静态过滤型防火墙-云科大计算机网路研究室.PPT

參考資料 網路安全與管理，作者：伍麗樵、陳世仁。 Linux系統安全與防火牆，作者：酆士昌。 Linux iptables技術實務，作者：施威銘研究室作。 防火牆完全指南，作者：Marcus Goncalves著/劉良棟,錢盈秀，吳曜呈譯。 Cisco (/) 。 / 。 / 。 /Security/Faq / 。 * 第六章 架設防火牆監控與管理網路封包 架設防火牆監控與管理網路封包 國立雲林科技大學 自由軟體研發中心 國立雲林科技大學 自由軟體研發中心 第六章 架設防火牆監控與管理網路封包 教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第六章 架設防火牆監控與管理網路封包 * 前言 保衛企業網路安全，不可缺少的成員—防火牆。 在字典上”防火牆”被解釋為可阻止火勢漫延的耐火牆，在網際網路上防火牆被定義為可遏止網路駭客任意入侵電腦系統的網路裝置。防火牆藉著過濾掉某些不可靠的資料封包來增加企業網路的安全性。 本章先簡述防火牆的觀念及基本型態分類，接著介紹封包過濾技術，最後分別說明在不同的網路裝置(如交換器、防火牆、路由器等)如何設定過濾政策，以執行保衛企業網路安全的工作。 6.1 Firewall Technology 6.2 Filtering Technology 6.3 Configure Filtering on a Switch 6.4 Configure Filtering on a Firewall 6.5 Configure Filtering on a Router * 6.1 Firewall Technology 防火牆(Firewall) Firewall一詞原是用來阻隔火災蔓延的那一道界線；在網路上的解釋，防火牆可以阻隔在網路上一些不安全或是有危脅性的連線/資料封包。 防火牆是安裝在兩個網路之間的一網路裝置，用來過濾某些不可靠的資料封包、阻止網路駭客(Hacker)的入侵，並提供稽核及控制存取網路資源等服務。防火牆可以是一單純軟體、單純硬體或軟硬體結合的網路裝置，左圖顯示系統架設防火牆之後將網路一分為二: 內部網路（Internal Network）: 可信任的網路，如受保護的公司或企業網路。 外部網路（External Network）: 不可信任的網路，如開放式的網際網路。 管理者架設好防火牆之後，在正常情況下所有的封包(無論封包是從外部網路要進到內部網路，或是從內部網路要到外部網路)都應先經過防火牆的檢查，確認封 包的安全性後，再予以放行，以防止內部網路受到攻擊。 防火牆的基本功能 正常情況下，所有的封包由防火牆進出，方便管理者對企業網路安全做集中式的管理。 過濾企業安全政策所禁止的網路服務。 內部網路(或系統內)有些資料需要高度安全的防護，當有外部連線存取高防護性資料時，防火牆可以加以記錄，必要時警告管理者可能有入侵的行為發生。 功能較強的防火牆甚至可以記錄所有進出的封包並且加以分析，以便及時警告管理者所有可能的入侵行為：除此之外，並能提供相關的統計資料，供日後稽核、追蹤之用。 Internet 防火牆 內部網路 第六章 架設防火牆監控與管理網路封包 防火牆架構 * 6.1 Firewall Technology 防火牆的型態分類 理論上防火牆的型態可以分為過濾型防火牆及代理型防火牆，目前市面上的防火牆大多混合這兩種基本型態。 靜態過濾型防火牆 此類的防火牆是屬於網路層的防火牆，它會針對封包的標頭加以檢查，藉以過濾掉非法的封包；通常此類的防火牆會檢查每個封包標頭內的四項欄位： 來源端的IP位址(Source IP Address) 目的端的IP位址(Destination IP Address) 來源端的TCP/UDP埠(Source TCP/IP Port) 目的端的TCP/UDP埠(Destination TCP/IP Port) 此類防火牆在管理者制定封包過濾規則之後，利用上述的四項欄位來判別封包的審查是否可以通過。 Internet 防火牆 內部網路 當Internet傳送封包到內部網路，防火牆會檢查此封包的標頭欄位是從哪裡來的、要去哪裡、要做些什麼事情；同時會去檢查此封包是否符合管理者所制定的過濾規則，根據規則讓封包通過或丟棄封包。 封包 第六章 架設防火牆監控與管理網路封包 * 6.1 Firewall Technology 代理型防火牆 代理型防火牆是屬於應用層的防火牆。在網路上有各式各樣的應用服務，我們稱提供服務的主機為伺服端(server)，而要求服務的主機為顧客端(client)；當系統安裝了代理型防火牆(就如同你請了一位代理經紀人幫你處理所有對外的事務)，它將負責處理及轉送網路上所提供的應用服務。