有人說：「沒有防火牆就沒有Intranet。」這句話絕對不會言過其實，當一個企業 要開放Internet給企業的員工，並且在企業內部建置Intranet以後，如果沒有一個防 火牆系統放在Internet和Intranet之間的話，企業的內部網路和電腦系統，就等於是 直接開放給全世界。 在世界各地的電腦駭客，不論何時都可以進入到企業內部的電腦之中，為所欲為 ，那還得了？倒底防火牆是用什麼神秘的方法來將在企業外面Internet上的駭客阻 擋在牆外？它又如何能應付各種不同的入侵技倆呢？ 雖然不同的防火牆採用不同的技術去實現保全的工作，但綜歸起來它無非是一些 電腦軟體和硬體的組合，只可以讓一些特定的資料從防火牆的一端到另一端。它 通常是企業內部網路和外界Internet之間的唯一通道，例如將它放置在企業網路和 Internet服務提供者(ISP)的路由器之間，讓企業所有到外界的資料，或是從外面 Internet進入企業網路的資料，都經過防火牆的確認手續，才能放行。防火牆所作 的確認手續，是由一些事先設定的安全規則和政策來完成的，最普遍採用的兩種 確認交通的方式是資料封包過濾和應用程式層的過濾方式，其他還有一些新式的 過濾方法，諸如電路層過濾式防火牆和代理式防火牆等。 一、資料封包過濾防火牆：資料封包過濾式(Packet Filter)的防火牆將過往的資料 封包(packet)仔細地檢查確認，以阻擋不該進出防火牆的交通。最簡單的一種資料 封包過濾型式就是路由器(router)。在路由器之中的路徑轉換表就可以設定誰可以 通過，而誰不准通過。當這種管道建立起來之後 ，其他程式應用如果是採用相同的埠口，防火牆會以為它是FTP檔案傳輸的資料 ，照樣放行，因而造成了一個安全上的漏洞。在電腦網路 上的一些駭客，甚至開發了一些繞過資料封包過濾的技倆，最有名的是利用「扮 豬吃老虎」的方式，用一個假的IP位址就可以將防火牆騙得團團轉。目前大部分 資料封包過濾式防火牆都在這方式下了一番功夫，不讓歹徒可以輕易地闖入，但 是電腦網路專家們也都認為，只用封包過濾式防火牆這單一的方法是無法保衛企 業網路的安全的。 二、應用程式層過濾式的防火牆：應用程式層過濾式(Application Filter)的防火牆 是屬於代理閘通道的方式，它利用專門性的程式來做一些Internet上的程式應用的 佣介者，使其成為閘通道(Gateway)而將企業的網路和外界的Internet隔開。它檢查 OSI模式的最高層的資料，驗可後才將內外網路連接起來。由於這種型式的防火 牆作用在OSI模式的最高一層，因此它可以瞭解所有過往資料的通訊協定，並且 可以加上各種特定的安全功能，應該是一種比較安全的防火牆型式，不過它也有 一些缺憾： 【】 三、電路層過濾式防火牆：電路層過濾式(Circuit-level Filter)的防火牆是介乎上述 資料封包過濾式和應用程式層過濾式之間的防火牆型式，它把應用程式閘通道變 成一個更廣泛的型態，它也是依據一些規則來設定出入的管制，但是它作用於比 較低的層次，因此不必專門為每一個應用程式來特別設定組態。 此外，最近有一種新型的過濾技術檢查動態的資料封包狀態(state)，這種名為狀 態檢驗(statefull inspection)的技術在查驗高層通訊協定的同時，順便將過往交通的 狀態記錄下來。由於有了狀態的記錄，防火牆系統可以分辨出哪些是從企業外發 出的通訊服務要求，而哪些是回應企業內發出通訊服務的返回資料。

有人說：「沒有防火牆就沒有Intranet。」這句話絕對不會言過其實，當一個企業 要開放Internet給企業的員工，並且在企業內部建置Intranet以後，如果沒有一個防 火牆系統放在Internet和Intranet之間的話，企業的內部網路和電腦系統，就等於是 直接開放給全世界。 在世界各地的電腦駭客，不論何時都可以進入到企業內部的電腦之中，為所欲為 ，那還得了？倒底防火牆是用什麼神秘的方法來將在企業外面Internet上的駭客阻 擋在牆外？它又如何能應付各種不同的入侵技倆呢？ 雖然不同的防火牆採用不同的技術去實現保全的工作，但綜歸起來它無非是一些 電腦軟體和硬體的組合，只可以讓一些特定的資料從防火牆的一端到另一端。它 通常是企業內部網路和外界Internet之間的唯一通道，例如將它放置在企業網路和 Internet服務提供者(ISP)的路由器之間，讓企業所有到外界的資料，或是從外面 Internet進入企業網路的資料，都經過防火牆的確認手續，才能放行。防火牆所作 的確認手續，是由一些事先設定的安全規則和政策來完成的，最普遍採用的兩種 確認交通的方式是資料封包過濾和應用程式層的過濾方式，其他還有一些新式的 過濾方法，諸如電路層過濾式防火牆和代理式防火牆等。 一、資料封包過濾防火牆：資料封包過濾式(Packet Filter)的防火牆將過往的資料 封包(packet)仔細地檢查確認，以阻擋不該進出防火牆的交通。最簡單的一種資料 封包過濾型式就是路由器(router)。在路由器之中的路徑轉換表就可以設定誰可以 通過，而誰不准通過。當這種管道建立起來之後 ，其他程式應用如果是採用相同的埠口，防火牆會以為它是FTP檔案傳輸的資料 ，照樣放行，因而造成了一個安全上的漏洞。在電腦網路 上的一些駭客，甚至開發了一些繞過資料封包過濾的技倆，最有名的是利用「扮 豬吃老虎」的方式，用一個假的IP位址就可以將防火牆騙得團團轉。目前大部分 資料封包過濾式防火牆都在這方式下了一番功夫，不讓歹徒可以輕易地闖入，但 是電腦網路專家們也都認為，只用封包過濾式防火牆這單一的方法是無法保衛企 業網路的安全的。 二、應用程式層過濾式的防火牆：應用程式層過濾式(Application Filter)的防火牆 是屬於代理閘通道的方式，它利用專門性的程式來做一些Internet上的程式應用的 佣介者，使其成為閘通道(Gateway)而將企業的網路和外界的Internet隔開。它檢查 OSI模式的最高層的資料，驗可後才將內外網路連接起來。由於這種型式的防火 牆作用在OSI模式的最高一層，因此它可以瞭解所有過往資料的通訊協定，並且 可以加上各種特定的安全功能，應該是一種比較安全的防火牆型式，不過它也有 一些缺憾： 【】 三、電路層過濾式防火牆：電路層過濾式(Circuit-level Filter)的防火牆是介乎上述 資料封包過濾式和應用程式層過濾式之間的防火牆型式，它把應用程式閘通道變 成一個更廣泛的型態，它也是依據一些規則來設定出入的管制，但是它作用於比 較低的層次，因此不必專門為每一個應用程式來特別設定組態。 此外，最近有一種新型的過濾技術檢查動態的資料封包狀態(state)，這種名為狀 態檢驗(statefull inspection)的技術在查驗高層通訊協定的同時，順便將過往交通的 狀態記錄下來。由於有了狀態的記錄，防火牆系統可以分辨出哪些是從企業外發 出的通訊服務要求，而哪些是回應企業內發出通訊服務的返回資料。