服务器防火墙有没有用，我们还需要防火墙吗？

防火墙一直是一个问题，现在没有理由继续使用它，因为面对现代攻击，什么是无效的？但这一结论只适用于传统的防火墙，最新一代的防火墙可以提供客户端防御和网络防护，不仅有用，而且必要。

传统防火墙擅长抵抗攻击

传统阻止或允许传统的防火墙IP可以保护的地址和端口相当有限。最常见的应用场景是防止未经授权的用户或恶意软件连接未受保护的监控服务或保护过程。即使路由器被忽略了IP/端口过滤的超高效率、时代和攻击类型也发生了变化。传统的防火墙在很大程度上是徒劳的。

20年前，阻止未经授权的连接是有意义的。大多数计算机没有严格的保护，密码也很弱，不仅充满了漏洞的软件，而且经常打开允许任何人登录或连接的服务。发送一个畸形的网络包可以删除普通的服务器，这仍然需要在管理员没有完全允许匿名连接的管理员权限远程服务的情况下。如果设置了这种远程管理服务，它基本上可以触摸到服务器Windows的匿名NETBIOS连接，在WindowsXP在默认禁令之前的15年里，一直是黑客的宝贵财富。

如果您的防火墙仅用于未经授权的禁止IP地址或协议，使用路由器要好得多，要快得多。计算机安全界有一句格言：首选是最快、最简单的方法。这就是事实。如果有什么东西可以用更快、更高效的设备堵塞，那么使用该设备作为您的第一道防线。这将更快、更有效地消除更多你不想要的流量。路由器的上层代码比防火墙少得多，规则列表也更短。路由器的条件决策周期比防火墙快几个数量级。然而，在当今的威胁环境中，很难说是否需要禁止这些未经授权的连接。

防火墙最擅长防止未经授权的远程连接到监控服务，防止攻击者在连接后使用缓冲区溢出接管计算机的控制权。这就是防火墙诞生的主要原因。有缺陷的服务太常见了，被认为是正常的。冲击波，Slammer使用这些服务，如蠕虫，可以在几分钟内席卷世界。

目前的服务并不那么脆弱。默认情况下，程序员使用的编程语言将检查缓冲区溢出。其他用于防止传统漏洞利用的操作系统的计算机安全措施也擅长这样做。微软每年在其产品线上发现130-150个漏洞。自2003年以来，发现了大约2000个漏洞。但只有5-10个是远程的。同时，苹果和Linux机器漏洞较多，但只能远程使用的漏洞进程比例相同。

必须明确的是，虽然可用的脆弱服务数以百计，但几乎所有的本地终端用户都需要做一些事情来发起攻击。要么点击恶意链接，要么访问挂马网站。为什么本地用户必须参与其中？因为只有当终端用户这样做时，他们才能创建一个允许的出口连接，然后一个允许的入口连接到用户的计算机。现在几乎所有的攻击都是客户端攻击，防火墙不擅长阻止这种连接。

端口堵塞不再有效

每个服务都用自身固定TCP/IP比如FTP用21/22、SMTP用25，传统防火墙要更有用。

今天，世界上大部分的网络流量都是80(HTTP)和443(HTTPS)端口，只使用后者的情况会越来越多。未来几年，尚未进入443端口的网络流量也将达到443。如果一切都绑定在几个端口上，那么堵塞端口有什么意义呢？不仅如此，HTTPS默认加密的特性也会使流量过滤更加困难。

边界正在消失

防火墙是一个典型的安全边界。定义两三个安全边界可以通过防火墙来控制流量。然而，这些有效和安全的边界在过去的10年里一直在下降。边界从来都不完美，但自从我们开始将互联网连接到其他网络后，我们就开始将它们连接起来WiFi当路由器连接到各种网络时，边界的会消亡。

防火墙只有一两个网络边界，但当我们开始使用，但当我们开始添加隔离区时(DMZ)和其他授权网络一起，防火墙是不够的。当长期网络成为常态时，我们不得不承认，边界和传统防火墙的末日即将到来。

很长一段时间，很多IT安全人员认为我们仍然有一个安全边界，但只要我们进行审计，我们就会发现这些边界就像筛子一样泄漏。网络管理员基本上会释放每一条未定义的流量路径，因为他们害怕破坏一些关键服务或应用程序。

防火墙管理不善

除了虚假的边界安全感外，大多数防火墙的管理也很差。几乎所有的家庭用户都不知道什么是防火墙，什么用途，即使他们的电脑默认打开了防火墙，他们也从来没有注意过或配置过。虽然企业安全人员有时觉得自己做得很好，但企业的情况并不一定好。

企业防火墙的正确配置真的很少见，超过一半的部署是疯狂的任意（）规则，完全失去了设置防火墙的意义。绝大多数防火墙允许的交通渠道和协议比业务所需要的要宽得多。此外，即使防火墙最初配置正确，大多数企业也必须花钱购买能够更好地管理防火墙配置的软件。未经授权的配置变更使公司企业没有时间考虑如何使用防火墙来保护自己的安全。

糟糕的日志也是传统防火墙的痛点之一。绝大多数防火墙日志都有数百万的事件记录。虽然记录详细准确，但对真正的安全保护毫无用处。防火墙的噪音太大，管理员应注意的潜在有用事件被淹没了。

此外，企业防火墙的维修也不容乐观。保持更新，完全修复的防火墙很少。许多设备防火墙都有公开的已知漏洞。这些防火墙不再是安全防线，而是成为潜在的攻击界面。

智能防火墙怎么样？

今天的防火墙不仅是过滤端口和套接字，还有VPN或HTTPS入侵检测/防御甚至可以进行检查功能URL过滤，上层攻击堵塞，DDoS攻击阻止和内部修复等。防火墙已经进化到远远超过简单的端口和协议禁止的程度。

IP传统的防火墙操作，如地址和端口过滤，价值不大，但今天的防火墙大多远不止这些。防火墙已经从严格的边界防线演变内部脆弱的核心保护层。如果你仔细观察今天防火墙提供的各种服务，你会发现客户端保护几乎和网络保护一样多。这是一件好事，很受欢迎，有很多好处。

如果您正在考虑购买新的防火墙，请注意那些提供可以消除最大风险的控制功能（如：URL过滤、补丁发现、内联修复)。

微云网络提供美国高防服务器、香港高防服务器、韩国高防服务器等佛山高防服务器提供集群420G，单IP最大可加至240G秒解防御，无限秒解不封机。高防机房很好地解决了各种问题CC、流量等DDOS攻击，护送您的业务。详情请咨询在线客服！