0
防火墙 (网络)
防火墙隔开了信任区域
在电脑运算领域中,防火墙(英文:firewall)是一项协助确保资讯安全的装置,其会依照特定的规则,允许或是限制资料通过。防火墙可能是一台专属的硬件或是架设在一般硬件上的一套软件。
防火墙最基本的功能就是控制在电脑网络中,不同信任程度区域间传送的资料流。例如因特网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制资讯基本的任务在不同信任的区域。 典型信任的区域包括因特网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的执行和连通性模型之间根据最少特权原则。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【网络上芳邻】所使用的。如果电脑有使用【网络上芳邻】的【分享资料夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【分享资料夹】公开到Internet,供不特定的任何人有机会浏览目录内的档案。且早期版本的Windows有【网络上芳邻】系统溢位的无密码保护的漏洞(这里是指【分享资料夹】有设密码,但可经由此系统漏洞,达到无须密码便能浏览资料夹的需求)。
一个个人防火墙, 通常软件应用过滤资讯进入或留下一台电脑; 和: 一个传统防火墙, 通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。 这样防火墙过滤所有资讯进入或留下被连接的网络。 后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。 以下是两个主要类别防火墙: 网络层防火墙和 应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。
网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协定堆栈上。我们可以以列举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内建的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内建防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 位址、来源埠号、目的 IP 位址或埠号、服务类型(如 WWW 或是 FTP)。也能经由通讯协定、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的资料流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程式的快速蔓延。不过就实作而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
代理服务
代理服务设备(可能是一台专属的硬件,或只是普通机器上的一套软件)也能像应用程式一样回应输入封包(例如连线要求),同时封锁其他的封包,达到类似于防火墙的效果。
代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。 相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。 当对内部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。
防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”, 依照被定义在[RFC 1918] 。 管理员经常设定了这样情节在努力(无定论的有效率) 假装内部地址或网络。
防火墙的适当的配置要求技巧和智慧。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具。
