資訊安全－依封包劃分的架構:防火牆

(參考資料：圖解網際網路 + wiki)

依封包劃分的架構－防火牆：

(一)防火牆(FireWall)

1.     防火牆是一種安全機制，用來隔離兩個安全信任度不同的網路。可由軟體或硬體來實作，利用系統所建立的安全性規則，有效的控制對內與對外流量。

2.    防火牆最基本的功能就是隔離網路，通過將網路劃分成不同的區域(Zone)，制定出不同區域間的存取控制策略，來控制不同信任程度區域間傳送的資料流。例如網際網路是不可信任的區域，而企業網路式高度信任的區域。

3.    防火牆的基本原理為封包分離：防火牆主要功用，為將眾多不特定使用者的「外部網路」與公司內網路等的「內部網路」區隔開來，以保護「內部網路」的安全性軟體。防火牆其實架構很簡單，它只針對每一個IP封包，判斷其是否為必要接收的IP封包，或是不需要接收的IP封包，並決定是否接收或拒絕接收IP封包。

4.    防火牆功能：

(1)  形成內部網路與網際網路的咽喉點(Chock point)。

(2) 有效控管非必要或有安全疑慮的封包。

(3) 紀錄及監控內部與網際網路活動。

(4) 偵測與避免非經授權者存取組織單位網路資源。

(5) 避免內部網路資訊資訊暴露在外。

5.    防火牆缺點：它雖然能夠過濾網際網路封包，但卻無法過濾內部網路的封包，若有人從內部網路攻擊時，防火牆沒有作用。防火牆無法有效阻隔病毒攻擊，尤其是隱藏在資料中的病毒。

(二)IP位址、埠號碼、方向性判斷：

1.     防火牆如何判斷IP封包是否要接收或拒絕?依據的規則就是利用傳送者的IP位址、目的端的IP位址、傳送者的埠號碼、目的端的埠號碼這四項資料來判斷。

2.    若為Web資料，埠號碼為TCP80、電子郵件資料為TCP25號。

3.    資料傳輸也具有方向性，防火牆也必須針對是否為「從外部傳來資料」或是「從內部傳向外部資料」等條件判斷，是否接收資料。

(三)記述式封包偵測：

1.     雖然防火牆針對一個一個的IP封包作判斷，但有時也會失敗。便利用TCP在網路連接時，事先提出對某項要求作出回應的通訊特質，並記錄此回應資料。

2.    然後在下一次傳輸前，先檢查這些回應資料是否正常與正當。這種檢查方法稱為記述式封包偵測(Stateful Packet Inspection)。

3.    它能夠持續追蹤穿過這個防火牆的各種網路連線(如TCP與UDP連線)的狀態，這種防火牆被設計來區分不同連線種類下的合法封包，只有符合主動連線的封包才能夠允許穿過防火牆，其他封包會被拒絕。

---------------------------

延伸閱讀：

    
●  資訊安全－不斷增加的電腦病毒
●  資訊安全－病毒攻擊方式
●  資訊安全－癱瘓網際網路的攻擊手法
●  資訊安全－資料加密技術
●  資訊安全－瀏覽器標準配備的資料加密技術:SSL
●  資訊安全－利用電子郵件功能隨機傳送的垃圾信件