連接埠轉送和防火牆之間的實際差異是什麼?
那麼,這些內建於家用 ADSL 路由器中的所謂防火牆實際上能起到保護您的網路的作用嗎?
答案1
談談你的第二個問題。消費者路由器所做的唯一事情就是為您的網路提供 NAT 層。他們中的大多數使用所謂的狀態資料包檢查來執行此操作。這只是一種奇特的說法,它們會追蹤從 LAN 發起的所有連接,直到它們被正常的 TCP/IP 方式破壞或在一段時間沒有活動後逾時。這確實為網路提供了一定程度的安全性,因為唯一允許通過的流量是從網路內部發起的流量。 UPNP 和連接埠轉送存在一些例外情況,允許轉送未經請求的流量。
消費者設備所不具備的企業防火牆在基本層級上所具備的功能是對傳入和傳出流量製定規則的能力。例如,如果您想要封鎖來自或流向某個連接埠或主機的流量。您也可以製定時間表來定義何時強制執行規則。但正如其他人在某些情況下提到的那樣,企業硬體還可以具有防火牆之外的附加功能,但這確實超出了您在這裡提出的問題的範圍。
答案2
轉送連接埠這是防火牆能夠執行的眾多操作之一。至於你的第二個問題,這取決於數據機。你的問題把標準設得很低,就是有總比沒有好。我想說的是,大多數確實提供了保護。它們是否會像 Cisco ASA 5505 一樣強大且功能豐富?否。這也要看情況。如果您是家庭用戶,則 adsl 路由器/數據機中的內建防火牆可能足夠好,假設它已開啟並正確配置。如果您有一個家庭辦公室,並且想要一套強大的安全功能以及支援和可靠性,那麼請務必花費 400 美元。否則,只需確保防火牆確實已開啟且未完全開啟。
順便說一句,我只是以思科為例。如果您對真正的 soho 防火牆感興趣,您還可以考慮其他選項,例如 Watchguard、Fortinet 等。
答案3
根據我的經驗,家庭路由器缺乏容量、日誌記錄、責任(RADIUS 或TACACS 支援)、規則集複雜性、冗餘、硬體可靠性、支援的實體網路數量、VLAN、VPN 集中器、入侵偵測感測器和許多其他東西您不需要在家庭網路中。
家庭路由器很難配置錯誤,而複雜性是安全性的敵人......所以我想說它們通常比大東西更好......除非你需要我列出的一些功能。
答案4
在不爭論防火牆和保護的情況下,最好的保護就是定期的安全修補程式和防火牆。家庭路由器內建的防火牆確實可以起到防火牆的作用,但無法阻止許多可以透過簡單的網頁瀏覽感染電腦的自殘病毒/漏洞利用/木馬。對於防毒軟體也是如此,大多數對於新的漏洞或用戶造成的(即您單擊或訪問不應該的地方)漏洞幾乎毫無用處。在家庭設定中,連接埠轉送將使作為該連接埠轉送接收者的電腦暴露於該連接埠上的任何潛在攻擊。