防火牆類型與部署方式

Table of Contents

什麼是防火牆，它的用途是什麼？

防火牆是一種網路安全解決方案，透過預先定義的規則來限制對電腦和通訊埠的存取，已有超過 30 年的歷史，如今有多種不同類型與部署模式。基本的防火牆可以封鎖特定通訊埠的流量、在網路區段之間建立邊界，並執行基本的安全政策，而更進階的防火牆解決方案則整合了更多功能，提供更智慧且細緻的防護。

透過限制可進入受保護網路的流量類型及其目的地，防火牆主要用作防範外部威脅的第一道防線。

閱讀我們的網路防火牆指南以瞭解更多內容。

整體而言，防火牆可分為五大類型：

封包過濾防火牆透過檢查進出受保護網路的流量標頭資料來運作。這些標頭資訊包含流量的 IP 位址和通訊埠。根據這些資訊，防火牆可以限制對受保護網路中特定機器或協議的存取。

封包過濾防火牆是最簡單的防火牆類型。由於它們是逐一檢查封包，缺乏判斷封包是否屬於正確連線會話的背景資訊，例如是否為回應 DNS 請求而發送的 DNS 回應。此外，僅檢查封包標頭使得封包過濾防火牆無法偵測封包內容中的惡意資料。

電路層閘道器的設計目的在於限制只有合法且已建立的連線會話能夠存取受保護的網路。它們會監控 TCP 三次握手及其他協議的會話建立流程。所有後續流量都會被檢查，以確保其屬於來自受信任遠端系統的合法會話。

儘管電路層閘道器能夠確認流量來自合法連線，但不會檢查封包的內容。若惡意連線成功建立，電路層閘道器仍會允許其通過，因此需要搭配其他安全解決方案一同使用。

狀態檢查防火牆的運作方式類似封包過濾防火牆，但它們會追蹤流量流程的狀態資訊。這使它們能夠判斷某個封包是否適合於特定的連線中。例如，狀態檢查防火牆可以追蹤 TCP 三次握手的 SYN-SYN/ACK-ACK 流程，以偵測 ACK 掃描。

由於能夠追蹤連線的狀態資訊並丟棄不屬於現有會話的封包，狀態檢查防火牆相較於封包過濾防火牆提供更佳的防護。此外，狀態檢查防火牆還能檢查封包內容，偵測封包負載中的惡意內容。

應用層閘道器──也稱為代理防火牆──設計成受保護網路與外部網路之間的單一連接點。這些防火牆執行類似狀態檢查防火牆的功能，同時充當代理，隱藏內部設備在外部系統前的身份。

應用層閘道器防火牆能檢查封包標頭與內容並維持狀態，使其能夠偵測各類威脅。此外，它們代表內部系統直接與外部系統連接，提供一定程度的匿名性。

次世代防火牆（NGFW）將多項安全功能整合於單一解決方案中。例如，NGFW 可能結合狀態檢查防火牆的能力，搭配入侵偵測系統/入侵防禦系統（IDS/IPS）、防毒、深度封包檢測（DPI）以及網站過濾功能。

隨著網路威脅日益複雜，NGFW 在偵測和阻擋惡意網路流量方面變得愈加重要。隨著雲端運算和軟體即服務（SaaS）解決方案的普及，HTTPS 流量承載的內容範圍也越來越廣。具備解密、解析並檢查這些流量的能力對於安全性至關重要，而這超出了傳統防火牆的能力範圍。

相關資源：

閱讀我們的防火牆安全指南

除了防火牆的各種類型外，解決方案也有不同的部署形式，包括以下幾種：

硬體型防火牆：防火牆可以作為獨立設備部署於實體硬體上。這種形式的防火牆通常比軟體型防火牆具備更佳的效能。然而，公司在部署這些防火牆的位置上受限，導致遠端工作者和分公司可能面臨低效的網路路徑。
軟體型防火牆：防火牆也可以作為軟體部署，許多作業系統內建防火牆功能。這些軟體型防火牆具備高度靈活性，能部署於虛擬化環境，並與其他安全解決方案共存；然而，其效能通常不如硬體型防火牆。
雲端/託管防火牆：防火牆即服務（FWaaS）讓公司能夠使用由雲端供應商託管與管理的防火牆。這些解決方案結合了軟體型與硬體型防火牆的優點。它們能夠利用雲端基礎架構的可擴展性與靈活性，提供高效能，同時透過雲端部署，使遍佈各地的員工都能輕鬆存取。

隨著網路威脅情勢與企業 IT 環境的演變，許多防火牆解決方案已無法滿足現代企業的需求。隨著企業因應隨處工作的趨勢而更加分散，自建防火牆解決方案變得低效，因為所有流量都必須經過集中檢查點。對許多公司而言，雲端型 NGFW 讓它們在不犧牲網路效能或員工生產力的情況下，達成所需的安全防護。

雲端型防火牆可以作為單一解決方案提供，或作為安全存取服務邊緣（SASE）的一部分。歡迎深入了解作為完整 SASE 解決方案核心組成的 FWaaS 方案之優點。