什麼是網站防火牆? WAF 和其他防火牆說明
已發表: 2023-01-13如果您擁有一個網站,則需要保護它。 與個人電腦一樣,網絡服務器——以及在其上運行的軟件——不斷受到黑客的探測和攻擊。 因此,讓黑客和其他不良流量遠離您的網站非常重要。 這就是網站應用程序防火牆或 WAF 介入的地方。我們可以將其稱為“網站防火牆”以使其更簡單。
什麼是網站防火牆?
簡而言之,網站防火牆是計算機或服務器與世界其他地方之間的安全過濾器。 惡意黑客通過侵入不安全的服務器謀生。 廣泛使用的 Web 應用程序(如 WordPress 和其他流行的內容管理系統)構成了很大的攻擊面。 這就是保護您的 WordPress 網站對您如此重要的原因。
抵禦安全威脅的有效防線是網站防火牆。
有多種不同的防火牆類型,因此您需要確保使用的是最佳解決方案。 在本指南中,我們將討論不同類型的防火牆。 我們將解釋為什麼您需要一個來保護您的 WordPress 站點,以及如何設置一個。
讓我們開始吧。
將防火牆視為您網站的巨大安全門。
網站防火牆有什麼作用?
每次訪問網站時,您都會連接到另一台稱為網絡服務器的計算機。 Web 服務器與任何其他計算機一樣容易受到惡意攻擊。
在沒有保護層的情況下直接連接到外國或未知設備是不安全的。 不安全的連接可能允許黑客用惡意軟件感染連接的設備。
他們甚至可能對接受發送給它的每個請求的 Web 服務器發起全面的分佈式拒絕服務 (DDoS) 攻擊。 一分鐘內出現一百萬個錯誤請求不會侵入您的網站,但它們可能會使您的服務器不堪重負並導致您的網站癱瘓。 如果您有識別錯誤請求和虛假流量的防火牆,它將阻止它們並僅處理來自想要查看您網站的真實用戶的合法請求。
這就是防火牆如此重要的原因。 防火牆位於您的站點和所有其他試圖與之連接的設備之間。 對於您的 Web 服務器,您的主機使用防火牆作為過濾器,每天在您的服務器與成百上千甚至數百萬個與其他設備的連接之間。 對於您的網站,添加到 WordPress 的基於軟件的網站防火牆將增加您可以控制的另一層保護。
網站防火牆如何工作?
防火牆監控傳出和傳入的流量,不斷掃描黑客攻擊或其他惡意活動的跡象。 當它檢測到異常情況時,防火牆會阻止它到達預期的目的地。
將網站防火牆視為您的網絡服務器的巨大過濾器。
當網絡防火牆在 1990 年代初期首次出現時,它們只是簡單的數據包分析器,只能使用非常少的一組規則來阻止傳入流量。 事實上,黑客很容易繞過它們。
今天,防火牆已經成為複雜的程序,擅長阻止黑客達到他們的目標。 由於每天都會發生大量黑客攻擊嘗試,因此硬件防火牆是網絡路由器、交換機和 Web 服務器的關鍵功能。 好的房東會為您處理好這一切。 但是您的網站是您維護的責任,為它設置防火牆將限制這些其他安全層。
我的網站需要防火牆嗎?
您的網站真的需要防火牆嗎? 你真的需要一個嗎?
不,當您可以使用外部的、基於雲的 WAF 時,您絕對不需要在您的網站上運行防火牆作為 WordPress 安全功能插件或插件的一部分。
是的,作為雲 WAF 或防火牆即服務平台(如 Cloudflare 或 Sucuri)的一部分,在您網站前運行的防火牆絕對會讓您受益。
如果每個網站都必須託管 WAF 並完成過濾傳入請求的工作,同時還要響應它們、訪問數據庫、呈現頁面、管理緩存內容以及為內容管理和電子商務應用程序提供動力,那麼每個網站都會受到性能影響。
如果您沒有使用可靠的託管 WordPress 託管,則更高的風險和安全責任的負擔落在您(網站所有者)身上,並且您的服務器性能可能不理想。 在這種情況下,雲 WAF 是一個非常實用的選擇。 (我們推薦 Liquid Web 和 Nexcess 用於 WordPress 託管,Cloudflare 和 Sucuri 用於他們的雲 WAF 服務。)
你覺得幸運嗎?
