什么是基于主机的防火墙？

传统上，防火墙是一种用于保护网络免受恶意流量攻击的设备。不过，它们也可以作为服务运行在计算机上，从而阻止来自该设备的有害流量。这种类型的防火墙被称为“基于主机的防火墙”，因为它们被安装在工作站、服务器或网络连接设备上。大多数现代操作系统都内置了防火墙功能。

它们提供了精细的控制功能，可以保护各个主机免受不必要的网络攻击。因此，它们在企业中非常受欢迎。让我们更深入地了解一下基于主机的防火墙吧。

基于主机的防火墙定义

基于主机的防火墙能够监控单个设备、工作站或服务器进出网络的流量。通过监控经过网络接口控制器的流量，可以有效防止各种入侵行为。

许多组织会在每台设备上添加基于主机的防火墙，以作为基于边界的防火墙的补充。这样可以在单个设备的层面增加一层安全性。由于这些防火墙支持多种配置方式，因此可以根据需要进行调整，以控制允许通过的流量。

基于主机的防火墙是如何工作的？

基于主机的防火墙需要被设置在各个设备上。设置完成后，这些防火墙会执行相应的规则，以确定哪些流量是被允许的，而哪些流量则被禁止。那些被认定为恶意流量的数据会被阻止，从而防止恶意软件在单个计算机上安装。

一个基于主机的防火墙规则的例子，就是禁止来自已知恶意IP地址的所有流量。当访问某个被禁止的网站时，由于防火墙会拒绝该IP地址的请求，该网站将无法加载出来。

其主要优点在于，即使在不同网络之间切换时，基于主机的防火墙仍然能够保持激活状态。因此，它们被广泛用于便携式用户设备中。这种方式可以确保设备在移动过程中也能得到保护。

一些基于主机的防火墙功能相当先进，能够有效防御应用程序攻击。这对于用户和企业来说，无疑是一种额外的安全保障。

使用基于主机的防火墙的好处

基于主机的防火墙能够有效抵御病毒和恶意软件的攻击。不过，这种防火墙为用户带来的好处并不仅限于此。

分层保护模型

拥有基于主机的防火墙和基于网络的防火墙，可以构成两种独立的过滤机制。虽然基于网络的防火墙会检查数据包的头部信息以及阻止特定的地址或端口，但基于主机的防火墙则作为一种独立的防护措施来发挥作用。多层次的防护机制有助于保护终端设备免受各种威胁的侵害。

易于设置

基于主机的防火墙比网络防火墙更容易配置。由于这些防火墙通常已经内置在设备的操作系统中，因此几乎不需要进行额外的部署步骤。只需将所需的配置信息添加到已有的系统中即可。

针对各种威胁的防护措施

基于主机的防火墙能够保护系统免受来自内部网络的威胁。此外，只有基于主机的防火墙才能阻止与特定程序相关的网络连接，同时防止恶意脚本通过电子邮件附件传播。这对于阻止那些能够自我复制的恶意软件来说，是一种非常有效的工具。这样的防火墙软件还可以阻止诸如Excel、Word、记事本等应用程序的出站连接端口。

可移植性

基于主机的防火墙能够确保即使在设备更换网络环境的情况下，也能持续提供保护。这些规则是针对每个设备单独应用的，因此它们与网络环境是独立的。这样一来，就可以为移动设备和笔记本电脑提供稳定的安全保护，同时不会干扰公司的网络防火墙功能。

额外的内部网络控制措施

其核心思想是，如果没有基于主机的防火墙来限制网络内的流量，那么这种流量就难以被有效控制。这就使得网络管理员在拒绝工作站之间的通信时拥有更大的主动权。不过，这种做法也可能引发数据泄露的问题，因此，限制过度的网络连接反而更为明智。

如何配置基于主机的防火墙

基于主机的防火墙需要直接安装在每台计算机上，不过大多数消费者操作系统都内置了防火墙功能。例如，Windows和macOS系统本身就具备防火墙功能，可以过滤网络流量。当然，也可以选择使用第三方提供的防火墙解决方案。

企业网络管理员可以通过组策略管理来管理和配置Windows主机防火墙。这样一来，他们就可以轻松地在所有终端设备上应用相同的设置。不过，用户通常需要依赖像macOS系统的Mobile Device Management这样的专有软件，才能在所有员工设备上应用基于主机的防火墙设置。

应该启用哪些规则，而不应启用哪些规则，这取决于您所在组织的目标。以下是关于如何设置基于主机的防火墙的一些建议：

• 根据已连接的网络来创建浮动规则。大多数现代基于主机的防火墙都能够记住哪些网络属于组织内部，哪些则不属于组织内部。这样，就可以根据用户连接的网络来应用不同的安全规则。例如，当用户连接到内部网络时，所有子网内的流量都会被限制；而当用户连接到公共网络时，则只允许使用HTTP/HTTPS进行通信，其他类型的通信则被禁止，用户不得不使用VPN来进行其他通信。
• 为特定的二进制文件添加限制规则。存在许多二进制文件，黑客可以利用这些文件来发起攻击，让它们执行超出其预期功能的操作。不过，基于主机的防火墙可以通过各种二进制文件库来识别并阻止这些恶意文件。在检测到这些二进制文件被使用时，设置警报也是个好主意——这很可能是有可疑行为正在发生的信号。
• 限制对服务器环境的访问权限终端设备应被禁止访问服务器环境以及管理员控制台。重点应该放在那些最容易被黑客利用的端口上，比如：139、445、80、443、3389和22。只允许少数工作站访问这些端口，而其余的端口则应该被完全阻止——这样就能实现“最低权限”的策略了。

最后的总结/结束语

与基于网络的防火墙不同，基于主机的防火墙是部署在设备内部的本地化安全装置。它们能够保护个人电脑和智能手机，同时监控进出设备的网络流量。

它能够增强内部网络的安全性，从而补充网络防火墙的功能。同时，它为网络管理员提供了足够的自定义选项。基于主机的防火墙是同一VLAN内最优秀的网络安全控制与通信保护解决方案之一。