防火牆

防火牆定義

˙一種安全機制，用來隔離兩個安全信任度不同的網路。

• 可由軟體或硬體來實作，利用系統所建立的安全性規則，有效的控制對內與對外流量。

為何需要防火牆

• 網路攻擊、入侵與破壞事件日益嚴重，組織單

位極需要一套有效的安全性防禦技術。

• 組織單位需要一個集中落實安全性政策的機制。

• 組織單位需要集中的稽核記錄所有進出的流量，

以利事後的安全性查核與分析。

• 防火牆無疑是達成上述安全性要求, 保護組織

單位網路最有效的方式之一。

防火牆能做些甚麼

1.形成內部網路與網際網路的咽喉點(Choke Point)，落實安全性政策

2.有效的控管非必要或有安全性疑慮的封包

3.記錄及監控內部與網際網路活動

4.偵測與避免非經授權者存取組織單位網路資源

5.避免耗費大量公開位址

6.避免內部網路資訊直接暴露在外

防火牆類型

• 封包過濾防火牆(Packet-filtering Firewall)

• 狀態檢視防火牆(stateful Inspection Firewall)

• 代理防火牆(Proxy)

– 電路閘道器(Circuit Level gateway)

– 應用程式閘道器(application-level gateway)

• 混合型防火牆(Hybrid Firewall)

防火牆類型差異比較

• 封包篩選與檢查方式

• 效率

– 不同防火牆類型的篩選及代理處理作業將會影響到網路效能。

• 透通度

– 使用防火牆是否需要用戶端作額外的設定與安裝軟體。

• 安全性

– 不同防火牆類型攔阻不安全的流量能力不同。

混合型防火牆

• 混合型防火牆(hybrid firewall)

• 許多防火牆均可同時提供封包過濾、狀態檢視

和代理閘道器的功能稱之。

• 利用混合型防火牆以循序性的方式套用多種過

濾篩選方式，將可加強安全性。

1.封包過濾

2.狀態檢視

3.代理

防火牆架構設計考量

• 不同的防火牆架構，提供不同的防禦效果與安全度。

• 防火牆架構設計考量的重要因素：

– 採用幾層保護。

– 是否整合路由器的封包過濾功能。

– 是否要建構非軍事區(Demilitarized zone；又稱為Screened Subnet 或Perimeter Network) 。

– 如何建構非軍事區。

基本防火牆架構

• 雙介面主機防火牆(Dual-Homed Hosts)

• 屏蔽式主機防火牆(Screened Hosts Firewall)

• 屏蔽式子網路防火牆(Screened subnet Firewall)