國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
如此可提⾼高開創性與靈活性。︒
2.2 防⽕火牆簡介
防⽕火牆(Firewall)是⽤用以維護資訊安全的裝置,可由硬體或軟體來構成,根據所設定的 規則,允許或限制網路流量的通過,隔離內外部網路,將網路劃分成不同區域,並設 定不同區域間的存取規則,以控制區域間傳送的資料流向。︒防⽕火牆基本上是負責控制 網路設備間的存取權限,透過訂定存取規則,檢查來往的封包流,再依安全政策決定 讓封包通過或是加以阻檔。︒若以使⽤用的TCP/IP堆疊(Stack)做區分,則分為網路層防⽕火 牆和應⽤用層防⽕火牆兩類。︒
2.2.1 網路層防⽕火牆
網路層防⽕火牆是⼀一種IP (Internet Protocol)封包的過濾器,運作在底層TCP/IP的協定堆疊 上,可透過列舉⽅方式,允許符合該規則的封包通過,其餘⼀一律不可穿越防⽕火牆。︒另⼀一 種較寬鬆(反向)的設定⽅方式為若封包不符合任何「阻擋規則」即予以通⾏行。︒可以利⽤用封 包的多個屬性進⾏行過濾,例如來源IP位址、︑埠號與服務類型(如FTP)等,亦可由通訊協 定、︑來源網域名稱等屬性進⾏行過濾。︒
2.2.2 應⽤用層防⽕火牆
應⽤用層防⽕火牆運作於TCP/IP堆疊的應⽤用層,例如瀏覽器所產⽣生的資料。︒應⽤用層防⽕火牆 可攔截應⽤用程式的所有封包,並丟棄不符合規則的封包。︒理論上,此類防⽕火牆可完全 阻擋外部資料進入受保護之主機。︒應⽤用層防⽕火牆可透過監測封包並找出不符規則的內
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
容,以防範電腦蠕蟲或⽊木⾺馬程式。︒但實務上因為⽅方法過於繁複(因軟體種類極多),少有 防⽕火牆以此⽅方法設計。︒
2.2.3 代理服務
代理(Proxy)服務強調⽤用⼾戶端程式必需與代理伺服器接洽,再透過它來和⽬目的主機連 接,⽽而非直接讓⽤用⼾戶端連接真正的⽬目的主機。︒此⼀一過程可對⽤用⼾戶端的請求進⾏行評估,
並決定是否為⽤用⼾戶端的請求服務,若⽤用⼾戶端的請求是許可之⾏行為,代理伺服器會將其 請求轉傳到⽤用⼾戶端原先之⽬目的主機,並將收到的回應傳送給⽤用⼾戶端。︒
2.2.4 防⽕火牆架構
防⽕火牆架構可分為以下五種:
1. 主機型防⽕火牆:如圖2.2所⽰示,此類防⽕火牆需要安裝兩張網路卡,分別連接網際網 路和企業內部網路。︒所有進出的封包都需要透過此主機過濾,藉以阻擋不允許之網 際網路流量進入企業內部網路。︒
圖2.2 主機型防⽕火牆[38]。︒
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
2. 雙閘型防⽕火牆:此防⽕火牆類似主機型防⽕火牆,但除了主機上安裝的兩張網路卡外,
需額外安裝應⽤用服務轉送器(application service forwarder),並由該軟體檢查所有網 路封包,以過濾掉系統所不允許通過之封包。︒
圖2.3 雙閘型防⽕火牆[38]。︒
3. 屏障單機型防⽕火牆:如圖2.4所⽰示,此架構結合了封包過濾器和代理伺服器,除了 防⽕火牆主機外,需要⼀一台額外的路由器才可運作。︒當網際網路中的封包傳入此防⽕火 牆時,會先由路由器進⾏行封包過濾,比對是否符合過濾規則表的條件,過濾後的封 包再送給防⽕火牆主機,進⾏行網路服務層的檢查以及轉發。︒
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖2.4 屏障單機型防⽕火牆[38]
4. 屏障雙閘型防⽕火牆:與屏障單機型防⽕火牆的架構相似,差別在於將防⽕火牆主機更換 為雙閘型防⽕火牆主機,透過應⽤用服務轉送器(application service forwarder)檢查所有 網路封包,以過濾掉系統不允許通過之封包。︒
圖2.5 屏障雙閘型防⽕火牆[38]。︒
5. 屏障⼦子網域型防⽕火牆:此防⽕火牆由多個主機與兩個路由器組成,網域則分為屏障⼦子 網域與企業網路兩個區塊。︒封包經由第⼀一個路由器->屏障⼦子網域->第⼆二路由器->企 業網路。︒具有階段式的過濾功能,因此兩個路由器可以運⾏行不同過濾規則,提供更 嚴密的網路防護。︒
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖2.6 屏障⼦子網域型防⽕火牆[38]。︒