什么是网站防火墙? WAF 和其他防火墙说明
已发表: 2023-01-13如果您拥有一个网站,则需要保护它。 与个人电脑一样,网络服务器——以及在其上运行的软件——不断受到黑客的探测和攻击。 因此,让黑客和其他不良流量远离您的网站非常重要。 这就是网站应用程序防火墙或 WAF 介入的地方。我们可以将其称为“网站防火墙”以使其更简单。
什么是网站防火墙?
简而言之,网站防火墙是计算机或服务器与世界其他地方之间的安全过滤器。 恶意黑客通过侵入不安全的服务器谋生。 广泛使用的 Web 应用程序(如 WordPress 和其他流行的内容管理系统)构成了很大的攻击面。 这就是保护您的 WordPress 网站对您如此重要的原因。
抵御安全威胁的有效防线是网站防火墙。
有多种不同的防火墙类型,因此您需要确保使用的是最佳解决方案。 在本指南中,我们将讨论不同类型的防火墙。 我们将解释为什么您需要一个来保护您的 WordPress 站点,以及如何设置一个。
让我们开始吧。
将防火墙视为您网站的巨大安全门。
网站防火墙有什么作用?
每次访问网站时,您都会连接到另一台称为网络服务器的计算机。 Web 服务器与任何其他计算机一样容易受到恶意攻击。
在没有保护层的情况下直接连接到外国或未知设备是不安全的。 不安全的连接可能允许黑客用恶意软件感染连接的设备。
他们甚至可能对接受发送给它的每个请求的 Web 服务器发起全面的分布式拒绝服务 (DDoS) 攻击。 一分钟内出现一百万个错误请求不会侵入您的网站,但它们可能会使您的服务器不堪重负并导致您的网站瘫痪。 如果您有识别错误请求和虚假流量的防火墙,它将阻止它们并仅处理来自想要查看您网站的真实用户的合法请求。
这就是防火墙如此重要的原因。 防火墙位于您的站点和所有其他试图与之连接的设备之间。 对于您的 Web 服务器,您的主机使用防火墙作为过滤器,每天在您的服务器与成百上千甚至数百万个与其他设备的连接之间。 对于您的网站,添加到 WordPress 的基于软件的网站防火墙将增加您可以控制的另一层保护。
网站防火墙如何工作?
防火墙监控传出和传入的流量,不断扫描黑客攻击或其他恶意活动的迹象。 当它检测到异常情况时,防火墙会阻止它到达预期的目的地。
将网站防火墙视为您的网络服务器的巨大过滤器。
当网络防火墙在 1990 年代初期首次出现时,它们只是简单的数据包分析器,只能使用非常少的一组规则来阻止传入流量。 事实上,黑客很容易绕过它们。
今天,防火墙已经成为复杂的程序,擅长阻止黑客达到他们的目标。 由于每天都会发生大量黑客攻击尝试,因此硬件防火墙是网络路由器、交换机和 Web 服务器的关键功能。 好的房东会为您处理好这一切。 但是您的网站是您维护的责任,为它设置防火墙将限制这些其他安全层。
我的网站需要防火墙吗?
您的网站真的需要防火墙吗? 你真的需要一个吗?
不,当您可以使用外部的、基于云的 WAF 时,您绝对不需要在您的网站上运行防火墙作为 WordPress 安全功能插件或插件的一部分。
是的,作为云 WAF 或防火墙即服务平台(如 Cloudflare 或 Sucuri)的一部分,在您网站前运行的防火墙绝对会让您受益。
如果每个网站都必须托管 WAF 并完成过滤传入请求的工作,同时还要响应它们、访问数据库、呈现页面、管理缓存内容以及为内容管理和电子商务应用程序提供动力,那么每个网站都会受到性能影响。
如果您没有使用可靠的托管 WordPress 托管,则更高的风险和安全责任的负担落在您(网站所有者)身上,并且您的服务器性能可能不理想。 在这种情况下,云 WAF 是一个非常实用的选择。 (我们推荐 Liquid Web 和 Nexcess 用于 WordPress 托管,Cloudflare 和 Sucuri 用于他们的云 WAF 服务。)
你觉得幸运吗?
没有人会因为更高的安全性而出错,但是某些网站可能比其他网站从网站防火墙中受益更多。 如果您在自己的网站上经营业务,存储敏感的客户数据和个人身份信息,您可能更容易成为攻击目标,并承担更大的责任。 保护站点的风险更高,因此您应该考虑可以加强安全性的所有方法。
如果黑客接管或破坏了您的网站,您会感到震惊吗? 如果是这样,网站防火墙和优质托管将使您高枕无忧。
什么可能出错?