沒有人會因為更高的安全性而出錯,但是某些網站可能比其他網站從網站防火牆中受益更多。 如果您在自己的網站上經營業務,存儲敏感的客戶數據和個人身份信息,您可能更容易成為攻擊目標,並承擔更大的責任。 保護站點的風險更高,因此您應該考慮可以加強安全性的所有方法。
如果黑客接管或破壞了您的網站,您會感到震驚嗎? 如果是這樣,網站防火牆和優質託管將使您高枕無憂。
什麼可能出錯?
對於 Web 服務器,當黑客通過時,他們可以迅速破壞您的整個網站。 他們可能會嵌入惡意軟件來感染您的網站訪問者,更改 WordPress 管理員密碼以將您拒之門外,或者完全關閉您的網站。
如果您的網站沒有防火牆,它可能容易受到 DDoS 攻擊。 在這種類型的攻擊中,攻擊者將發送數千(或數百萬)個虛假數據包,使您的服務器過載並導致您的網站癱瘓。
除了 DDoS 攻擊之外,網站防火牆還可以保護您的網站免受:
- 入侵——網站防火牆可防止未經授權的用戶訪問您的網站。 當黑客闖入您的網站時,他們可以對網站造成的破壞是無止境的。
- 惡意軟件——滲透到您的服務器的惡意攻擊者通常會用惡意軟件感染它。 他們創建惡意軟件來竊取個人和私人信息,將自身傳播到其他設備,並對計算機造成損害。
- 蠻力攻擊 -蠻力攻擊是黑客攻擊嘗試,攻擊者嘗試使用數千個用戶名和密碼組合來試圖闖入您的 WordPress 網站的管理員和其他用戶帳戶。 與 DDoS 攻擊一樣,黑客使用殭屍網絡進行暴力攻擊。 殭屍網絡每分鐘可以測試數百種不同的登錄組合,直到成功為止。
防火牆類型:安裝位置
正如我們所指出的,有幾種不同類型的防火牆。 它們中的每一個都是為特定情況而設計的。 有些非常適合個人電腦。 其他防火牆是專門為網絡過濾而設計的。 網站防火牆作為這些其他類型防火牆之後的最後一道防線來保護網站。
最好根據防火牆的部署位置、它們的作用以及它們的作用方式對防火牆進行分類。
每種類型的防火牆位於或安裝在網絡或計算設備上的唯一位置。 它們可能嵌入硬件中。 它們可能被打包為軟件,您可以將其安裝在計算機上或 WordPress 等 Web 應用程序中。 每種類型的防火牆都有不同的特性。 防火牆還使用多種技術來過濾不同類型的流量。
我們將簡要介紹防火牆的主要類別、類型和技術,以便您對它們有一個全面的了解。 我們將討論防火牆之間的區別和關聯,著眼於了解適用於 WordPress 的網站防火牆的適用範圍。
硬件和軟件防火牆之間的區別
所有的防火牆都是軟件,但有些防火牆是嵌入在路由器和網絡交換機等硬件設備中的。 它們可能是只讀且不可更改的,或者需要更新以更改存儲在閃存或其他非易失性、可重寫存儲芯片中的軟件。 像這樣的防火牆被認為是硬件防火牆。
軟件防火牆是運行在計算設備硬件之上的獨立應用程序。 它可能是操作系統的一部分或在操作系統之上運行,例如個人防火牆應用程序,我們將在下面進一步討論。
軟件防火牆可以在網絡服務器的操作系統之上運行,並與網絡硬件防火牆結合用作許多其他網絡服務器的網絡防火牆。
可以將軟件防火牆添加為內容管理系統的一個組件,例如 WordPress 的 WAF。 WordPress 中的防火牆位於技術棧的高處,在您的站點和底層硬件之間具有操作系統和中間件。 正如我們所見,這是一個 Web 應用程序防火牆的示例。
硬件與軟件防火牆:優點和缺點
