【51CTO.com快译】当我们在谈论到互联网以及主机系统的安全性时,有一个热词可能会迅速从您的脑子里蹦出,那就是:防火墙。这个概念以及相关产品已经由来已久了。无论您是技术型用户、还是非技术类用户,可能更加关注的是,如何为自己的设备系统、以及网络流量,选择并设置合适的防火墙。
经过多年的大浪淘沙,目前在防火墙市场上最著名、且常用的莫过于,Windows防火墙和pfsense防火墙。两者虽然在基本功能上有着相似之处,但在工作特性上却有所不同。这些特性在一定程度上会影响用户的选择偏好。
防火墙的概念以及其工作原理
作为一种网络安全的必备工具,防火墙可以过滤那些通过外部网络,而进入设备系统的数据。任何不符合其预设安全标准的数据包都会被阻断,进而防止外部攻击对于目标设备和个人数据的攻击或窃取。
与反恶意软件不同,防火墙既能够以软件的形式,又可以硬件的方式被部署并发挥作用。其中,软件防火墙主要依赖对于网络流量的逻辑监控与检查,来为内网和系统构建“数字围栏”。而硬件防火墙虽然在实现原理上与软件类似,但是它往往在系统中增加了额外的设备。如果您正在寻找一种不会影响到计算机性能的防火墙,那么硬件防火墙会是您不错的选择。它们通常位于主要数据处理设备之外,并使用的是自身的物理资源。因此它们的实现效率会比软件更高,受理的数据流量也更大。在此,我们撇开硬件防火墙暂不谈,来重点讨论那些部署在主机系统上的软件防火墙,是如何实施恶意流量的阻断,以及重要文件的保护。
什么是Windows Defender Firewall?
我们常说的Windows防火墙,其实是Windows Defender Firewall的缩写。作为Microsoft生态环境中的一类软件产品,它自Windows XP以来,就被内置于所有版本的Microsoft Windows操作系统之中。因此,对于每个用户而言,Windows防火墙实际上一套原生的、开机自启动类型的防火墙系统。
由于Windows防火墙是随操作系统免费附赠的,而且无需复杂的安装、或额外的配置过程,因此它基本满足了开箱即用(Out-of-the-box)的便利性。实际上,您在计算机上启动Windows操作系统,并将其连接到互联网的那一刻,Windows防火墙就已经在后台为您工作,保护您免受网络攻击和恶意流量的侵害了。
功能
参照默认设置,Windows防火墙能够判断并管控,计算机上的哪些应用程序可以接受来自网络中的数据,进而自动阻止有害、或可疑的数据包。
除了少数默认已受到信任的应用程序以外,Windows防火墙需要得到您的手动许可,方能允许某些服务(如,照片编辑软件或在线游戏)与外部服务器接收和发送数据包。当然,一旦您批准了某个应用程序的活动行为,Windows防火墙将就记下您的首选项,并且不再为此反复打扰您。
值得一提的是,安全风险并不一定源于那些入侵的恶意数据。有时候,应用程序和软件向外发送带有敏感信息的文件,也会造成用户隐私受到侵犯。对此,您可以通过更改Windows防火墙的默认遵循规则,来对特定的应用程序进行人为的干预与阻止,进而起到数据泄漏防护(Data leakage prevention, DLP)的效果。具体设置请参见-- https://www.makeuseof.com/how-to-allow-apps-windows-firewall/。
不过,客观地说,Windows防火墙毕竟不是硬件防火墙,因此它与其他应用程序和软件类似,需要占用设备系统的一部分资源,因此它可能会拖慢计算机在处理正常事务时的速度。换句话说,如果您的计算机硬件比较陈旧、配置不够好、以及需要经常使用CPU与内存密集型应用程序的话,则需要考虑采用其他的防护产品。
什么是pfSense防火墙?
pfSense是一种开源且免费的、集防火墙和路由器为一身的软件产品。凭借着其特有的兼容性,pfSense可以被部署在各种用户类的计算机硬件上,并能够与其他设备协同使用。自2004年被发布以来,pfSense在业界获得了不俗的知名度和用户使用评价。
作为“m0n0wall”项目的一部分,pfSense的目标是通过创建一个功能齐全的防火墙软件,以满足普通用户和技术大咖对于自定义和优化其设备安全性的需求。凭借着由它提供的多项功能,用户不必从零开始创建防火墙策略,而能够利用其先进的技术,保护目标设备免受在线恶意代码等方面的侵害。
功能
在扫描出、入栈数据包时,pfSense能够根据用户设置的各种策略标准,调用其过滤引擎,进行实时的分析与判断。
在灵活性方面,pfSense允许用户根据不同的数据流来源(无论是零信任的互联网、还是受信任的设备、亦或用户的内部网络),以设置不同的规则。由于它是开源的,因此用户可以通过编辑源代码、或使用pfSense提供的在线版本,来自由地添加或删除各种适合自身实际需求的功能。
相对于Windows防火墙仅止步于扫描和阻断数据包,pfSense提供了更多的监控与检测工具,以方便实时地拦截各种黑客的攻击尝试。此外,pfSense还能够与另一种开源安全工具--WireGuard VPN的隧道协议相兼容。具体使用方法请参见-- https://www.makeuseof.com/what-is-wireguard-vpn/。
由于具有轻量级,因此pfSense并不会影响到被安装主机的性能。这一点会在那些外部的路由器、以及一些旧的笔记本电脑的安装过程中尤为突显。对比Windows防火墙,pfSense防火墙会在友好的用户界面、易配置使用、大量的在线教程、以及官方文档等方面更加全面到位。
小结
可以说,主机防火墙是普通用户在日常上网、以及处理各种事务时的重要网络安全屏障。与选择其他应用工具类似,您可以通过分析自身的实际需求与期望,以更好地在Windows防火墙、pfSense等安全工具中做出明智的选择。
原文Windows Defender Firewall vs pfSense: Which Is the Best Firewall for You?,作者:ANINA OT
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】