对于 Web 服务器,当黑客通过时,他们可以迅速破坏您的整个网站。 他们可能会嵌入恶意软件来感染您的网站访问者,更改 WordPress 管理员密码以将您拒之门外,或者完全关闭您的网站。
如果您的网站没有防火墙,它可能容易受到 DDoS 攻击。 在这种类型的攻击中,攻击者将发送数千(或数百万)个虚假数据包,使您的服务器过载并导致您的网站瘫痪。
除了 DDoS 攻击之外,网站防火墙还可以保护您的网站免受:
- 入侵——网站防火墙可防止未经授权的用户访问您的网站。 当黑客闯入您的网站时,他们可以对网站造成的破坏是无止境的。
- 恶意软件——渗透到您的服务器的恶意攻击者通常会用恶意软件感染它。 他们创建恶意软件来窃取个人和私人信息,将自身传播到其他设备,并对计算机造成损害。
- 蛮力攻击 -蛮力攻击是黑客攻击尝试,攻击者尝试使用数千个用户名和密码组合来试图闯入您的 WordPress 网站的管理员和其他用户帐户。 与 DDoS 攻击一样,黑客使用僵尸网络进行暴力攻击。 僵尸网络每分钟可以测试数百种不同的登录组合,直到成功为止。
防火墙类型:安装位置
正如我们所指出的,有几种不同类型的防火墙。 它们中的每一个都是为特定情况而设计的。 有些非常适合个人电脑。 其他防火墙是专门为网络过滤而设计的。 网站防火墙作为这些其他类型防火墙之后的最后一道防线来保护网站。
最好根据防火墙的部署位置、它们的作用以及它们的作用方式对防火墙进行分类。
每种类型的防火墙位于或安装在网络或计算设备上的唯一位置。 它们可能嵌入硬件中。 它们可能被打包为软件,您可以将其安装在计算机上或 WordPress 等 Web 应用程序中。 每种类型的防火墙都有不同的特性。 防火墙还使用多种技术来过滤不同类型的流量。
我们将简要介绍防火墙的主要类别、类型和技术,以便您对它们有一个全面的了解。 我们将讨论防火墙之间的区别和关联,着眼于了解适用于 WordPress 的网站防火墙的适用范围。
硬件和软件防火墙之间的区别
所有的防火墙都是软件,但有些防火墙是嵌入在路由器和网络交换机等硬件设备中的。 它们可能是只读且不可更改的,或者需要更新以更改存储在闪存或其他非易失性、可重写存储芯片中的软件。 像这样的防火墙被认为是硬件防火墙。
软件防火墙是运行在计算设备硬件之上的独立应用程序。 它可能是操作系统的一部分或在操作系统之上运行,例如个人防火墙应用程序,我们将在下面进一步讨论。
软件防火墙可以在网络服务器的操作系统之上运行,并与网络硬件防火墙结合用作许多其他网络服务器的网络防火墙。
可以将软件防火墙添加为内容管理系统的一个组件,例如 WordPress 的 WAF。 WordPress 中的防火墙位于技术栈的高处,在您的站点和底层硬件之间具有操作系统和中间件。 正如我们所见,这是一个 Web 应用程序防火墙的示例。
硬件与软件防火墙:优点和缺点
硬件防火墙提供与软件防火墙相同类型的功能,但它们在您的网络上游运行,领先于您的计算设备和托管您站点的 Web 服务器。 它们嵌入到更深层次的技术堆栈中。
即使您没有意识到,您的互联网路由器中也有一个硬件防火墙。 虽然它与专用硬件防火墙设备略有不同,但它提供了类似的监控和安全功能。
更新和适应性
软件和硬件防火墙都位于您的设备和世界其他地方之间,它们可以在其中分析所有连接请求并阻止不良请求。 可以更新软件防火墙以提高其有效性并响应新线程。 硬件防火墙更难更新。
有时网络硬件需要应用更新来修复错误和修补漏洞,但如果您没有网络支持团队,这将是一项罕见且困难的任务。 这也是较旧的网络硬件往往不太安全的原因。 黑客已经找到了利用它的方法。 您依赖托管服务提供商为您维护他们的硬件基础设施——这是不便宜的另一个原因。
硬件防火墙有一些这样的缺点。 因为它们很难更新并且确实需要持续维护以确保它们的安全,所以它们在任何重要的业务网络中都需要 IT 支持。 家庭和许多小型企业网络往往设置不当且不安全。
辅助功能和性能
此外,硬件防火墙在检查和过滤网络流量时可能会导致速度和性能问题。 当它们与软件防火墙一起使用时尤其如此。 您可能会从多个防火墙协同工作中获得更高的安全性,但如果它们都有复杂的规则,那么成本可能会影响您的吞吐量——网络上数据传输的速度。
此外,大多数硬件防火墙并非旨在阻止或限制个人用户和设备。 这通常不在他们的功能集中。
