每个网站都需要保护。就像您的个人计算机一样,在线服务器也可能成为攻击目标。您需要一种方法 防范黑客 或其他非法流量来源。那就是防火墙进来的地方。

简而言之,什么是防火墙?这是计算机与“外部世界”之间的障碍。

如果您使网站不受保护,则恶意行为者可能会对您的服务器造成严重破坏,这就是为什么您应该竭尽所能 保护您的WordPress网站。设置防火墙应该是您的首要任务之一。

但是有许多不同类型的防火墙,您可能不知道从哪里开始。

/ *点击鸣叫* /
正文a.novashare-ctt {
显示:块;
背景:#00abf0;
边距:30px自动;
填充:20px 20px 20px 15px;
颜色:#ffffff;
文字修饰:无!重要;
box-shadow:无!重要;
-webkit-box-shadow:无!重要;
-moz-box-shadow:无!重要;
边框:无;
左边框:5px实心#00abf0;
}
正文a.novashare-ctt:hover {
颜色:#ffffff;
左边框:5px实心#008cc4;
}
正文a.novashare-ctt:visited {
颜色:#ffffff;
}
正文a.novashare-ctt * {
指针事件:无;
}
正文a.novashare-ctt .novashare-ctt-tweet {
显示:块;
font-size:18px;
行高:27px;
底边距:10px;
}
正文a.novashare-ctt .novashare-ctt-cta-container {
显示:块;
溢出:隐藏;
}
正文a.novashare-ctt .novashare-ctt-cta {
浮动:正确;
}
正文a.novashare-ctt.novashare-ctt-cta-left .novashare-ctt-cta {
向左飘浮;
}
正文a.novashare-ctt .novashare-ctt-cta-text {
font-size:16px;
行高:16px;
垂直对齐:中间;
}
正文a.novashare-ctt .novashare-ctt-cta-icon {
左边距:10px;
显示:inline-block;
垂直对齐:中间;
}
正文a.novashare-ctt .novashare-ctt-cta-icon svg {
垂直对齐:中间;
高度:18px;
}
/ *简单+简单备用主题* /
正文a.novashare-ctt.novashare-ctt-simple {
背景:无;
填充:10px 0px 10px 20px;
颜色:初始;
}
正文a.novashare-ctt.novashare-ctt-simple-alt {
背景:#f9f9f9;
填充:20px;
颜色:初始;
}
正文a.novashare-ctt.novashare-ctt-simple:hover,正文a.novashare-ctt.novashare-ctt-simple-alt:hover {
左边框:5px实心#008cc4;
}
正文a.novashare-ctt.novashare-ctt-simple .novashare-ctt-cta,正文a.novashare-ctt.novashare-ctt-simple-alt .novashare-ctt-cta {
颜色:#00abf0;
}
正文a.novashare-ctt.novashare-ctt-simple:hover .novashare-ctt-cta,正文a.novashare-ctt.novashare-ctt-simple-alt:hover .novashare-ctt-cta {
颜色:#008cc4;
}

让我们遍历所有类型的防火墙,何时需要一台,以及如何在服务器上进行设置。

什么是防火墙?防火墙做什么?

每当您访问网站时,您基本上都在连接到另一台计算机:Web服务器。但是,由于服务器只是一台专用计算机,因此很容易遭受与您自己的PC相同类型的攻击。

直接连接到另一台设备而在两者之间没有任何保护是不安全的。建立连接后,用恶意软件感染对方或启动 DDoS攻击.

这就是防火墙的用途。它是您与试图连接到您的任何其他设备之间的中介,或者是在Web服务器的情况下,它与它每天与他人建立的数百或数千个连接之间的中介。

computer connection

连接到Web服务器

那么防火墙到底是如何工作的呢?

