今天就根據IPAS的命題內容-防火牆之基本觀念，就來研究防火牆的相關知識

防火牆

防火牆位於兩個或以上網路間，實行網路間存取或控制的硬體或軟體，並且制定一些有順序的規則，管制進入到網域內的主機資料封包的一種機制

網路層防火牆 (封包過濾型)

一種IP封包過濾器，預先設定好封包通過的規則或採用內建規則，只允許符合規則的封包通過。

過濾規則項目

• 來源IP位址
• 來源埠號
• 目的IP位址址埠號
• 服務類型(如HTTP或是FTP)
• 通訊協定、TTL 值、來源的網域名稱或網段...等屬性

應用層防火牆

全程持續監測監控封包連線，檢查行為本身是否合乎常態

過濾機制

• 特徵碼比對
• 協定異常
• 行為異常

下一代防火牆、次世代防火牆(Next-Generation Firewall，NGFW)

• 入侵防禦系統 (IPS)
• 深度封包檢測 (DPI)
• Web應用防火牆 (WAF)

代理服務

針對每一種應用服務程式，做代理伺服的工作

好處

• 可確保資料的完整性
• 可針對內容過濾
• 可進行存取控制

防火牆優缺點

優點

• 增強安全性
• 設定安全邊界，免受有害的傳入流量的影響
• 過濾有害的傳出流量

缺點

• 如果遇到大量，造成網路交通的瓶頸
• 無法過濾內部攻擊
• 防火牆無法有效阻擋病毒攻擊

DMZ (Demilitarized Zone，非軍事區)

DMZ部屬在兩個防火牆之間，架設在不信任的外部網路和可信任的內部網路之間，稱為DMZ區

圖片來源：DMZ in networking

好處

防止外部入侵的攻擊，保護內部網路，可在內部網路與DMZ之間的防火牆限制方向性，只允許內部到DMZ之間的流量

參考資料

• 防火牆
• 鳥哥的私房菜-第九章、防火牆與 NAT 伺服器
• 防火牆
• 防火牆的分類
• 網路防禦新架構—應用層防火牆
• Day 26 牆外有牆 : 防火牆之外還要WAF 網頁應用系統防火牆
• DMZ
• DMZ in networking

後記

如果有任何錯誤的地方歡迎提出。

可以觀看我們團隊的鐵人發文喔~

• 打造你的主題地圖！Mapbox 也可以！(ft. React)
• 新手進化日記，從React至Redux Saga