如果您有一个大型网络,硬件防火墙可以轻松保护整个网络,即使网络受到威胁也能继续工作。 在大型网络上设置软件防火墙要困难得多,而且如果黑客能够闯入,它们很容易被禁用。黑客通常无法禁用硬件防火墙。
软件防火墙旨在为那些可能不是技术专家的人提供更友好的用户体验。 这些防火墙提供阻止特定应用程序、管理设备用户、创建日志和监控网络用户的功能。 它们在网络设置中的设置要困难得多,但是当它们安装在多台设备上时,它们比硬件防火墙给你更多的控制权。
防火墙类型:它们使用的不同技术
防火墙软件不断发展,随着时间的推移出现了不同的技术来处理不同的任务和情况。
今天,我们有近十几种主要类型的防火墙,它们根据它们用来保护您的技术定义。 这些是包过滤防火墙、电路级网关、应用程序级网关或代理防火墙、状态多层检测 (SMLI) 防火墙、下一代防火墙 (NGFW),包括以威胁为中心的 NGFW、网络地址转换 (NAT) 防火墙、云防火墙和统一威胁管理 (UTM) 防火墙。
我们将只看其中的三个,它们代表较旧的、更基本的防火墙技术和网络过滤方面最新、最前沿的发展。
包过滤防火墙
这种类型的防火墙是最早开发的防火墙之一。 它也是最简单的一种防火墙。
数据包是服务器和计算机之间的数据交换。 例如,当您上传文件、发送电子邮件或单击链接时,您是在向服务器发送数据包。 当您的设备加载网页时,服务器会向您发回一个数据包。
数据包过滤防火墙分析数据包并在它们违反某些预定义规则时阻止它们。 它们可以阻止来自 IP 地址或特定服务器的数据包或试图到达特定服务器位置的数据包。
不幸的是,包过滤防火墙很容易被黑客攻击。 他们不能应用任何高级规则。 如果设置为允许通过给定端口进行访问,则防火墙将允许任何内容通过。 即使是现代防火墙知道不合法的流量也会在不被阻止的情况下通过。
从好的方面来说,数据包过滤防火墙非常简单,不会影响性能。 它们不保存任何日志、检查流量或执行高级功能。 但是今天,这些防火墙并不是您的主要保护来源。
状态防火墙
在简单的数据包过滤防火墙之后引入了状态防火墙。 这个想法在当时是革命性的。 状态防火墙可以部署更多动态阻止规则,同时监控通过网络的数据包,而不是在数据包到达时对其进行分析并使用简单规则阻止一些数据包。
简单的数据包过滤防火墙仅根据静态预定义规则阻止流量,而状态防火墙通过检测用户模式和其他更高级的技术来检测和阻止不良流量。
状态防火墙的唯一缺点是它比简单的防火墙使用更多的资源。 但这是一个值得信赖的解决方案。
下一代防火墙
最后,我们有 NGFW 或下一代防火墙。 这是当前一代安全和 Web 服务器技术诞生的最新发明。 NGFW 是将多种防火墙技术组合到一个解决方案中的企业工具。 通常它们是基于云的或防火墙即服务平台的一部分。 Cloudflare 和 Sucuri 以这种方式通过其软件即服务 (SaaS) 平台提供基于云的 WAF 功能。
NGFW 的一些网络功能包括应用程序监控、入侵防御以及深度数据包检测和过滤。 他们可能知道他们正在保护的网络中的其他应用程序,并能够控制它们。 他们还能够更新新的威胁情报,以应对最新和新出现的危险。
您最常使用的防火墙类型
除非您是网络管理员或花时间定制您家中的路由器或无线接入点,否则您不太可能接触到硬件防火墙。 您可能会使用的对用户最友好且最易于访问的防火墙会在您的计算机或网站上运行。 这些是个人和 Web 应用程序防火墙。
个人防火墙
个人防火墙在一台计算机上使用。 它是内置预装在 macOS、Windows 和许多 Linux 机器上的防火墙类型,或者与第三方防病毒解决方案一起使用的防火墙也可能包含个人可配置的防火墙。
个人防火墙的工作方式很像服务器防火墙。 它们根据预定义的规则拒绝或允许来自外部应用程序、IP 和设备的连接。 但在功能上,个人防火墙与服务器防火墙略有不同。
个人防火墙将:
- 保护连接到在线应用程序或网站的所有计算机端口。
- 阻止试图潜入网络的攻击。
- 防止不良行为者接管或访问您的个人设备。
- 分析所有传出和传入流量是否存在可疑活动。
此外,它们还是应用程序防火墙,可监控您设备的应用程序活动。 有效的个人防火墙将拒绝允许与未知或不安全软件的连接。
个人防火墙很容易使用。 如果您运行的是 Windows 10,个人防火墙会自动运行。
