防火牆介紹

在電腦運算領域中，防火牆（英文：firewall）是一項協助確保資訊保安的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。

[隱藏]

3防火牆架構

4缺點5相關條目

6外部鏈結

防火牆最基本的功能就是隔離網路，通過將網路劃分成不同的區域（通常情況下稱為zone），制定出不同區域之間的訪問控制策略來控制不同任程度區域間傳送的資料流。例如網際網路是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通訊。它有控制資訊基本的任務在不同信任的區域。典型信任的區域包括網際網路(乙個沒有信任的區域) 和乙個內部網路(乙個高信任的區域) 。最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則例如：tcp/ip port 135~139是 microsoft windows 的【網路上的芳鄰】所使用的。如果電腦有使用【網路上的芳鄰】的【共享資料夾】，又沒使用任何防火牆相關的防護措施的話，就等於把自己的【共享資料夾】公開到internet，供不特定的任何人有機會瀏覽目錄內的檔案。且早期版本的windows有【網路上的芳鄰】系統溢位的無密碼保護的漏洞（這裡是指【共享資料夾】有設密碼，但可經由此系統漏洞，達到無須密碼便能瀏覽資料夾的需求）。

針對普通使用者的個人防火牆，通常是在一部電腦上具有資料報過濾功能的軟體，如zonealarm及windows xp sp2後內建的防火牆程式。而專業的防火牆通常為網路裝置，或是擁有2個以上網路介面的電腦。以作用的tcp/ip堆疊區分，主要分為網路層防火牆和應用層防火牆兩種，但也有些防火牆是同時運作於網路層和應用層。

網路層防火牆可視為一種 ip 資料報過濾器，運作在底層的tcp/ip協議堆疊上。我們可以以列舉的方式，只允許符合特定規則的資料報通過，其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改，不過某些防火牆裝置可能只能應用內建的規則。

我們也能以另一種較寬鬆的角度來制定防火牆規則，只要資料報不符合任何一項「否定規則」就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。

較新的防火牆能利用資料報的多樣屬性來進行過濾，例如：** ip 位址、**埠號、目的 ip 位址或埠號、服務型別(如 www 或是 ftp)。也能經由通訊協議、ttl 值、**的網域名稱名稱或網段...等屬性來進行過濾。

主條目：

應用層防火牆

防火牆的視察軟體介面示例，紀錄ip進出的情況與對應事件

應用層防火牆是在tcp/ip堆疊的「應用層」上運作，使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有資料報，並且封鎖其他的資料報(通常是直接將資料報丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料流進受保護的機器裡。

防火牆藉由監測所有的資料報並找出不符規則的屬性，可以防範電腦蠕蟲或是木馬程式的快速蔓延。實際上，這個方法繁複（因軟體種類極多），所以大部分防火牆都不會考慮以這種方法設計。

截至2023年，所謂的下一代防火牆（ngfw）都只是「拓寬」並「深化」了在應用棧檢查的能力。例如，現有支援深度分組檢測的現代防火牆均可擴充套件成入侵預防系統（ips），使用者身份整合（使用者id與ip或mac位址繫結），和web應用防火牆（waf）。

主條目：

**伺服器

**（proxy）裝置（可能是一台專屬的硬體，或只是普通電腦上的一套軟體）也能像應用程式一樣回應輸入資料報（例如連線要求），同時封鎖其他的資料報，達到類似於防火牆的效果。

**會使從外部網路竄改乙個內部系統更加困難，且只要對於**有良好的設定，即使內部系統出現問題也不一定會造成安全上的漏洞。相反地，入侵者也許劫持乙個公開可及的系統和使用它作為**人為他們自己的目的；**人偽裝作為那個系統對其它內部機器。當對內部位址空間的用途增加安全，破壞者也許仍然使用方法譬如ip欺騙（ip spoofing）試圖通過小包對目標網路。

防火牆經常有網路位址轉換(nat) 的功能，並且主機被保護在防火牆之後共同地使用所謂的「私人位址空間」，定義在rfc 1918。

防火牆的適當的配置要求技巧和智慧型，它要求管理員對網路協議和電腦安全有深入的了解，因小差錯可使防火牆不能作為安全工具。

此防火牆需有兩張網絡卡，一張與網際網路連線，另一張與內部網連線，如此網際網路與內部網的通道無法直接接通，所有資料報都需要通過主機傳送。

此防火牆除了主機型防火牆的兩張網絡卡外，另安裝應用服務轉送器的軟體，所有網路資料報都須經過此軟體檢查，此軟體將過濾掉不被系統所允許的資料報。

此防火牆的硬體裝置除需要主機外，還需要乙個路由器，路由器需具有資料報過濾的功能，主機則負責過濾及處理網路服務要求的資料報，當網際網路的資料報進入屏障單機型防火牆時，路由器會先檢查此資料報是否滿足過濾規則，再將過濾成功的資料報，轉送到主機進行網路服務層的檢查與傳送。

將屏障單機型防火牆的主機換成雙閘型防火牆。

此防火牆藉由多台主機與兩個路由器組成，電腦分成兩個區塊，屏障子網域名稱與內部網，資料報經由以下路徑，第乙個路由器->屏障子網域名稱->第二路由器->內部網，此設計因有階段式的過濾功能，因此兩個路由器可以有不同的過濾規則，讓網路資料報更有效率。若一資料報通過第一過濾器資料報，會先在屏障子網域名稱進行服務處理，若要進行更深入內部網的服務，則要通過第二路由器過濾。

正常狀況下，所有網際網路的資料報軟體都應經過防火牆的過濾，這將造成網路交通的瓶頸。例如在攻擊性資料報出現時，攻擊者會不時寄出資料報，讓防火牆疲於過濾資料報，而使一些合法資料報軟體亦無法正常進出防火牆。

防火牆雖然可以過濾網際網路的資料報，但卻無法過濾內部網路的資料報。因此若有人從內部網路攻擊時，防火牆沒有作用。

而電腦本身的作業系統亦可能因一些系統漏洞，使入侵者可以利用這些漏洞繞過防火牆過濾，從而入侵電腦。

防火牆無法有效阻擋病毒攻擊，尤其是隱藏在資料中的病毒。

防火牆介紹

tcp wrappers防火牆介紹

防火牆防火牆安全

防火牆網路攻擊介紹

防火牆介紹

tcp wrappers防火牆介紹

防火牆 防火牆安全

防火牆 網路攻擊介紹

相關推薦

防火牆防火牆安全

防火牆網路攻擊介紹