您的 IP: 未明 · 您的狀態: 受到保護未受保護未明

防火牆是什麼:簡單的說明

建築物的防火牆能防止火勢的蔓延,網路世界的防火牆也有類似的作用。防火牆存在於電腦與網路之間,可以允許或拒絕電腦上的哪些服務可以被網路上的遠端用戶存取。因此,組織單位建立一套防火牆機制,能阻擋惡意攻擊和病毒蔓延到內部網路,並防止未經授權的用戶進入系統。請繼續閱讀,以暸解防火牆安全的相關資訊。

Eugene Michaels

Eugene Michaels

Jul 19, 2020 · 1 分鐘閱讀

防火牆是什麼:簡單的說明

防火牆是什麼?

防火牆(Firewall),有時也稱為網路防火牆,這是一種管制進出流量的網路安全工具。主要目的是在內部網路網與網際網路之間建立一個屏障。因為網際網路上有許多惡意流量,例如病毒、惡意軟體、駭客試圖入侵他人的內網等威脅。防火牆能阻擋這些威脅和避免未經授權的存取,以確保內部網路的安全。

防火牆的作用包括:

  1. 隔離內部網路(私有網路)與網際網路的流量,以保護內網的安全。
  2. 控管內部網路傳入和傳出的封包,避免未經授權存取內部網路的資源。
  3. 紀錄與監控內部網路的活動。

防火牆如何運作?

外部流量只能經由設備的入口點(通訊埠)進入到內部網路。這個入口點通常是防火牆進駐和保護流量的地方,防火牆會根據事先定義的安全性規則(存取控制清單,或稱為 ACL),有效控制對內與對外流量。存取控制清單中包含一些規則,每一條規則可用來定義要允許或拒絕特定形式(IP 位址、埠號、協定、關鍵字等)的網路封包。

防火牆用這種方式來隔離網路,將網路劃分為不同的區域,例如內部網路是高度信任的區域,網際網路則是不可信任的區域。所有進出內部網路的流量都經由防火牆中的 ACL 管制,不符合 ACL 規則的流量會被阻擋,以保護內部網路的安全。

有些組織會使用防火牆的規則,在網路架構中規劃 DMZ 區(非軍事區),作為內網和外網之間的緩衝地帶,內網和外網都能存取這個區域的服務。一般會將網頁伺服器等對外服務的設備放到 DMZ 區,提供服務給外網存取。

防火牆的類型

防火牆的類型

防火牆依實作方式

  1. 軟體防火牆

    軟體防火牆也稱為個人防火牆,主要是將防火牆軟體部署在電腦主機上。軟體防火牆只適合隔離單一網路,但它只能保護單一設備,而不是整個網路。建置軟體防火牆的成本較低,安裝及設置較簡單。因此軟體防火牆非常適合個人使用,但不適用於企業網路。

  2. 硬體防火牆

    硬體防火牆是類似路由器的實體設備,將防火牆程式寫入晶片中,由硬體執行防火牆的功能。硬體防火牆非常適合企業使用,而且比軟體防火牆更穩定。這種設備會在傳輸流量時檢查封包,也具有內容過濾、入侵偵測與防護等功能。不過,高成本是硬體防火牆的缺點,一般個人用戶可能無法花費高昂成本建置硬體防火牆。

  3. 雲端防火牆

    雲端防火牆使用雲端伺服器,不需在本地端建置防火牆,通常會將其設定為代理伺服器(有時會稱為代理防火牆)。雲端防火牆的管理非常有彈性,可以根據實際需求隨時增減流量負荷,在管理上要比其他類型的防火牆更加容易。

防火牆的依過濾類型

  1. 封包過濾防火牆

    這種防火牆會檢查封包標頭的接收端和發送端IP位址、封包類型、埠號和其他網路資訊,並允許符合規則的封包通過,但不會檢查封包內的資料內容。

  2. 電路閘道器(Circuit Level gateway)

    電路閘道器非常單純,這種設備不需要大量的運算能力和資源。與封包過濾防火牆一樣,閘道器不會檢查封包內的資料內容,只檢查封包來源。為了讓封包通過,電路閘道器會檢查封包是否為 TCP 握手認可的合法來源,不過這種作法無法保證安全性,因為即使封包來源是安全的,惡意程式仍可能隱藏在封包中。

  3. 狀態檢視防火牆(Stateful inspection firewall)

    狀態檢查防火牆同時具有封包過濾防火牆和電路閘道器的作用。這種防火牆經由過濾封包和檢查封包來源,並持續追蹤穿過防火牆的各種連線的狀態,來確保網路安全。但因為狀態檢查防火牆執行較多的處理,因此效能比封包過濾防火牆較差。

  4. 應用層防火牆

    應用層防火牆也稱為代理防火牆,這種防火牆在應用層運作,會檢查內部網路和流量來源之間的流量。它先經由代理伺服器傳遞流量,並檢查傳入的流量,然後才允許流量進入內部網路中。

    應用層防火牆有點類似狀態檢查,會同時檢查封包和 TCP 握手。兩者之間的主要差異是,狀態檢查防火牆只會檢查封包來源,應用層防火牆則會檢查封包內容,並進行深度封包檢查(DPI)。

    應用層防火牆還能將內部網路與流量來源分離,為網路提供一層匿名性和額外的保護。不過檢查封包需要花費較多的時間,因此可能會造成連線速度變慢。

  5. 次世代防火牆

    這種新型防火牆除了傳統防火牆功能之外,還加入許多的新技術。不過關於次世代防火牆應該包含哪些新技術,業界目前仍沒有太多的共識。一般來說,這些新技術包括深度封包檢查(DPI)、TCP 握手檢查、表層封包檢查、加密流量檢查、病毒檢測、入侵預防系統(IPS)等。

結論

防火牆為組織單位建立一套防禦系統,有效阻擋來自網際網路的惡意攻擊,也能落實組織規範的安全政策。不同的防火牆類型提供不同的功能與防禦方式,也具備不同的安全性、效率與成本。整體而言,防火牆是保護組織單位網路最有效的方法。

使用 NordVPN,保護您的網上隱私和安全性。