防火墙仅监视设备上的传入和传出流量,扫描是否有恶意活动迹象。如果检测到可疑物品,它将立即阻止其到达目的地。

对于您的计算机或服务器而言,这是一个很大的过滤系统。

防火墙最初开发时,是非常简单的数据包分析器,可以允许或阻止 传入流量 基于最少的预定义规则集。它们非常容易绕开。

如今,它们已经演变为复杂的编程部分,它们可以更好地阻止未经授权的入侵,并且是所有设备必不可少的软件。

需要防火墙时

您可能想知道:什么时候需要防火墙?我真的需要一个吗?

连接到Internet的任何计算机都需要防火墙。不仅您的计算机,而且您的Web服务器,电话,IoT设备或任何您能想到的具有互联网使用能力的设备。

不受保护的设备很容易被入侵和感染。

这可能 使黑客能够接管您的计算机,安装他们想要的任何东西,在您输入敏感信息(例如银行凭证)时进行监视,甚至查看您的网络摄像头/相机,并通过麦克风收听。

对于网络服务器,如果黑客设法通过,他们可能会破坏您的网站,嵌入感染您的访问者的恶意软件,更改您的 WordPress管理员登录凭据, 要么 彻底删除您的网站.

site not found

404页

没有防火墙,您的网站甚至个人设备都容易受到攻击。 DDoS攻击,这种攻击媒介会发送数千或数百万个伪造的数据包,从而使服务器超载,并导致您的网站或互联网瘫痪。

不服气吗?防火墙可以保护您或您的网站免受以下攻击:

  • 入侵:防火墙可防止未经授权的用户远程访问您的计算机或服务器,并执行其所需的任何操作。
  • 恶意软件:设法渗透的攻击者可以发送恶意软件来感染您或您的服务器。 恶意软件 可能会窃取个人信息,将自身传播给其他用户或以其他方式损坏您的计算机。
  • 蛮力攻击:黑客尝试尝试数百种用户名和密码组合来发现您的管理员(或其他用户) 登录信息.
  • DDoS攻击:防火墙(尤其是Web应用程序防火墙)可以尝试检测DDoS攻击期间发生的虚假流量涌入。

防火墙类型

有许多不同类型的防火墙,每种防火墙都针对不同的情况而设计。有些适用于单台计算机,而另一些适用于网络范围的过滤。

它们的工作方式各不相同,并且在阻止某些类型的流量方面效果更好。如果您想知道该寻找哪个,我们将分解所有主要类型的防火墙。

快速摘要:除非您正在运行自己的服务器堆栈(使用自己的Internet提供网站),否则您主要需要担心的防火墙类型是个人防火墙,软件防火墙和Web应用程序防火墙。

这三个是最重要的。但是,如果您想更好地了解防火墙的工作方式以及这些年来的发展情况,请阅读更多有关其余内容的信息。

个人防火墙

防火墙的工作方式有很大不同,具体取决于是单台计算机,整个网络(例如在业务办公室内部)还是Web服务器使用它们。个人防火墙只能在一台计算机上使用。这是预装在Windows和Mac计算机上或与防病毒软件一起安装的防火墙。

虽然它的工作方式与服务器防火墙类似(基于一组预定义的规则允许或拒绝来自其他设备,应用程序和IP的连接),但其功能却有所不同。

个人防火墙可以保护 您使用的端口 连接到网站和在线应用程序(将其隐匿,使攻击者无法看到它们是打开的),防御通过网络传播的攻击,防止人们访问和接管您的计算机,并分析所有传入和传出的流量。

它们还充当应用程序防火墙,监视设备上应用程序的活动,并拒绝允许使用不安全或未知软件建立连接。

如今,获得个人防火墙相当容易。如果您使用任何现代版本的Windows,则默认情况下应该已经有一个正在运行的Windows。

personal firewall

Windows Defender防火墙

Mac计算机也附带一台,但您需要自己打开它。为此,请导航至系统偏好设置,单击安全性和隐私,然后单击防火墙:

