防火墙是什么?它如何工作、为什么重要以及哪种类型适合您的设置
为什么防火墙很重要

如果你曾经在 Windows 或 macOS 提示中点击过“允许访问”、在 VPS 上打开过 SSH,或确保云数据库不可公开访问,那么你已经做过防火墙决策。大多数人都是零碎地做这些事。他们知道这个设置很重要,但不知道他们真正保护的是什么边界。
这就是为什么防火墙仍然很重要。它们不仅仅是数据中心机架中的企业硬件。它们出现在笔记本电脑、家庭路由器、VPS 实例、云仪表板和公共网站上。一旦你把它们看作边界控制而不是神秘的安全产品,这个话题就变得容易处理得多。
本指南为你提供了这个更简单的心智模型。我们将介绍什么是防火墙、防火墙如何工作、防火墙的主要类型,以及如何为设备、服务器、云工作负载或网站选择正确的防火墙。这不是对企业设备或完整安全架构的深入探讨。这是一个实用框架,用于在正确的边界选择正确的控制。
开始前的快速关键词

您不需要网络认证就可以阅读本文。您只需要一小组术语,这样可以防止其余的解释变成首字母缩略词汤。
| 关键词 | 简明英文含义 |
|---|---|
| 🔥 Firewall | 一种基于规则的控制,允许或阻止特定边界处的网络流量。 |
| 🔌 Port | 一个编号的通道,帮助流量到达设备或服务器上的正确服务。 |
| ⬅️ Inbound | 进入您的设备、服务器或服务的流量。 |
| ➡️ Outbound | 离开您的设备、服务器或服务的流量。 |
| 📜 Rule | 告诉防火墙允许或阻止哪些流量的条件。 |
| 🔄 Stateful | 能够记住它已经允许的连接,以便回复流量可以正确返回。 |
| 🖥️ Host-based firewall | 直接在单个笔记本电脑、台式机或服务器上运行的防火墙。 |
| 🌐 Network firewall | 位于网络之间的防火墙,例如在路由器、设备或网关上。 |
| ☁️ Cloud firewall / security group | 围绕云资源(如实例、接口或网络)的虚拟防火墙控制。 |
| 🛡️ WAF | Web应用防火墙,为网站和API过滤HTTP和HTTPS流量。 |
防火墙实际上是什么——以及它不是什么
从本质上讲,防火墙是一种设备或软件程序,它控制系统、网络或应用程序边界之间的网络流量,这些边界不应该彼此完全信任。这听起来很正式,但实际版本很简单:防火墙是一个检查点,决定允许什么流量通过。它可以位于笔记本电脑上、Linux 服务器上、路由器中、云控制平面中,或网站前面。它不一定只是一个物理盒子。

这里最有用的类比是建筑安全。网络防火墙是前门,控制什么可以到达该属性。基于主机的防火墙是一个特定建筑的大厅服务台,决定谁可以进入该服务器或笔记本电脑。WAF 是建筑内的特定房间检查点,仅检查试图进入一个面向网络的区域的访客。相同的总体思路,不同的边界。
防火墙的工作范围很窄是有目的的。它根据规则决定是否允许流量通过。这意味着它可以减少暴露、分离具有不同风险级别的系统,并帮助在出现问题时控制损害。它不会自动清理受感染的文件、修复弱密码、修补易受攻击的软件,或将不安全的应用程序变成安全的应用程序。它是纵深防御设置中的一层,而不是整个堆栈。
📝 注意:防火墙不是反病毒软件、VPN 或完整的安全堆栈。反病毒软件查找恶意文件或行为,VPN 在端点之间创建加密路径,防火墙决定允许什么流量跨越边界。
这种区别很重要,因为防火墙混淆通常始于人们为几个不同的工作使用一个标签。如果你安装反病毒软件,你仍然需要流量控制。如果你使用 VPN,你仍然需要围绕哪些服务可访问的规则。如果你购买具有安全功能的托管计划,你仍然需要知道每个功能保护哪个边界。防火墙是流量检查点。这种清晰性使该类别的其余部分更容易判断。
防火墙的高级工作原理
防火墙通过将流量与规则进行比较来工作。这些规则通常查看五个实际的事项:源、目标、方向、协议和端口。换句话说,流量来自哪里、流量去往哪里、是入站还是出站、是什么类型的网络通信,以及它试图到达哪个服务。

