防火牆的定義
在私有網路(內部網路)與網際網路(外部網路)之間建立一個安全的通訊閘道稱為「防火牆(Firewall)」,類似軍隊的檢查哨,可以控制並且管制所有進出私有網路與網際網路的資料封包,防火牆最重要的成員是「封包過濾器(Packet filter)」與「應用閘道器(Application gateway)」,但是必須配合其他伺服器軟體的合作才能真正達到網路安全的目的,使用防火牆的優點包括:
➤保護私有網路:可以保護私有網路(內部網路)的安全,把惡意攻擊的怪客(Cracker)阻擋在外面。
➤管制私有網路:可以管制私有網路(內部網路)與網際網路的存取,避免員工使用公司網路進行違法行為。
➤保存使用記錄:可以保存網路使用的記錄,並且統計內部網路的使用情形。
防火牆的缺點
使用防火牆是在私有網路(內部網路)與網際網路(外部網路)之間建立一個安全的通訊閘道,所有的封包進出都必須經過檢查,因此也會產生一些缺點包括:
➤降低傳輸效率:防火牆對網路進出的封包進行檢查的動作會降低網路的傳輸效率。
➤防火牆被入侵:當防火牆被入侵的時候,整個私有網路(內部網路)會完全暴露,因此不可以完全依賴防火牆,私有網路(內部網路)的每一台電腦都必須做好安全管理工作。
➤無法防範內賊:防火牆無法防範內賊,所以人員使用權限的管制也是網路安全重要的項目。
防火牆的成員
安全的防火牆架構如<圖一>所示,包括下列基本的伺服器軟體:
➤封包過濾器(Packet filter):例如 NAT 伺服器(NAT server)。
➤應用閘道器(Application gateway):例如代理伺服器(Proxy server)。
➤網域名稱管理:例如 DNS 伺服器(DNS server)。
➤電子郵件管理:例如郵件伺服器(Mail server)。
➤檔案傳輸管理:例如 FTP 伺服器(FTP server)。
➤檔案資料管理:例如資料庫伺服器(Database server)、檔案伺服器(File server)。
➤安全的作業系統:例如 Unix、Linux 或 Windows 等。
圖一、防火牆的成員示意圖
防火牆的安全機制
安全的防火牆至少必須具有「NAT伺服器」,用來攔截網際網路進入私有網路的封包,阻擋怪客(Cracker)的攻擊,或是進行封包偽裝,將私有 IP 改成真實 IP 再傳送到網際網路,使網際網路上的人無法得知私有網路的 IP 分配情形而增加安全性;如果同時外加「代理伺服器」,則可以對經過私有網路與網際網路的封包,進行快取與控制等功能,讓私有網路與網際網路都透過代理伺服器來連接,減少網際網路上的怪客直接連接到私有網路的機會而增加安全性。
如果同時再外加「DNS 伺服器」可以管理網域名稱與 IP 位址;同時再外加「郵件伺服器」可以管理電子郵件;同時再外加「FTP 伺服器」可以管理檔案的上傳與下載;同時再外加資料庫與檔案伺服器管理資料與檔案;同時再使用安全性較高的作業系統,可以減少因為作業系統程式有漏洞而被怪客攻擊的機會,因此所謂的防火牆,其實就是由上面八個成員組合而成,由下到上使用愈多的成員則安全性愈高,使怪客不容易進行攻擊,如<圖一>所示。
《知識力》授權轉載
【延伸閱讀】