系統安全概念

防火牆

防火牆 (firewall) 是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。在電腦中，防火牆用來分隔內部網路與外部網路(一般就指網際網路)，可使個別網路不受公共部分整個網際網路的影響，可視為一種保護作用，使得內部機器不被外界透過網路任意連接使用。

FIREWALL 示意圖

防火牆大致可分為三類 : 封包過濾(packet filitering)、應用層閘道(application gateways)、電路式閘道(circuit gateways)。這三種方法並不互斥，許多人都選擇同時用。

封包過濾 (Packet Filitering)

是路由器和防火牆的功能之一，是最便宜，而且蠻有效的方法。

內部對外溝通是透過路由器 (router) 傳遞封包，利用管理員所指定的規則來判斷是否允許封包傳遞通過防火牆。這些規則是針對每個封包的協定標頭 (head) 中所提供的資訊加以查核，查核的資訊如下：

n IP 來源與目的地位址
n 封裝的協定
n 來源與目的地連接埠
n ICMP 訊息類型
n 內傳與外送介面

採用上述規則的任意組合，就可以指定允許哪些封包經過防火牆。例如您可以指定 Internet 上有哪些電腦的 IP 位址能夠使用 Telnet 協定來和區域網路上的特定電腦通訊。

服務相依型過濾 (Service-Dependent Filtering)
允許某些 IP 位址的遠端使用者利用 Telnet 進入網路系統，其他人則全部拒絕存取，是為了控制特定服務的流量而設計的。

服務無關型過濾 (Service-Independent Filtering)
可阻擋與服務無關的特定入侵類型。舉例來說，駭客可能偽裝成來自內部 IP 的封包來存取私人網路上的電腦。雖然封包中含有內部系統的 IP 位址，封包通過連接 Internet 的介面後卻抵達路由器。設定完善的過濾方式可以把內部系統的 IP 位址和內部網路的介面關聯起來，因此能夠偵測到來自 Internet 上具有這些來源 IP 位址的封包並予以丟棄。

應用層閘道 (Application Gateways)

應用層閘道也稱為Proxy 伺服器或碉堡主機 (Bastion Host)，是屬防火牆裡極端的設計。它並不使用原本通用的傳遞資料方式，而是特別設計過。看起來似乎是多此一舉，但比其它方法都 有用。一點也不用擔心外面環境如何(使用系統是否有千瘡百孔)，因為它是獨立存在。正由於它的複雜，它所提供的安全性比封包過濾更高但只能控制特定應用程式的存取。 應用層閘道本上是用戶端和伺服器之間特定服務的中介者。封包過濾可以阻斷用戶端與伺服器之間關於該服務的直接通訊；流量全部改為送到應用層閘道伺服器。目前最常用的是 Web 上的 Proxy 伺服器。

應用層閘道另一個優點是縱使在十分危險的環境，它依然可以記錄所有進、出系統的資料。是對抗電腦駭客十分有用的武器。

電路式閘道 (Circuit-Level Gateway)

電路式閘道用來傳遞 TCP 連接，通常是應用層閘道產品所提供的功能，當要連接內部網路某台電腦，必須透過電路式閘道，不是直接傳 遞封包。這樣的設計是必須修改使用者目前所使用的程式才能適用這環境。

閘道在私人網路的內送介面和 Internet 介面之間建立一個管道，讓用戶端系統得以透過防火牆來傳送流量。閘道伺服器仍然會把用戶端系統的 IP 位址置換成自己的位址，所以 Internet 使用者無法存取內部系統。

電路式閘道