对于 macOS 用户,您需要打开个人防火墙才能受到保护。 您需要在您的机器上做的就是导航到系统偏好>>安全和隐私>>防火墙。
大多数防病毒程序也会附带防火墙。 Avast Antivirus 就是一个例子。
您可以购买个人防火墙,但它们往往会与大多数机器的默认设置发生冲突,并且不像计算机操作系统拥有它们之前那样有用。
Web 应用程序和应用程序防火墙
Web 应用程序和应用程序防火墙代表了当今最先进和动态的防火墙安全。
传统的网络防火墙只会监控一般的网络流量。 它将难以或无法检测到来自不断变化的应用程序、服务和网络上使用的其他软件的流量。
应用程序防火墙旨在捕获在网络或应用程序中探测和利用漏洞的入侵企图。 它们嵌入在无线接入点和路由器硬件中。 它们是与操作系统捆绑在一起的软件或为特定操作系统设计的安全软件。
网络应用防火墙用于对用户设置限制,用于家长控制,如 Apple 的家庭共享系统。 许多组织使用它们来阻止对某些网站和应用程序的访问。
Web 应用程序防火墙的工作方式与这些其他应用程序防火墙非常相似。 它与众不同的是它在它保护的应用程序中运行并专用于它。 WAF 只专注于您的一个 Web 应用程序的安全性。
WordPress 防火墙:须知
如果您想保护自己和您的 WordPress 网站,您需要一个防火墙来阻止黑客在外面查看。
当谈到计算机上的个人防火墙时,您通常不需要安装自己的防火墙。 现代操作系统中的内置防火墙运行良好,无需任何进一步设置。 当它们与基于防病毒软件的应用程序防火墙和路由器的数据包过滤器结合使用时,您的个人设备应该受到保护,以免有人闯入并访问您的所有在线帐户。
但是您的 WordPress 网站呢?
将防火墙与 iThemes Security Pro 结合使用
那是一个完全不同的故事。 网站可以通过网络直接受到攻击,即使您使用的是具有良好网络安全性的高质量主机,一些攻击也总能通过。 当发生这种情况时,最后一层防御是您作为网站所有者或管理员可以控制的主要防御层。 保护和强化您的网站是您的责任,也是您的责任。
WordPress 站点安全的第一步是下载并安装功能强大的 WordPress 安全插件。 iThemes Security Pro 是这方面的完美解决方案。
iThemes Security Pro 插件易于使用,为您的站点提供锁定安全协议,并将 24/7/365 全天候阻止黑客和恶意攻击。
下一步是使用 Web 应用程序防火墙。 最简单、最有效的方法是使用来自 Cloudflare 或 Sucuri 的基于云的远程 WAF。 由于他们的防火墙即服务在他们的托管基础设施上运行,而不是您的,因此您的站点没有性能成本——如果您使用带防火墙的 WordPress 安全插件,情况就会如此。 几分钟之内,您就可以启动并运行云 WAF,与 iThemes Security Pro 插件一起全面保护您的站点,该插件侧重于为您的 WordPress 站点和用户身份验证提供基础安全性强化。
除此之外,请确保您选择了能够正确维护其服务器的托管 WordPress 网络主机。 存在于并专注于 WordPress 用户和专业人士社区的托管公司会带来许多其他好处。 这就是为什么我们推荐 Liquid Web 和 Nexcess 来满足您所有的 WordPress 托管需求。
廉价的 WordPress 主机通常缺乏适当的安全协议,这可能会导致您的网站出现大问题。
保护您的 WordPress 网站是您的工作
除了您,没有人可以确保您的 WordPress 网站免受黑客和恶意攻击。 做到这一点的最佳方法是结合使用 Web 应用程序防火墙的二重拳和 iThemes Security Pro 插件。
而且由于没有 100% 万无一失的方法来确保熟练的黑客永远不会闯入您的网站并造成损害,因此 WordPress 备份插件是绝对必要的。
当您使用诸如 BackupBuddy 之类的备份插件时,您将能够立即将您的站点恢复到工作状态,即使它在黑客攻击期间被损坏或关闭也是如此。
这是一个你希望永远不需要使用的插件,但如果你确实需要它,你会很高兴拥有它。
Dan Knauss 是 StellarWP 的技术内容通才。 自 1990 年代后期以来,他一直是一名作家、教师和自由职业者,从事开源工作,自 2004 年以来一直从事 WordPress。