TCP/IP 與防火牆

TCP/IP是目前網際網路應用最廣泛的協定，它具備強大的網路連結能力及免 費開放的特色，因此越來越多作業系統都將它列為預設的網路協定。無論傳統防 火牆或者應用層防火牆，甚至於IDS或者IPS系統，都是架構在TCP/IP的技術上面 發展而來的。本節先介紹TCP/IP，接著說明防火牆如何在TCP/IP上面運作。

2.1.1 TCP/IP 基本概念及運作方式

1977年，國際標準組織(ISO，Internetational Standard Organization)開 始發展一套標準化之通訊協定架構。於1984年頒布了OSI（Open System Inter- connection Reference Model）基本參考模型，訂定七個層次之功能標準，它規 範了通信協定、資料傳輸、封裝及接收的規則。OSI七層由上而下分別為：應用層、

展示層、會議層、傳輸層、網路層、資料連結層、實體層。

網際網路的先驅：美國高級研究計畫署(ARPANET，Advanced Research Project Agency NETwork)，最初是採用主機對主機(Host-to-Host)的網路控制協定(NCP，

Network Control Protocol)，1974年後TCP/IP（Transmission Control Protocol /Internet Protocol）逐漸取代NCP協定，1983年TCP/IP成為網際網路的標準通訊 協定，1990年代中期網路的蓬勃發展，TCP/IP成為全世界被利用最廣的通信協定。

TCP/IP模型共分為四層，由上而下分別為：應用層、傳輸層、網路層、連結層。

應用層Application Layer

應用層 Application Layer 展示層Presentation Layer

會議層Session Layer

傳輸層Transport Layer 傳輸層Transport Layer 網路層Network Layer 網路層Network Layer 資料連結層Data Link Layer 連結層Link Layer

實體層Physical Layer

圖 2-1 OSI 與 TCP/IP 模型之對照

（1）TCP（Transmission Control Protocol）：TCP連線起始會先進行「三交 握」的動作，當接受方收到傳送方傳來訊息時，會送出一個確認訊息給對 方，傳送方會等到收到確認訊息後，才會繼續傳送資料。傳送過程會檢查 資料完整性及區段順序，因此TCP協定是可靠的連線方式。

（2）UDP（User Datagram Protocol）：UDP協定在傳送過程中，不會檢查資料 的完整性，允許資料遺失，而且不管資料到達接受端的先後順序，因此如 DNS查詢、Multicast、Broadcast、VoIP等，在傳輸資料發生遺漏時，並 不會有太大影響，才會使用UDP協定。

由於兩個傳輸協定不同的特性，對一般P2P軟體來說，檔案查詢或者查詢回覆 多半使用UDP協定，而檔案交換則採用TCP協定。

3、網路層：用在定義IP（Internet Protocol）、ICMP（Internet Control Message Protocol）、ARP（Address Resolution Protocol）、RARP（Reverse Address Resolution Protocol）四種協定，並定義出封包路由（Routing）的方法，讓 不同網域的兩台電腦，可以跨越網路交換資料。

4、連結層：該層就是OSI的Data Link Layer，也就是網路最基礎的建設，包括乙

太網路（Ethernet）、光纖 （Fiber）、無線網路（Wireless）、訊框傳送（Frame Relay）、點對點實體網路（PPP），連結層最主要的目的在傳送及接收實體層 所傳送的光電訊號。

圖 2-2 封包傳遞的過程

上圖為封包(Packet)傳遞示意圖，當 Peer A 要和 PeerB 聯絡時，會把應用層 資料交給下一層來處理。傳輸層接到應用層交下來的資料，會把它視為一個 Payload Data，然後幫它加上一個傳輸層的控制表頭，接著再往下一層傳遞，最 後由連結層封裝後，把封包傳送出去。對方收到資料後，反覆剝去表頭及向上傳 遞 Payload，最後到達應用層，完成了的交談。

2.1.2 防火牆技術分類

防火牆依過濾技術可分為封包過濾（Packet Level Filter）及應用層過濾

（Application Level Filter）兩類，各有其使用時機與優缺點，分述如下：

1、封包過濾防火牆：即為傳統的Layer3防火牆，檢查最小單位為「一個封包」，

單純處理封包IP及PORT的資訊，效能極高且應用廣泛，但缺點為檢查範圍只 有一個封包，因此無法執行精準的過濾動作。

圖 2-3 封包過濾式 Layer3 防火牆

2、應用層防火牆：因為Layer3防火牆無法完整過濾進出Router的資訊，因此發 展出Layer7的防火牆，通常此類防火牆會具有狀態檢測（Statefull

Inspection）的機制，讓filter process能夠完整分析連線資訊，達成安全 控管的目的。但此類防火牆最大問題在效能較低，而且過濾協定必須定期更 新，才能辨識各式各樣的連線。

圖 2-4 狀態檢測式 Layer7 防火牆

2.1.3 IDS / IPS

IDS（Intrusion Detection System）特色在於「分析」與「警示」就如同 sniffer 軟體一樣監聽流過的封包，當發覺有不正常流量，旋即發出警訊通報系統管理者。

但通常在發出警訊之時，病毒或者駭客正逐步攻陷了整個網域，等到管理者收到 通報時，可能傷害已經造成了。在 OpenSource 的 IDS 當中，最著名的就是稍後會 提及的 SNORT[28]。

IPS（Intrusion Prevention System）與 IDS 最大的不同在於 IPS 能夠在偵 測到入侵的同時進行防禦。IPS 最大的特色就是「深層檢測（deep inspection）」 和「在線模式（in-line mode）」，IPS 通常採用應用層的防火牆，以便偵測更完整 的入侵資訊，一旦發現有異常網路行為，即可丟棄攻擊封包。

無論執行 IDS 或 IPS 都必須降低誤判（false postive）及漏判（false negative）的問題，此外如果 IDS / IPS 主機運算能力無法負荷高速網路，勢必 拖 垮整個連線效能。