Firewall application in macOS

macOS中的防火墙应用程序

防病毒软件通常也自带。一个例子是 Avast防病毒软件:其软件防火墙与Windows兼容,可作为第二道防线。

付费第三方个人防火墙也存在,但它们可能与您的默认设置冲突。

硬件与软件防火墙

防火墙有两种不同的形状:硬件和软件防火墙。软件防火墙是计算机的可下载程序,可以从中央控制面板进行监视。硬件防火墙提供了类似的功能,但实际上已安装在建筑物中。

您可能不知道,但是家里可能有一种硬件防火墙:路由器,允许您连接到互联网的设备。虽然它与专用硬件防火墙设备不完全相同,但它提供了监视,允许或拒绝连接的类似功能。

软件和硬件防火墙都位于您的计算机与外界之间,仔细分析任何试图穿过的连接。您可以在网络上运行它们中的一个或两个。

但是,硬件防火墙有一些缺点。它们很难设置并且需要持续的维护,因此它们通常不适合单台计算机或没有IT部门的小型企业。他们可能导致 性能问题,尤其是与软件防火墙堆叠在一起时。而且它们不适合阻止设备上的应用程序或基于用户的限制。

另一方面,硬件防火墙将轻松保护您的整个计算机网络,而为此设置软件则是一项艰巨的任务。而且,尽管攻击者可以设法阻止软件进入,但他们无法篡改物理设备。

顾名思义,软件防火墙可以更好地处理计算机上的程序。阻止应用程序,管理用户, 生成日志监控用户 在您的网络上是他们的专长。它们在网络范围内配置不是那么容易,但是当安装在多个设备上时,它们可以实现更好的控制。

数据包过滤防火墙

包过滤防火墙是最简单的防火墙,也是最早开发的防火墙之一。数据包是计算机和服务器之间交换的数据。单击链接,上载文件或发送电子邮件时,会将数据包发送到服务器。当您加载网页时,它会向您发送数据包。

数据包过滤防火墙会分析这些数据包,并根据一组预定义的规则将其阻止。例如,您可以阻止源自某个服务器或IP地址的数据包,或试图到达服务器上某个目标的数据包。

缺点:这些类型的防火墙简单易行。无法应用高级规则。如果允许流量通过某个端口,则包过滤防火墙将允许任何东西通过,即使是到现代防火墙的流量显然也不合法。

这些功能的唯一好处是它们非常简单,几乎不影响性能。他们不检查流量,保存日志或执行任何高级功能。如今,应避免使用数据包筛选防火墙,或至少将其与更高级的防火墙搭配使用,因为有更好的解决方案。

状态防火墙

在“无状态”之后,简单的数据包筛选器便出现了状态防火墙技术。这是革命性的,因为有状态的防火墙不仅可以分析通过的数据包并根据简单的参数进行拒绝,而且还可以处理动态信息并在通过网络时继续监视数据包。

一个简单的数据包筛选防火墙只能 基于静态信息(例如IP地址)的基于块的 或端口。状态防火墙更擅长检测和阻止非法流量,因为它们可以识别模式和其他高级概念。

与无状态防火墙相比,缺点是它们的强度更高,这是因为将数据包数据存储在内存中并进行了更严格的分析,此外还要保留阻止和通过的日志。但是它们是一个更好的解决方案。

Web应用防火墙

web application firewall

WAF如何工作

尽管今天仍然使用有状态技术,但仅靠状态技术已不足以有效地保持网络安全。申请及 Web应用防火墙 是下一步。

是否需要为您的网站提供快速,可靠且完全安全的托管服务? Kinsta提供了所有这些以及WordPress专家提供的24/7世界一流的支持。 查看我们的计划

传统防火墙仅监视网络上的常规流量。他们很难或完全无法检测到来自应用程序,服务或其他软件的流量。应用程序防火墙旨在与这些程序一起使用,以捕获利用软件的入侵尝试 漏洞 越过旧的防火墙。

它们还可以用作企业的家长控制系统,从而阻止访问某些应用程序和 网站完全.

