系统安全概念

防火墙

防火墙 (firewall) 是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑中，防火墙用来分隔内部网路与外部网路(一般就指网际网路)，可使个别网路不受公共部分整个网际网路的影响，可视为一种保护作用，使得内部机器不被外界透过网路任意连接使用。

FIREWALL 示意图

防火墙大致可分为三类 : 封包过滤(packet filitering)、应用层闸道(application gateways)、电路式闸道(circuit gateways)。这三种方法并不互斥，许多人都选择同时用。

封包过滤 (Packet Filitering)

是路由器和防火墙的功能之一，是最便宜，而且蛮有效的方法。

内部对外沟通是透过路由器 (router) 传递封包，利用管理员所指定的规则来判断是否允许封包传递通过防火墙。这些规则是针对每个封包的协定标头 (head) 中所提供的资讯加以查核，查核的资讯如下∶

n IP 来源与目的地位址
n 封装的协定
n 来源与目的地连接埠
n ICMP 讯息类型
n 内传与外送介面

采用上述规则的任意组合，就可以指定允许哪些封包经过防火墙。例如您可以指定 Internet 上有哪些电脑的 IP 位址能够使用 Telnet 协定来和区域网路上的特定电脑通讯。

服务相依型过滤 (Service-Dependent Filtering)
允许某些 IP 位址的远端使用者利用 Telnet 进入网路系统，其他人则全部拒绝存取，是为了控制特定服务的流量而设计的。

服务无关型过滤 (Service-Independent Filtering)
可阻挡与服务无关的特定入侵类型。举例来说，骇客可能伪装成来自内部 IP 的封包来存取私人网路上的电脑。虽然封包中含有内部系统的 IP 位址，封包通过连接 Internet 的介面後却抵达路由器。设定完善的过滤方式可以把内部系统的 IP 位址和内部网路的介面关联起来，因此能够侦测到来自 Internet 上具有这些来源 IP 位址的封包并予以丢弃。

应用层闸道 (Application Gateways)

应用层闸道也称为Proxy 伺服器或碉堡主机 (Bastion Host)，是属防火墙里极端的设计。它并不使用原本通用的传递资料方式，而是特别设计过。看起来似乎是多此一举，但比其它方法都 有用。一点也不用担心外面环境如何(使用系统是否有千疮百孔)，因为它是独立存在。正由於它的复杂，它所提供的安全性比封包过滤更高但只能控制特定应用程式的存取。 应用层闸道本上是用户端和伺服器之间特定服务的中介者。封包过滤可以阻断用户端与伺服器之间关於该服务的直接通讯；流量全部改为送到应用层闸道伺服器。目前最常用的是 Web 上的 Proxy 伺服器。

应用层闸道另一个优点是纵使在十分危险的环境，它依然可以记录所有进、出系统的资料。是对抗电脑骇客十分有用的武器。

电路式闸道 (Circuit-Level Gateway)

电路式闸道用来传递 TCP 连接，通常是应用层闸道产品所提供的功能，当要连接内部网路某台电脑，必须透过电路式闸道，不是直接传 递封包。这样的设计是必须修改使用者目前所使用的程式才能适用这环境。

闸道在私人网路的内送介面和 Internet 介面之间建立一个管道，让用户端系统得以透过防火墙来传送流量。闸道伺服器仍然会把用户端系统的 IP 位址置换成自己的位址，所以 Internet 使用者无法存取内部系统。

电路式闸道