硬件防火牆提供與軟件防火牆相同類型的功能,但它們在您的網絡上游運行,領先於您的計算設備和託管您站點的 Web 服務器。 它們嵌入到更深層次的技術堆棧中。
即使您沒有意識到,您的互聯網路由器中也有一個硬件防火牆。 雖然它與專用硬件防火牆設備略有不同,但它提供了類似的監控和安全功能。
更新和適應性
軟件和硬件防火牆都位於您的設備和世界其他地方之間,它們可以在其中分析所有連接請求並阻止不良請求。 可以更新軟件防火牆以提高其有效性並響應新線程。 硬件防火牆更難更新。
有時網絡硬件需要應用更新來修復錯誤和修補漏洞,但如果您沒有網絡支持團隊,這將是一項罕見且困難的任務。 這也是較舊的網絡硬件往往不太安全的原因。 黑客已經找到了利用它的方法。 您依賴託管服務提供商為您維護他們的硬件基礎設施——這是不便宜的另一個原因。
硬件防火牆有一些這樣的缺點。 因為它們很難更新並且確實需要持續維護以確保它們的安全,所以它們在任何重要的業務網絡中都需要 IT 支持。 家庭和許多小型企業網絡往往設置不當且不安全。
輔助功能和性能
此外,硬件防火牆在檢查和過濾網絡流量時可能會導致速度和性能問題。 當它們與軟件防火牆一起使用時尤其如此。 您可能會從多個防火牆協同工作中獲得更高的安全性,但如果它們都有復雜的規則,那麼成本可能會影響您的吞吐量——網絡上數據傳輸的速度。
此外,大多數硬件防火牆並非旨在阻止或限制個人用戶和設備。 這通常不在他們的功能集中。
如果您有一個大型網絡,硬件防火牆可以輕鬆保護整個網絡,即使網絡受到威脅也能繼續工作。 在大型網絡上設置軟件防火牆要困難得多,而且如果黑客能夠闖入,它們很容易被禁用。黑客通常無法禁用硬件防火牆。
軟件防火牆旨在為那些可能不是技術專家的人提供更友好的用戶體驗。 這些防火牆提供阻止特定應用程序、管理設備用戶、創建日誌和監控網絡用戶的功能。 它們在網絡設置中的設置要困難得多,但是當它們安裝在多台設備上時,它們比硬件防火牆給你更多的控制權。
防火牆類型:它們使用的不同技術
防火牆軟件不斷發展,隨著時間的推移出現了不同的技術來處理不同的任務和情況。
今天,我們有近十幾種主要類型的防火牆,它們根據它們用來保護您的技術定義。 這些是包過濾防火牆、電路級網關、應用程序級網關或代理防火牆、狀態多層檢測 (SMLI) 防火牆、下一代防火牆 (NGFW),包括以威脅為中心的 NGFW、網絡地址轉換 (NAT) 防火牆、雲防火牆和統一威脅管理 (UTM) 防火牆。
我們將只看其中的三個,它們代表較舊的、更基本的防火牆技術和網絡過濾方面最新、最前沿的發展。
包過濾防火牆
這種類型的防火牆是最早開發的防火牆之一。 它也是最簡單的一種防火牆。
數據包是服務器和計算機之間的數據交換。 例如,當您上傳文件、發送電子郵件或單擊鏈接時,您是在向服務器發送數據包。 當您的設備加載網頁時,服務器會向您發回一個數據包。
數據包過濾防火牆分析數據包並在它們違反某些預定義規則時阻止它們。 它們可以阻止來自 IP 地址或特定服務器的數據包或試圖到達特定服務器位置的數據包。
不幸的是,包過濾防火牆很容易被黑客攻擊。 他們不能應用任何高級規則。 如果設置為允許通過給定端口進行訪問,則防火牆將允許任何內容通過。 即使是現代防火牆知道不合法的流量也會在不被阻止的情況下通過。
從好的方面來說,數據包過濾防火牆非常簡單,不會影響性能。 它們不保存任何日誌、檢查流量或執行高級功能。 但是今天,這些防火牆並不是您的主要保護來源。