Web应用程序防火墙的工作原理类似,但是它们监视Web应用程序而不是计算机上的程序。 Web应用程序的示例是第三方表单或购物车插件,有时可能会被劫持以将恶意软件发送到您的服务器。没有WAF, 您容易受到这些攻击.

许多WAF都是基于云的,这意味着您无需对服务器进行任何重大更改即可进行设置。但是它们也可以存在于硬件或服务器软件上。

如果您需要防火墙服务来保护您的网站,请寻找基于云的WAF,例如 云耀斑 要么 苏库里。无需费心处理敏感的Web主机设置或设置昂贵的硬件,即可安装这些程序。

下一代防火墙

最后是下一代防火墙(NGFW),这是这一代安全技术中最新出现的发明之一。这些企业级工具就像上述所有工具合而为一。深度数据包过滤,入侵防御和应用程序监视只是它们广泛的网络功能中的几个。

下一代云防火墙确实可以在线提供服务,但WAF更为常见,并提供类似的功能。但是,如果您想使用绝对最先进的防火墙技术,可以使用 在一个程序中提供全套安全保护,寻找NGFW。

如何获得防火墙

为了保护您自己和您的网站,您需要一个高质量的防火墙,以防止入侵者进入。

就个人防火墙而言,通常无需费劲就可以得到一个。 Windows的内置防火墙无需任何配置即可很好地工作。在防病毒软件通常随附的应用程序防火墙和路由器上的数据包筛选器之间,计算机通常受保护的程度更大。

只要确保您的防火墙已激活,已安装好的防病毒软件以及路由器的配置正确即可。对于macOS用户可以说相同的话。

但是如果你有一个 需要保护的网站?

那就大不一样了。保护您的内置工具不多,通常由您来保护网站安全。例如,如果您运行的是WordPress,则没有防火墙或任何可保护服务器的内容, 安全插件 是最常见的选择之一。

WordPress开发人员 尽最大努力使代码保持最佳状态,但是当确实出现漏洞时,您将无法防止入侵。

每个站点都可以从WAF中受益。在线服务,例如 苏库里, 围栏, 云耀斑 可以在几分钟内在您的服务器上进行设置。

Kinsta secure hosting

Kinsta提供主动和被动措施以提高安全性

除了自己安装防火墙之外,您还应该选择一个可以正确维护其服务器的Web主机。太多 便宜的主机不必担心安全性 如果您的网站遭到抨击,可能会导致巨大的问题。

在金斯塔,我们提供 安全的WordPress托管 其中包括硬件防火墙,暴力检测和 安全保证.

Kinsta和Google Cloud Platform防火墙

Kinsta为所有人增加了一层额外的安全保护 金斯塔计划 非常感谢 GCP防火墙。如果您不知道,我们的基础架构是建立在 Google Cloud Platform,这意味着托管在我们服务器上的每个网站都会获得自己的隔离容器。

这已经很多了 比大多数形式的托管更安全,尤其是因为您的网站使用的是Google的一流技术。但是随着 Google Cloud Platform防火墙,它变得更好了。

我们其中一项计划中的每个站点现在都受到Google防火墙的保护。

这也可以与第三方WAF一起很好地工作。没有冲突,只为您的网站提供更多保护。有了Sucuri或Cloudflare之类的服务,您的服务器将几乎无法穿透。

概要

在现代的个人计算机上,由于大多数操作系统都已预先安装了防火墙,因此您通常不需要做很多事情。对于您的网站,太多的主机只是不关心服务器安全性,因此保护自己已成为您的工作。

如果您正在寻找一个虚拟主机 可靠的安全基础架构 可以支持任何规模的站点,请考虑使用Kinsta。跟我们 安全保证,您知道您不会成为黑客的受害者。并且他们获得突破的机会极少,我们将采取措施免费清除该恶意软件。

即使您确实选择了具有大量安全性的可靠主机,也最好安装Web应用程序防火墙作为第二道防线。寻找Sucuri等优质服务,或下载 WordPress安全插件,那么您会很高兴。