以一个简单的 VPS 示例为例。你可能只允许来自受信任的管理员 IP 的 SSH,允许来自公网的 HTTP 和 HTTPS(因为该网站是公开的),并完全关闭对公众的数据库端口。这些规则都不是抽象的安全表演。每一个都回答了一个非常普通的问题:谁应该能够到达这个服务,谁不应该?
许多防火墙是有状态的,这意味着它们记住已经允许的对话。如果你的服务器向客户端发送合法响应,在许多环境中,防火墙不需要你为每个回复编写单独的”反向流量”规则。这不意味着防火墙深入理解每个应用程序。这意味着它足够好地跟踪连接状态,以便合理地处理正常的双向流量。
📝 注意:“默认拒绝”意味着只允许需要的流量,而不是破坏一切。这个想法是默认阻止,然后只打开服务实际需要的特定流量。
这种默认拒绝的思维方式是防火墙变得真正有用的地方。与其暴露一切并希望没有敏感的东西在监听,不如从关闭开始,只打开真正有用的门。这降低了攻击面并减少了意外暴露。它也比许多读者预期的更多地适用于出站流量。防火墙不仅用于阻止入站互联网流量。它们还可以限制被攻击的设备、脚本或服务器在出站时被允许到达的内容。
为什么您在现实中需要防火墙

最容易看到价值的地方是公共Wi-Fi上的个人设备。您的笔记本电脑不需要接收来自同一网络上陌生人的随机入站连接。基于主机的防火墙有助于防止文件共享、开发工具或被遗忘的服务仅因为您在错误的地方连接而被随意访问。
现在转向运行网站的单个VPS。服务器可能需要HTTP或HTTPS的公共路径,并且可能需要SSH进行管理。它不需要仅因为机器在线就暴露所有其他服务。防火墙可以帮助您非常具体地说,”这个服务器用于网络流量和受控的管理员访问——仅此而已。”

数据库示例更加重要,因为它非常常见。数据库通常存在是为了服务应用程序,而不是公共互联网。如果应用程序服务器是唯一应该与其通信的系统,防火墙应该反映这一现实。将数据库端口关闭到外界不是高级加固。这是基本的边界卫生。
相同的原则可以扩展到业务网络和云环境。并非每个系统都应该仅因为它们位于同一公司或VPC内就与其他每个系统自由通信。分段流量有助于限制不必要的横向移动,以防一台机器配置错误或被入侵。这是防火墙在所有这些环境中的真实价值:更小的攻击面、更少的意外暴露,以及当设置的某个部分出现问题时更好的隔离。
防火墙的主要类型

当你停止按营销标签分类,开始按防火墙所处的位置分类时,主要的防火墙类别就更容易理解了。不同的防火墙类型基本上是对一个问题的不同答案:流量在哪个边界被控制?
基于主机的防火墙直接运行在你要保护的设备或服务器上。在 Windows 上,可能是 Windows Defender Firewall。在 Linux 上,可能是 UFW(基于 netfilter/nftables)。这通常是笔记本电脑、VPS 实例和专用服务器的第一个有用的保护层,因为它最接近实际主机的控制。
网络或边界防火墙位于网络之间。这可能是家庭或办公室路由器、专用设备或网络段之间的虚拟网关。它的工作范围比主机防火墙更广,因为它控制的是进入、离开或在网络之间移动的流量,而不仅仅是进入一台机器的流量。

