计算机网路期末报告-防火墙介绍班级网通三甲姓名陈律嘉学号.doc

計算機網路期末報告-防火牆介紹 班級：網通三甲 姓名：陳律嘉 學號授課老師：林瑞源 §前言： 隨著科技越來越發達，我們所使用之網路快速發展著實為人們帶來了許多新的契機—由於它的便捷與無遠弗屆，使得在片刻的傳輸之間，全球的訊息脈動與人們的智慧與便得以交流通達。但是，網路架構是屬於開放性的，開放的性質使得網路架構是一個極不安全的使用環境，任何在網路中連線的主機都有可能遭受到非法者的入侵。近幾年來，駭客入侵組織內部網路的事件層出不窮，手法也不斷地翻新，即使安全把關極嚴密的地方，仍會有安全上面的漏洞出現。因此，如何在享受到網路快速與便利的同時，也能夠保護主機與資料不被竄改、竊取與破壞，這將是網路的使用者與管理者最希望達到的目標。 隨著網路安全的課題日益受到重視，各種網路安全防護機制也開始發展。其中，較早成熟、較早產品化、目前也被應用得十分普遍的的網路安全工具便是網路防火牆(Network Firewall)。透過本篇文章將介紹網路防火牆的意義、建構技術、應用配置、特性與功能等各方面的應用及簡介。 §網路防火牆的意義： 防火牆原來是車上的一個設備術語，為介於駕駛面板與引擎室之間的擋板，用以隔離引擎和乘客，萬一引擎爆炸時可以阻止火勢的蔓延，發揮保護乘客的功能。(註1)而網路上所謂的防火牆則是一套能夠在兩個或兩個以上的網路之間，明顯區隔出一條界線的電腦軟硬體裝置的組合。理論上，當網路間有安全上的考量時即可裝設防火牆，但一般來說，防火牆是一個定位用來分隔兩個不同網路的網路安全裝置，通常是介於企業機構的內部、受信任的網路和網際網路。讓合法的使用者，可正常的取得公開於網路上的資料；防止非法的使用者，蓄意破壞、商業性破壞及保護公開與尚未公開的資料等。簡而言之，防火牆大多架設於網際網路與組織內部網路之間，成為內部受信任的網路與外部不受信任的網路之間的區隔通口。 網際網路防火牆可以是一套軟體或硬體，可協助阻擋試圖透過網際網路進入主機端的駭客、病毒和電腦蟲。防火牆是最重要的第一道防線。網路防火牆的可以區隔不同安全等級的網路，並提供各個網路間的控管功能。防火牆是一個雙向的安全管理機制，不僅能防止外界的入侵，也可以限制內部主機對外的通訊。較具體的來說，它只允許一些特定的資料通過，不論是從外面進入內部網路亦或是內部網路傳輸到外界的資料，都必須經過防火牆的確認手續才能放行，而這些確認手續是由一些事先設定的安全規則和政策來完成的，而防火牆管理人員也應能可視風險程度對於安全控制的程度作彈性調適。(註2)值得注意的是，防火牆必須是兩個網路間唯一的通口。倘若網路中尚存在著其它未受保護的通口(例如內部用戶擅自加裝的數據機撥接點)，則入侵者也可能擇門而入，如此防火牆將形同虛設。（註3） §為何企業需要防火牆？ 全球的企業藉由透過網際網路和網際網路的技術來獲取新的和有利的企業關係，並藉由網際網路，來傅送所需資料與最新的訊息。防火牆協助企業平衡開放的網際網路與保護私密性和敏感企業通訊完整性的需要。在連接上網際網路時，伺服器在沒有受到防火牆的防護下，駭客就有可能取得於伺服器上資料的存取權。並可能在電腦上安裝其想安裝的程式碼，藉以毀損檔案或造成伺服器功能發生問題。也可以利用伺服器，為其他連上網際網路的伺服器或電腦產生問題。防火牆可在多種惡意攻擊行為於網際網路傳輸到達系統前及造成系統出現問題前，協助阻擋其進入伺服器，並對網路管理者做到立刻的通知，產生有效的警示。防火牆也能有助於防範他人，在不知情的情況下使用電腦攻擊其他人的伺服器與電腦。 §網路防火牆的基本技術 ??????? 目前網路防火牆的設置技術，可分為封包過濾、應用層閘道以及電路層閘道三種基本型態，分別介紹如下： 一、封包過濾式防火牆 (Packet Filter) ??????? 封包過濾是最早被用來作為網路防火牆的技術，是在OSI七層架構中第三層以下的網路中運作。封包過濾器的功能主要是檢查過往的每一個IP資料封包，如果其表頭中所含的資料內容符合事先設定的可信賴安全標準就放行通過，反之則阻檔在門外，如圖一所示。(註4)最簡單、也最常見的的封包過濾器就是路由器(Router)，它平日的主要工作是按址轉送過往的資料封包，它們大多具有有某種內建的功能，可限制某些來源點或目的地的封包流通，並在路徑轉換表中設定誰可以通過，誰不能通過。不過，用來作為防火牆的路由器必須執行比一般路由器的過濾更複雜的分析工作，如檢查提供服務要求的埠口(port)來源，因此通常使用高階路由器。而除了在路由器上採用之外，也有一些是以電腦主機為主的封包過濾式防火牆軟體。採用此型態的防火牆時，需要先設定一些組態參數，如交通的流向、進出網路的資訊、交通的出發地址和目的地址的介面、起訖點的IP位址和TCP或UDP的埠口位址、TCP的狀態資料等等。