:::
防火牆 - 教育百科
詞條名稱:防火牆
詞條名稱:防火牆
教育Wiki
在電腦運算領域中,防火牆(英文:firewall)是一項協助確保資訊安全的裝置,會依照特定的規則,允許或是限制傳輸的資料通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。
目錄 |
定義
- 一種安全機制,用來隔離兩個安全信任度不同的網路。
- 可由軟體或硬體來實作,利用系統所建立的安全性規則,有效的控制對內與對外流量。
功能
- 形成內部網路與網際網路的咽喉點(Choke Point),落實安全性政策。
- 有效的控管非必要或有安全性疑慮的封包。
- 記錄及監控內部與網際網路活動。
- 偵測與避免非經授權者存取組織單位網路資源。
- 避免耗費大量公開位址。
- 避免內部網路資訊直接暴露在外。
類型
- 封包過濾防火牆(Packet-filtering Firewall)
封包過濾防火牆為第一代防火牆,提供網路層封包篩選的基本功能。依據定義好的存取規則,應用到每個流入或流出的IP封包上,以決定是否允許或阻止封包的進出。
- 狀態檢視防火牆(Stateful Inspection Firewall)
是一種動態封包過濾的防火牆技術,能夠更細部(more granularly) 的檢視封包及連線工作階段的防火牆類型。
- 代理防火牆(Proxy)
- 強調用戶端程式必需與代理伺服器接洽,再透過它來與目的機器連通,而非直接讓用戶端連接真正的目的地。
- 可以評估來自用戶端程式的請求並決定是否代其服務,如用戶請求被允許,代理伺服器會將其請求傳至真正的伺服器,並將回應回傳至用戶端程式。
- 混合型防火牆(Hybrid Firewall)
- 許多防火牆均可同時提供封包過濾、狀態檢視和代理閘道器的功能稱之。
- 利用混合型防火牆以循序性的方式套用多種過濾篩選方式,將可加強安全性。
優點
- 封包過濾防火牆(Packet-filtering Firewall)
- 優點
- 建置簡單便宜
- 效率佳。
- 具透通性,用戶端機器無需作任何設定。
- 缺點
- 難以設計出一組長期有效又正確的無誤過濾規則。
- 無法處理應用層協定,所以對於封包資料段或特定
- 應用服務弱點的攻擊方式無能為力。
- 缺乏驗證能力。
- 安全性較差。
- 狀態檢視防火牆(Stateful Inspection Firewall)
- 優點
- 狀態檢視防火牆可以透過連線狀態來判斷是否為合法授權的封包,所以安全性較靜態封包過濾防火牆為高。
- 缺點
- 效能較封包過濾稍差
- 無法處理應用層協定
- 代理防火牆(Proxy)
- 電路層閘道器
- 優點
- 電路層閘道器
- 通常比另一種應用層代理閘道器快速。
- 為一般目的的共用型代理服務,可支援許多應用層協定的代理存取功能。
- 提供比封包過濾防火牆較佳的記錄功能。
- 缺點
- 需要修改用戶端應用程式或TCP/IP協定堆疊。
- 無法處理應用層協定。
- 除了TCP、UDP外,並無法限制其它協定(如ICMP) 。
- 應用層閘道
- 優點
- 應用層閘道
- 支援代理存取,可避免內外直接連線並隱藏內部位址。
- 可過濾封包內容(Contents) 與命令來阻斷針對應用協定弱點的攻擊。
- 若閘道器中沒有包含某種特定程式的代理程式碼的話,則此種類型的封包將無法進出防火牆。
- 對於應用層協定的流量進出,可以作較詳盡的記錄或稽核。
- 缺點
- 效能較差 : 需針對特定應用層的連線或作內容或命令篩選。
- 擴充性差 : 需針對每個應用類型撰寫對應的代理程式,不僅擴充性差且代理程式價錢高。
- 管理及系統資源負荷較高 : 應用層閘道器設定複雜度較高,較可能因設定不當而造成存取問題,此外,也比較耗費系統資源。
簡而言之,防火牆為組織單位連接網際網路必要的防禦系統,也是組織集中落實安全性政策的機制 ; 不同的防火牆類型不僅提供了不同的封包篩選及檢視方式,也具備不同的安全度、效率、用戶端透通性與成本 ; 不同的防火牆架構也擁有不同的成本與安全度 ; 近年防火牆發展趨勢己是逐漸整合其它入侵偵測、VPN、內容過濾等其它防禦功能形成具備防禦縱深與多層次保護的系統。
相關教學資源
請參考考教育部數位教學資源入口網(ISP):https://isp.moe.edu.tw/resources/search_content.jsp?rno=1442438
授權資訊: | 資料採「 創用CC-姓名標示-非商業性-相同方式分享 臺灣3.0版授權條款 」釋出 |
---|
貓頭鷹博士