云防火墙是围绕云资源的边界控制的虚拟版本。提供商使用不同的名称——AWS 安全组、Google Cloud VPC 防火墙规则、Azure NSG——但面向用户的概念是相同的:这些是围绕工作负载、接口、子网或网络的云层规则。在主流云平台上,这些控制通常是有状态的,这就是为什么它们感觉像是现代虚拟防火墙,而不仅仅是静态检查清单。
WAF或 Web 应用防火墙的范围更窄。它过滤网站和 API 的 HTTP 和 HTTPS 请求。这使其对公共 Web 应用特别有用,尤其是当你想要基于 URL、标头、请求模式或常见 Web 攻击行为的规则时。但边界比许多人假设的要小得多。
⚠️ 警告:WAF 仅保护 Web 流量。它不保护 SSH、数据库、邮件服务或其他非 Web 流量,也不能替代主机或网络防火墙规则。
你还会看到托管防火墙或下一代防火墙等术语。这些可以描述真实的产品和服务,但对于初学者的决策来说不是最好的起点。首先决定你需要保护哪个边界。然后决定你是否希望该控制作为主机上的软件、网络设备、云原生规则集或托管服务来提供。下表是更清晰的对应关系。
| 防火墙类型 | 所处位置 | 过滤内容 | 最佳首选用途 | 不能替代 |
|---|---|---|---|---|
| 🔒 基于主机的防火墙 | 在笔记本电脑、台式机或服务器本身上 | 进出该主机的流量 | 加固个人设备、VPS 或专用服务器 | 补丁管理、安全应用设计、网络级分段 |
| 🛡️ 网络/边界防火墙 | 在网络之间,通常位于路由器、设备或网关上 | 进入、离开或在网络段之间移动的流量 | 控制家庭、办公室或数据中心边界的访问 | 主机级规则、Web 应用的 WAF 保护 |
| ☁️ 云防火墙/安全组 | 围绕云工作负载、接口、子网或 VPC | 进出云资源的流量 | 限制云托管中实例、服务和数据库的访问 | 主机加固、应用安全、Web 层过滤 |
| 🌐 WAF | 在 HTTP/HTTPS 层的网站或 API 前面 | Web 请求、路径、标头、方法和请求模式 | 需要 Web 特定过滤的公共网站和 API | SSH 保护、数据库保护、通用网络防火墙职责 |
选择合适防火墙的简单心智模型
选择防火墙最简单的方法是停止问”什么是最好的防火墙?”,而开始问”我实际上在保护什么边界?”在实践中,大多数决策始于以下四个边界之一:一个设备、一个主机/服务器、一个子网或 VPC,或一个公共网络应用。

然后问该边界暴露程度如何。它是面向互联网的、仅限内部的,还是仅用于管理员访问的?在网络之间移动的笔记本电脑与私有数据库有不同的暴露模式。公共网站应该可以从任何地方访问,但其管理员 SSH 端口不应该。你对暴露问题的回答越清楚,防火墙的选择就越明显。
第三个问题是操作性的:谁管理该环境?
- 如果你直接管理服务器,基于主机的防火墙通常是最接近的相关边界。
- 如果你在云网络中部署工作负载,云防火墙层可能是围绕这些资源的最简洁的首层控制。
- 如果流量在之后跨越另一个有意义的边界——从公共互联网到应用层,或从应用层到数据库层——那就是分层有意义的时候。
添加另一个防火墙层是因为架构增加了另一个检查点,而不是因为”更多产品”自动等于更好的安全性。
如果你只记得一条规则,让它成为这条:从最接近的相关边界开始,然后仅当流量跨越另一个重要边界时才添加层。下面的快速表格将其转化为可重复使用的快捷方式。
| 如果你在保护… | 从…开始 | 原因 |
|---|---|---|
| 💻 一台笔记本电脑或台式机 | 基于主机的防火墙 | 它是对设备最接近的控制,特别是当该设备在不同网络之间移动时。 |
| 🖥️ 一个 VPS 或专用服务器 | 基于主机的防火墙 | 你直接控制该机器,所以其自身的流量规则是第一个有用的检查点。 |
| 🌐 子网或 VPC 内的一组工作负载 | 云防火墙 / 安全组 | 重要的边界是围绕工作负载和它们之间的网络路径。 |
| 🌍 公共网站或 API | 主机/网络防火墙优先,如需要再加 WAF | 服务器仍然需要基本访问规则,网络应用可能还需要 HTTP/HTTPS 特定的过滤。 |
| 🏢 办公室或业务网络 | 网络 / 边界防火墙 | 第一个有意义的检查点是内部系统和外部或不太可信网络之间。 |
哪个防火墙适合哪个用例

