沒關係我們有防火牆！

Firewall

說個笑話：火災襲來！老闆：不是有防火牆嗎？
https://star.ettoday.net/news/167670#ixzz5W58ClvVr

3 種架構

• Multi-Home (Dual-Home)
  俗稱的兩隻腳，一隻在內部，一隻在外部

• Screened Host

• Screened Subnet (DMZ)
  設置在兩個防火牆中間，最安全的架構

6 種類別

• Lv3：Packet Filter
  查看來源與目的Address、Port、Service
  使用ACL監控

• Lv3：Stateful
  使用State Table (TCP)追蹤連線的狀態

• Lv3：Dynamic Packet Filter
  允許任何類型的流量出去，只有回應流量入站

• Lv5：Circuit Level Proxy
  不監視每個協定，處理快

• Lv7：Applcation Level Proxy
  監視每個協定，提供更高的安全，速度較慢
  應用層防火牆(Application Gateway)，也稱為應用程式Gateway或代理防火牆。
  這些防火牆正在過濾OSI層的第3,4,5和7層的流量。

• Lv7：Kernel Proxy
  比 Applcation Level Proxy快，旨在檢查和處理核心中的內容

• ALL：Next Generation Firewall(NGFW)
  非常快速和支援高頻寬，內建IPS 能夠連接到 Active Directory等外部服務

必要設定

• 沒有明確的允許，就應該 DENY

話說，如果今天老闆有錢，讓你買網路設備，那你會…？
(A) 全部買同一個廠牌
(B) 分散買不同的廠牌

FIREWALL GENERATIONS

• Packet Filtering Firewall - First Generation Screening Router

• Application Level Firewall - Second Generation Proxy Server

• Stateful Inspection Firewalls – Third Generation

• Dynamic Packet Filtering Firewalls – Fourth Generation

• Kernel Proxy – Fifth Generation