防火牆介紹
防火牆的功能 防火牆會直接使用TCP/IP上的封包進行過濾分析,例如: IP來源 Port號碼 通訊協定 如TCP、UDP等。
防火牆的功能 防火牆管不到繞過它的連線 防火牆無法管控合法進入的惡意程式 Layer 4以上,例如:防毒軟體、防毒牆。 防火牆無法防範病毒
防火牆的種類 由於經過防火牆的資料量相當龐大,防火牆除了可以利用軟體的方式來實現外,現今亦有許多硬體防火牆,透過硬體的實現來提高處理的速度及效能。 以軟、硬體區分 以功能區隔
以軟、硬體區分 防火牆它可以做成硬體網路設備,放置網際網路出入連結點(亦稱為閘道),管制網路連線、保護內部網路與電腦。也有安裝在個人電腦的防火牆軟體,可以保護電腦、限制不當連線、防範非法入侵。 一般而言按照軟、硬體的架構,防火牆分為硬體、軟體兩種。
以軟、硬體區分 硬體防火牆通常速度與效率較佳,因為其使用的防火牆系統經過客制化,像是:Embedded System搭配上DOM(Disk on Module)、Flash等等;而Netscreen的Screen OS、Cisco的PIX OS都是用廠商專屬開發的防火牆OS,再搭配特別的硬體晶片,因為是專屬客制化的產品,一般而言效能比軟體式的防火牆好,適合運用在多人環境中(例如:企業、公司行號)效率較高。 軟體防火牆通常是在電腦主機上安裝防火牆軟體,所以除了防火牆的功能外,也可提供其他服務。例如:防毒軟體。
以功能區隔 依照過濾OSI(Open System Interconnection;開放系統互連)七層架構中的不同Layer來區分,防火牆功能如下: 傳統型防火牆(Layer 3-Layer 4): 針對OSI七層中的Layer 3(IP)、Layer 4(TCP/UDP),進行封包過濾,這就是市面上比較常見的防火牆,大都是針對來源IP、目的地IP、TCP、UDP、ICMP與Dst Port進行過濾,像是家中的IP分享器都具有這樣的功能, 硬體防火牆也可達到類似功能,像是UTM這類設備,但大家要有一個觀念,當一台設備跑各種功能時,其效能必然受到影響,正所謂18般武藝樣樣通、樣樣鬆,在大企業環境中,都是以多台各種不同功能設備,共同建構出資安環境,像是:專門檢測病毒的防毒牆、專門檢查封包的防火牆。
以功能區隔 Layer 4以上等級防火牆: 可針對OSI七層中的Layer 4等級以上,進行應用程式、連線方式進行過濾,譬如:可阻擋MSN、阻擋Skype等等應用程式,並不是針對Port、Protocol等過濾,而是根據應用程式的封包特徵、連線行為特徵進行比對、過濾。 MSN、Skype,除有標準的使用Port外,會自行變更port進行連結,例如使用HTTP 80 port進行連結,因此傳統型防火牆會有擋不住的情形發生,改成這樣不能上網恐怕很不方便!