0. 前言
今天我們進入一個住宅社區,只有正門或側門可以進入,而這些門又需要磁扣才能開啟。此時,整個社區的圍牆就是一道長城,兩扇大門是通訊埠中 25565 道磚牆中開出的 2 個開口,而透過磁扣確認是合法訪客。
防火牆的概念便是如此,經過特定出入口與身分識別,決定是否開門放行。接著讓我們來看看,這個警衛室能夠有哪些設置吧!
1. 重點
2. 內容
2.1. 類型區分
常見生活中的防火牆是軟體服務,而更專業的也有硬體機台接上路由器。我們在系列第肆篇時,有稍微提到過其功用主要用來區隔網路,並阻擋來自外面的流量。看似十分簡單的機制,但透過作用的 TCP/IP 分層 區分,根據其功能能分為以下種類。
-網路層
檢查網路封包的資訊,分析網路位置以及通訊協議相關的種種檢查,確認指定來源,並根據預設規則允許數據進行通訊。
-應用層
深入應用層數據,檢查通信內容。這種方式可以幫忙檢查惡意內容,但需要龐大的資料,所以其實很少應用,而是交由防毒軟體公司承擔此項工作。
以前科技還不發達的年代,很多人犯重罪都趕往機場緊急出國,搶在通緝資料傳到機場海關,防止被海關攔下擁有被追緝。
而應用層防火牆與防毒軟體同理,若是無法及時的更新資料進行比對,勢必會有擦肩而過的可能,但這項工作十分耗費成本,因此委外處理更加合適。
-混合型
名稱上很理所當然的同時擁有上面兩種屬性,像是筆者所使用的 Kaspersky 防毒軟體就會控制電腦的防火牆幫忙這塊。
2.2. 規則設定 Rules
-存取規則
經由用戶設定的特殊規則,允許或阻擋特定連線。
-隱式拒絕
未被用戶設定的所有事物一律阻擋。
-優先順序
規則之間具有優先順序,錯誤的排列有可能導致衝突或失效。
另外像是 Windows 內建的防火牆服務,能夠發現分有 Inbound 與 Outbound,用來區分向內以及向外的規則。額外說下,未來如果有用自己電腦架設伺服器,千萬記得可以調整規則,而不要直接關閉防火牆喔~
接著讓我們來些案例,讓各位思考一下,可行或不可行。不用太在意是否知道網路的標示法或者通訊埠對應的協議,只要想像流量進出即可。
測驗一
今天我們組內製作了一個網站,準備將其架設在公共網路上,讓競賽當天的參觀者試玩。
測驗二
組織高層希望內部可以連上網路,但外部人員不能連線進到公司。
2.3. 非軍事區 DMZ
世界上最知名的非軍事區,莫過於南北韓間的板門店,兩國之間有要事時就在中間會見,不會進入各自的領土。而資訊世界中我們引入這套模式,避免用戶直接進入到組織內部網路。此時,額外設置一個外部系統作為接待區,而只允許這個特定機台溝通內部資源。前述是個對內部資源的防火牆,但還能搭建對外的防線,從單線變成雙線防火牆,當然該情況需要兩張網卡分別設置規則。
這種架設方式最顯著的案例,在於假若外面有人發動 DDoS 攻擊,若直接針對組織的內部網路,可能導致整間辦公室都無法正常上網,而不僅僅網站主機受到影響。
3. 後話
防火牆是現代十分普及的第一防線,而建立在其基礎上正努力發展 次世代防火牆 (NGFW) 結合檢測系統擴展保護強度。畢竟傳統的防火牆已不足以應對所有挑戰,尤其可能繞過牆體的 通道網路 (Tunneling),還有只能阻隔外部的弱點。
而在下次的篇章中,將探討使用通道的 虛擬私人網路 (VPN) 其運作原理與資訊安全的關聯。
4. 延伸
[1] What is Next-Gen Firewall — Cloudflare
https://www.cloudflare.com/en-gb/learning/security/what-is-next-generation-firewall-ngfw/
[2] What is Tunneling — Cloudflare
https://www.cloudflare.com/en-gb/learning/network-layer/what-is-tunneling/