在學習了許多駭客的攻擊技術之後，我們也不能忽略防禦的部分。對於一個駭客來說，了解如何突破防禦系統之前，至少要先理解防禦機制。今天，我們來介紹網絡安全防禦中最常見且最重要的工具之一：防火牆。

防火牆(FireWall)

FW 定義

防火牆是一種安全機制，用來隔離兩個安全信任度不同的網路，並控制流量的進出。防火牆可以是硬體設備，也可以是軟體應用，他的主要目的是根據預先設定好的規則，檢查進出網絡的數據包，並根據這些規則決定是否允許這些封包通過。

簡單來說，防火牆就像是網絡的守衛，它會根據設定的安全性政策來檢查每個進入或離開網絡的封包，並決定該封包是否安全。

為何需要防火牆?

1. 需要一個集中落實安全性政策的機制。
2. 需要集中的稽核記錄所有進出的流量， 以利事後的安全性查核與分析。

FW 類型

• 封包過濾防火牆 (Packet-filtering Firewall)
  會根據封包的來源 IP 、目標 IP 、端口號和協議來進行過濾。這種防火牆可以快速過濾大部分流量，但對於複雜的攻擊方式可能無法有效防禦，因為它無法深入檢查封包的內容。

• 狀態檢視防火牆 (stateful Inspection Firewall)
  能夠檢查封包的狀態信息，例如檢查 TCP 連接的狀態（已建立、正在進行、已關閉等）。這種防火牆可以跟踪連接的整個過程，而不是僅僅基於單個封包的特徵來決定是否允許通過。

• 代理防火牆 (Proxy)
  代理防火牆通過在客戶端和服務器之間建立一個中間代理來過濾流量。

  • 電路閘道器(Circuit Level gateway)
    這種防火牆在 TCP 或 UDP 連接層工作，它會監視連接的建立過程，並決定是否允許這些連接。
  • 應用程式閘道器 (application-level gateway)
    這類防火牆能夠檢查特定應用層的數據，如 HTTP、FTP 等，從而提供更精細的控制。

• 混合型防火牆(Hybrid Firewall)
  結合了以上各類防火牆的功能，能夠同時提供封包過濾、狀態檢視和應用層過濾的能力，從而提供更全面的安全防護。

防火牆的缺點

1. 無法防範內部威脅
   防火牆主要針對外部威脅，對於來自內部的攻擊（例如員工的惡意行為）防禦力有限。
2. 無法防範零日攻擊
   如果防火牆的規則或簽名庫未更新，對於未知的零日漏洞，防火牆可能無法阻擋。
3. 不能檢查加密流量
   傳統防火牆無法檢查 HTTPS 加密的流量，使惡意流量可能會隱藏在加密連接中。

駭客如何破壞或繞過防火牆

1. 社交工程
   駭客可以不直接攻擊防火牆，而是利用員工來打開後門，例如通過釣魚攻擊讓員工自己下載惡意軟件。
2. 內部攻擊
   駭客可已利用已經入侵內部設備，這樣他們可以從內部發起攻擊，繞過防火牆的外部保護。
3. 加密隧道
   駭客可以利用 VPN、SSH 或其他加密隧道將惡意流量隱藏在合法加密流量中，讓防火牆無法識別。