第一个表格回答了从哪里开始的问题。下一个表格回答了一个更实际的问题:第二层防火墙何时才能真正发挥作用?大多数设置仍然以一个明显的第一层开始,只有当架构创建了值得单独控制的独立路径或层级时,才会添加另一层。
| 用例 | 推荐的第一层 | 可能的第二层 | 原因 |
|---|---|---|---|
| 💻 个人笔记本或台式机 | 基于主机的防火墙 | 路由器或办公室网络防火墙 | 设备在不同网络间移动,所以第一个检查点应该随设备本身移动。 |
| 🖥️ 单个 VPS | 基于主机的防火墙 | 提供商或云网络防火墙 | 你通常需要限制 SSH 并仅暴露服务器应该运行的公共服务。 |
| 🗄️⚙️ 自托管应用(应用 + 数据库) | 两个服务器上的基于主机的防火墙 | 层级之间的云/网络防火墙 | 数据库通常应该只接受来自应用层的流量,而不是来自互联网的流量。 |
| ☁️🖧 多服务器云部署 | 云防火墙 / 安全组 | 关键主机上的基于主机的防火墙 | 第一个边界围绕工作负载和网络路径,然后敏感主机可以添加更严格的本地规则。 |
| 🌐🔗 公共网站或 API | 主机/网络防火墙 | WAF | 网络流量首先需要正常的端口访问,WAF 只有在应用实际面向 HTTP/HTTPS 时才有意义。 |
| 🏢📡 办公室或企业网络 | 网络 / 边界防火墙 | 端点和服务器上的基于主机的防火墙 | 边界控制有助于广泛保护,而主机规则改进了环境内的隔离。 |
两个模式比表格中的标签更重要。第一层通常是最接近资产的那一层,而第二层仅在流量跨越另一个值得拥有自己规则的层级或信任边界时出现。
这就是为什么一个新的 VPS 或专用服务器通常从基于主机的防火墙开始,即使它位于提供商处(例如 AlexHost)。主机仍然需要为 SSH、网络流量和任何私有内容制定清晰的本地规则。提供商端或云风格的控制在进一步缩小暴露范围时作为外层很有用。
WAF 行更多取决于应用类型而不是基础设施规模。当你要保护的东西实际上是网站或 API 并且你需要 HTTP/HTTPS 特定的过滤时,它就变得有用。并非每个设置都需要这个额外的层。大多数环境在规则具体时会变得更安全,而不是在图表复杂时。
常见防火墙错误

最常见的防火墙错误是打开过多的”暂时”规则,然后再也不回头。一个临时的允许所有规则、一个开放的测试端口或一个暴露在整个互联网上的管理服务可能会在原始原因消失后很久仍然存在。广泛的临时访问往往会变成永久性的暴露。
⚠️ 警告:临时开放规则往往会成为永久风险。如果您需要例外,请使其范围狭窄,记录其存在的原因,并在任务完成后将其删除。
第二个错误是相信错误的层来完成每项工作。
- 路由器不能消除对主机规则的需求。
- 云安全组不会使本地加固变得毫无意义。
- WAF 不保护 SSH、数据库或 Web 流量之外的任何其他内容。
大多数真正的防火墙故障不是高级故障。它们是普通的分类错误。
第三个错误是规则漂移。项目会改变,端口会改变,人员会改变,”仅用于此迁移”的更改往往会持续比任何人承认的时间更长。良好的防火墙卫生意味着在设置改变时重新审视规则,关闭不再需要的内容,并尽可能通过源 IP、VPN 或其他受控路径保持管理访问的特定性。
防火墙是边界,而不是魔法盾

同样的理念贯穿了开头的三个例子。笔记本电脑提示、VPS SSH 规则和公共网站都强制了同样的决定:这里真正需要可达的是什么,什么不需要?一旦你将防火墙视为流量检查点而不是魔法安全标签,答案就会变得更加实际,也不那么令人生畏。
防火墙不是整个安全故事。它的价值在于有纪律的范围界定:公共服务保持公开,管理员访问保持狭窄,内部系统保持内部。最好的防火墙是适合你实际需要管理的暴露程度的那个。
