搜尋此網誌

2013年6月28日 星期五

有人說:「沒有防火牆就沒有Intranet。」這句話絕對不會言過其實,當一個企業 要開放Internet給企業的員工,並且在企業內部建置Intranet以後,如果沒有一個防 火牆系統放在Internet和Intranet之間的話,企業的內部網路和電腦系統,就等於是 直接開放給全世界。 在世界各地的電腦駭客,不論何時都可以進入到企業內部的電腦之中,為所欲為 ,那還得了?倒底防火牆是用什麼神秘的方法來將在企業外面Internet上的駭客阻 擋在牆外?它又如何能應付各種不同的入侵技倆呢? 雖然不同的防火牆採用不同的技術去實現保全的工作,但綜歸起來它無非是一些 電腦軟體和硬體的組合,只可以讓一些特定的資料從防火牆的一端到另一端。它 通常是企業內部網路和外界Internet之間的唯一通道,例如將它放置在企業網路和 Internet服務提供者(ISP)的路由器之間,讓企業所有到外界的資料,或是從外面 Internet進入企業網路的資料,都經過防火牆的確認手續,才能放行。防火牆所作 的確認手續,是由一些事先設定的安全規則和政策來完成的,最普遍採用的兩種 確認交通的方式是資料封包過濾和應用程式層的過濾方式,其他還有一些新式的 過濾方法,諸如電路層過濾式防火牆和代理式防火牆等。 一、資料封包過濾防火牆:資料封包過濾式(Packet Filter)的防火牆將過往的資料 封包(packet)仔細地檢查確認,以阻擋不該進出防火牆的交通。最簡單的一種資料 封包過濾型式就是路由器(router)。在路由器之中的路徑轉換表就可以設定誰可以 通過,而誰不准通過。當這種管道建立起來之後 ,其他程式應用如果是採用相同的埠口,防火牆會以為它是FTP檔案傳輸的資料 ,照樣放行,因而造成了一個安全上的漏洞。在電腦網路 上的一些駭客,甚至開發了一些繞過資料封包過濾的技倆,最有名的是利用「扮 豬吃老虎」的方式,用一個假的IP位址就可以將防火牆騙得團團轉。目前大部分 資料封包過濾式防火牆都在這方式下了一番功夫,不讓歹徒可以輕易地闖入,但 是電腦網路專家們也都認為,只用封包過濾式防火牆這單一的方法是無法保衛企 業網路的安全的。 二、應用程式層過濾式的防火牆:應用程式層過濾式(Application Filter)的防火牆 是屬於代理閘通道的方式,它利用專門性的程式來做一些Internet上的程式應用的 佣介者,使其成為閘通道(Gateway)而將企業的網路和外界的Internet隔開。它檢查 OSI模式的最高層的資料,驗可後才將內外網路連接起來。由於這種型式的防火 牆作用在OSI模式的最高一層,因此它可以瞭解所有過往資料的通訊協定,並且 可以加上各種特定的安全功能,應該是一種比較安全的防火牆型式,不過它也有 一些缺憾: 【】 三、電路層過濾式防火牆:電路層過濾式(Circuit-level Filter)的防火牆是介乎上述 資料封包過濾式和應用程式層過濾式之間的防火牆型式,它把應用程式閘通道變 成一個更廣泛的型態,它也是依據一些規則來設定出入的管制,但是它作用於比 較低的層次,因此不必專門為每一個應用程式來特別設定組態。 此外,最近有一種新型的過濾技術檢查動態的資料封包狀態(state),這種名為狀 態檢驗(statefull inspection)的技術在查驗高層通訊協定的同時,順便將過往交通的 狀態記錄下來。由於有了狀態的記錄,防火牆系統可以分辨出哪些是從企業外發 出的通訊服務要求,而哪些是回應企業內發出通訊服務的返回資料。

有人說:「沒有防火牆就沒有Intranet。」這句話絕對不會言過其實,當一個企業 要開放Internet給企業的員工,並且在企業內部建置Intranet以後,如果沒有一個防 火牆系統放在Internet和Intranet之間的話,企業的內部網路和電腦系統,就等於是 直接開放給全世界。 在世界各地的電腦駭客,不論何時都可以進入到企業內部的電腦之中,為所欲為 ,那還得了?倒底防火牆是用什麼神秘的方法來將在企業外面Internet上的駭客阻 擋在牆外?它又如何能應付各種不同的入侵技倆呢? 雖然不同的防火牆採用不同的技術去實現保全的工作,但綜歸起來它無非是一些 電腦軟體和硬體的組合,只可以讓一些特定的資料從防火牆的一端到另一端。它 通常是企業內部網路和外界Internet之間的唯一通道,例如將它放置在企業網路和 Internet服務提供者(ISP)的路由器之間,讓企業所有到外界的資料,或是從外面 Internet進入企業網路的資料,都經過防火牆的確認手續,才能放行。防火牆所作 的確認手續,是由一些事先設定的安全規則和政策來完成的,最普遍採用的兩種 確認交通的方式是資料封包過濾和應用程式層的過濾方式,其他還有一些新式的 過濾方法,諸如電路層過濾式防火牆和代理式防火牆等。 一、資料封包過濾防火牆:資料封包過濾式(Packet Filter)的防火牆將過往的資料 封包(packet)仔細地檢查確認,以阻擋不該進出防火牆的交通。最簡單的一種資料 封包過濾型式就是路由器(router)。在路由器之中的路徑轉換表就可以設定誰可以 通過,而誰不准通過。當這種管道建立起來之後 ,其他程式應用如果是採用相同的埠口,防火牆會以為它是FTP檔案傳輸的資料 ,照樣放行,因而造成了一個安全上的漏洞。在電腦網路 上的一些駭客,甚至開發了一些繞過資料封包過濾的技倆,最有名的是利用「扮 豬吃老虎」的方式,用一個假的IP位址就可以將防火牆騙得團團轉。目前大部分 資料封包過濾式防火牆都在這方式下了一番功夫,不讓歹徒可以輕易地闖入,但 是電腦網路專家們也都認為,只用封包過濾式防火牆這單一的方法是無法保衛企 業網路的安全的。 二、應用程式層過濾式的防火牆:應用程式層過濾式(Application Filter)的防火牆 是屬於代理閘通道的方式,它利用專門性的程式來做一些Internet上的程式應用的 佣介者,使其成為閘通道(Gateway)而將企業的網路和外界的Internet隔開。它檢查 OSI模式的最高層的資料,驗可後才將內外網路連接起來。由於這種型式的防火 牆作用在OSI模式的最高一層,因此它可以瞭解所有過往資料的通訊協定,並且 可以加上各種特定的安全功能,應該是一種比較安全的防火牆型式,不過它也有 一些缺憾: 【】 三、電路層過濾式防火牆:電路層過濾式(Circuit-level Filter)的防火牆是介乎上述 資料封包過濾式和應用程式層過濾式之間的防火牆型式,它把應用程式閘通道變 成一個更廣泛的型態,它也是依據一些規則來設定出入的管制,但是它作用於比 較低的層次,因此不必專門為每一個應用程式來特別設定組態。 此外,最近有一種新型的過濾技術檢查動態的資料封包狀態(state),這種名為狀 態檢驗(statefull inspection)的技術在查驗高層通訊協定的同時,順便將過往交通的 狀態記錄下來。由於有了狀態的記錄,防火牆系統可以分辨出哪些是從企業外發 出的通訊服務要求,而哪些是回應企業內發出通訊服務的返回資料。

沒有留言:

張貼留言