狀態防火牆
在簡單的數據包過濾防火牆之後引入了狀態防火牆。 這個想法在當時是革命性的。 狀態防火牆可以部署更多動態阻止規則,同時監控通過網絡的數據包,而不是在數據包到達時對其進行分析並使用簡單規則阻止一些數據包。
簡單的數據包過濾防火牆僅根據靜態預定義規則阻止流量,而狀態防火牆通過檢測用戶模式和其他更高級的技術來檢測和阻止不良流量。
狀態防火牆的唯一缺點是它比簡單的防火牆使用更多的資源。 但這是一個值得信賴的解決方案。
下一代防火牆
最後,我們有 NGFW 或下一代防火牆。 這是當前一代安全和 Web 服務器技術誕生的最新發明。 NGFW 是將多種防火牆技術組合到一個解決方案中的企業工具。 通常它們是基於雲的或防火牆即服務平台的一部分。 Cloudflare 和 Sucuri 以這種方式通過其軟件即服務 (SaaS) 平台提供基於雲的 WAF 功能。
NGFW 的一些網絡功能包括應用程序監控、入侵防禦以及深度數據包檢測和過濾。 他們可能知道他們正在保護的網絡中的其他應用程序,並能夠控制它們。 他們還能夠更新新的威脅情報,以應對最新和新出現的危險。
您最常使用的防火牆類型
除非您是網絡管理員或花時間定制您家中的路由器或無線接入點,否則您不太可能接觸到硬件防火牆。 您可能會使用的對用戶最友好且最易於訪問的防火牆會在您的計算機或網站上運行。 這些是個人和 Web 應用程序防火牆。
個人防火牆
個人防火牆在一台計算機上使用。 它是內置預裝在 macOS、Windows 和許多 Linux 機器上的防火牆類型,或者與第三方防病毒解決方案一起使用的防火牆也可能包含個人可配置的防火牆。
個人防火牆的工作方式很像服務器防火牆。 它們根據預定義的規則拒絕或允許來自外部應用程序、IP 和設備的連接。 但在功能上,個人防火牆與服務器防火牆略有不同。
個人防火牆將:
- 保護連接到在線應用程序或網站的所有計算機端口。
- 阻止試圖潛入網絡的攻擊。
- 防止不良行為者接管或訪問您的個人設備。
- 分析所有傳出和傳入流量是否存在可疑活動。
此外,它們還是應用程序防火牆,可監控您設備的應用程序活動。 有效的個人防火牆將拒絕允許與未知或不安全軟件的連接。
個人防火牆很容易使用。 如果您運行的是 Windows 10,個人防火牆會自動運行。
對於 macOS 用戶,您需要打開個人防火牆才能受到保護。 您需要在您的機器上做的就是導航到系統偏好>>安全和隱私>>防火牆。
大多數防病毒程序也會附帶防火牆。 Avast Antivirus 就是一個例子。
您可以購買個人防火牆,但它們往往會與大多數機器的默認設置發生衝突,並且不像計算機操作系統擁有它們之前那樣有用。
Web 應用程序和應用程序防火牆
Web 應用程序和應用程序防火牆代表了當今最先進和動態的防火牆安全。
傳統的網絡防火牆只會監控一般的網絡流量。 它將難以或無法檢測到來自不斷變化的應用程序、服務和網絡上使用的其他軟件的流量。
應用程序防火牆旨在捕獲在網絡或應用程序中探測和利用漏洞的入侵企圖。 它們嵌入在無線接入點和路由器硬件中。 它們是與操作系統捆綁在一起的軟件或為特定操作系統設計的安全軟件。
網絡應用防火牆用於對用戶設置限制,用於家長控制,如 Apple 的家庭共享系統。 許多組織使用它們來阻止對某些網站和應用程序的訪問。
