁用状态,但建议在激活它之前使用“sudo ufw status”检查它。 未先定义基本规则,不应启用此功能。因为它会阻止所有传入连接,你可能会失去远程访问权限。
典型的规则包括允许 SSH(“sudo ufw allow ssh”)以避免失去远程访问权限,以及开放 HTTP 和 HTTPS(“sudo ufw allow http”、“sudo ufw allow https”) 网络服务器 之后,您可以根据需要添加端口。基本规则设置完成后,使用“sudo ufw enable”启用防火墙,并使用“sudo ufw status”检查其状态,该命令会显示允许的服务和端口列表。
由于 Linux 本身就是一个相当稳定的系统,配置 UFW 可以提供…… 强烈建议增加一层安全防护。尤其是在可通过互联网访问的服务器上。
网络分段、策略和凭证盗窃预防
提高安全性的最有效策略之一是 网络分段通过将网络划分为多个段(按功能、设备类型、风险级别),一个段的流量对另一个段是不可见的,从而降低了任何事件的影响。
这一点对于物联网设备尤其重要,因为它们通常运行在老旧且易受攻击的系统上。将它们放置在 VLAN 或隔离区域 严格限制其访问权限,可以最大限度地降低 IP 摄像头或传感器故障可能危及整个企业网络的风险。
另一个关键问题是 防火墙策略优化未经审核就添加规则会导致规则混乱堆积、冲突不断,最终使防火墙几乎无法管理。理想情况下,您应该从基于端口的规则迁移到基于应用程序的规则,这样就能清楚地了解哪些服务被允许或拒绝,并定期审核这些规则以删除过时的条目。
一些高级防火墙包含以下功能: 防止公司凭证被盗他们会扫描登录尝试(用户名和密码),并将其与组织的内部帐户列表进行交叉比对,从而阻止这些帐户在外部网站(例如社交媒体或与业务无关的服务)上使用。他们还会向用户显示警告,解释重复使用工作凭据的风险。
这类控制措施不仅可以阻止直接攻击,还可以作为一种工具,用于…… 安全意识通过让员工更清楚地看到他们在公司环境之外的密码使用习惯所造成的影响。
禁用防火墙会发生什么(以及为什么不应该禁用)
当应用程序或在线游戏出现问题时,人们常常会尝试…… 禁用防火墙“看看是否有效”。没错,有时候它确实能解决症状,但同时也带来了很多不易察觉的风险。
如果没有防火墙,系统就会暴露于…… 外部威胁,例如恶意软件、木马、病毒和其他攻击 这些设备安装起来毫无障碍。攻击者可以尝试扫描路由器端口,如果NAT规则也比较宽松,他们还可以找到防护薄弱的服务,并将其作为攻击入口。
防火墙也控制着 数据输出如果没有防火墙,任何恶意应用程序都可以随意向外部发送敏感信息。此外,许多应用程序依赖防火墙来缓冲端口扫描攻击或小型DDoS攻击;禁用防火墙会消除这种缓冲作用。
如果应用程序由于防火墙而无法运行,专业的解决方法不是关闭防火墙,而是…… 创建一条允许必要流量的特定规则检查路由器是否需要打开任何端口,并调整规则,使本地防火墙和网络设备防火墙之间没有冲突。
多防火墙共存:路由器和PC同时存在防火墙
当你的路由器和电脑上都安装了防火墙(例如Windows防火墙)时,所有传入流量都会先经过路由器,然后再经过你的电脑。这种双层系统,如果配置正确, 全球安全形势日益严峻因为其中一个屏障的失效可以由另一个屏障来弥补。
然而,必须谨慎对待…… 不一致的规则如果路由器阻止了电脑防火墙允许的端口,或者反之亦然,您可能会发现某些服务无法正常工作,并且无法确切地知道是哪一层导致了问题。
实际上,最合理的做法是让路由器的防火墙充当…… 主周界屏障这样一来,就只允许真正应该从互联网进入的网络流量,而电脑的防火墙则会控制局域网设备之间的流量以及任何可疑的出站通信。结合良好的NAT配置,并避免过度使用DMZ或UPnP,就能为家庭或小型办公环境提供非常强大的安全防护。
最终,了解不同防火墙(路由器、操作系统、云、企业下一代防火墙)的工作原理以及它们之间的联系,可以帮助您做出更明智的决策: 要公开哪些服务、在哪里进行分段、要保留哪些记录以及如何调整规则 在网络和设备上保持安全性和易用性之间的平衡。
相关文章:日志分析:IT、安全和SEO完整指南
目录
什么是防火墙?它为什么如此重要?您可能会遇到的防火墙类型路由器上的防火墙:网络的第一道防线家用和高级路由器上的常用防火墙选项华硕路由器Livebox 路由器(Livebox Fiber 等)AVM FRITZ!Box 路由器下一代防火墙 (NGFW) 和高级安全设计和配置结构良好的网络防火墙的步骤设计防火墙区域和 IP 地址分配方案配置访问控制列表(ACL)配置其他服务和日志彻底测试配置虚拟服务器网络(私有云或公有云)中的防火墙操作系统中的防火墙:Windows、macOS 和 LinuxWindows 防火墙:基本和高级配置Windows 防火墙中的帮助、实用程序和安全定义macOS 中的防火墙Linux 防火墙:UFW 作为一种简单的选择网络分段、策略和凭证盗窃预防禁用防火墙会发生什么(以及为什么不应该禁用)多防火墙共存:路由器和PC同时存在防火墙