Web 應用程序防火牆的工作方式與這些其他應用程序防火牆非常相似。 它與眾不同的是它在它保護的應用程序中運行並專用於它。 WAF 只專注於您的一個 Web 應用程序的安全性。
WordPress 防火牆:須知
如果您想保護自己和您的 WordPress 網站,您需要一個防火牆來阻止黑客在外面查看。
當談到計算機上的個人防火牆時,您通常不需要安裝自己的防火牆。 現代操作系統中的內置防火牆運行良好,無需任何進一步設置。 當它們與基於防病毒軟件的應用程序防火牆和路由器的數據包過濾器結合使用時,您的個人設備應該受到保護,以免有人闖入並訪問您的所有在線帳戶。
但是您的 WordPress 網站呢?
將防火牆與 iThemes Security Pro 結合使用
那是一個完全不同的故事。 網站可以通過網絡直接受到攻擊,即使您使用的是具有良好網絡安全性的高質量主機,一些攻擊也總能通過。 當發生這種情況時,最後一層防禦是您作為網站所有者或管理員可以控制的主要防禦層。 保護和強化您的網站是您的責任,也是您的責任。
WordPress 站點安全的第一步是下載並安裝功能強大的 WordPress 安全插件。 iThemes Security Pro 是這方面的完美解決方案。
iThemes Security Pro 插件易於使用,為您的站點提供鎖定安全協議,並將 24/7/365 全天候阻止黑客和惡意攻擊。
下一步是使用 Web 應用程序防火牆。 最簡單、最有效的方法是使用來自 Cloudflare 或 Sucuri 的基於雲的遠程 WAF。 由於他們的防火牆即服務在他們的託管基礎設施上運行,而不是您的,因此您的站點沒有性能成本——如果您使用帶防火牆的 WordPress 安全插件,情況就會如此。 幾分鐘之內,您就可以啟動並運行雲 WAF,與 iThemes Security Pro 插件一起全面保護您的站點,該插件側重於為您的 WordPress 站點和用戶身份驗證提供基礎安全性強化。
除此之外,請確保您選擇了能夠正確維護其服務器的託管 WordPress 網絡主機。 存在於並專注於 WordPress 用戶和專業人士社區的託管公司會帶來許多其他好處。 這就是為什麼我們推薦 Liquid Web 和 Nexcess 來滿足您所有的 WordPress 託管需求。
廉價的 WordPress 主機通常缺乏適當的安全協議,這可能會導致您的網站出現大問題。
保護您的 WordPress 網站是您的工作
除了您,沒有人可以確保您的 WordPress 網站免受黑客和惡意攻擊。 做到這一點的最佳方法是結合使用 Web 應用程序防火牆的二重拳和 iThemes Security Pro 插件。
而且由於沒有 100% 萬無一失的方法來確保熟練的黑客永遠不會闖入您的網站並造成損害,因此 WordPress 備份插件是絕對必要的。
當您使用諸如 BackupBuddy 之類的備份插件時,您將能夠立即將您的站點恢復到工作狀態,即使它在黑客攻擊期間被損壞或關閉也是如此。
這是一個你希望永遠不需要使用的插件,但如果你確實需要它,你會很高興擁有它。
Dan Knauss 是 StellarWP 的技術內容通才。 自 1990 年代後期以來,他一直是一名作家、教師和自由職業者,從事開源工作,自 2004 年以來一直從事 WordPress。