前言 🐒

昨天我們針對事件發生後資安人員會做什麼處理有了簡單的介紹，但我們都知道我們不可能 always 手動去分析去抓可疑的行為，因此一定需要自動化、完善的防護措施，所以我們介紹了什麽是防火牆（Firewall）、它的種類以及我們為何需要它。而今天我們就要接續這個主題，跟大家說明防火牆的功能、帶入生活小例子，以及使用的技術等等。廢話不多說，GOGOGO！

防火牆可以幹啥？ 🙈

昨天介紹完防火牆的各式種類，以及為什麼我們需要防火牆後，現在就來簡單介紹它的主要功能吧～ 😎

• 過濾網路封包（ACL-Fortinet 介紹 → 稍後也會介紹！）：根據設定的規則（source IP、dest IP、port、Protocol 等等）來限制封包的進出以控制流量
• 狀態檢查：追蹤連線的狀態，只允許合法的流量通過
• 代理服務（Forward Proxy）：代表客戶端向外部伺服器發送請求，隱藏內部客戶端的 IP 位址
• 入侵檢測和防禦（IDS/IPS）：IPS 是由 IDS 演變而來的，主要的差別在於部署方式和作用。 IPS 採取「內聯 (in-line)」部署，而 IDS 則是「離線」或在網路分流器上部署，IDS 僅用於監控，但無法進行任何防禦措施；IPS 則是「直接卡在流量路徑上」：它會即時檢查所有進出的流量，一旦發現攻擊，可以馬上封鎖或阻斷。用一句話簡單來說：IDS 是「警報器」，IPS 則是「保全人員」！

生活實例 ⚽️ 🏀 🏐

1. 短時間內嘗試訪問同一個網站太多次（爬蟲 / DDoS）

• 舉例：你短時間內大量刷新某個購票網站，或用爬蟲程式瘋狂抓資料。
• 防火墻類比：伺服器防火牆 WAF 偵測到「同一個 IP 發送異常高頻率的請求」，會：
  • 暫時封鎖你的 IP（例如 5 分鐘內禁止存取）
  • 或回應 CAPTCHA 驗證（確認你不是機器人）
  • 請你登入或身分驗證
  • 被列黑名單 💀（最慘！可能會永遠無法 access 除非自行告知系統管理員）

這就是 Rate Limiting（速率限制） 的應用，為了防止惡意攻擊（如DDoS攻擊、爬蟲、暴力破解）而有的防禦機制。

2. 銀行提款機

• 舉例：海綿寶寶 🧽 去 ATM 領錢，本來要領 5000 但不小心多輸入了兩個 0 變成 500000，因為提款機每日都會有提款上限，因此超出限額，導致提款失敗 ><。
• 防火牆類比：防火牆會根據流量和使用行為設限，避免有異常操作的行為。

3. 國外 IP 造訪台灣的內部服務

• 舉例：派大星想從比奇堡的 IP 位址 access 台北帝國大學的校務系統網站，但一直發現沒有辦法存取網站內容 @@
• 結果：由於地域不同而遭校務系統自動攔截，因為會被視為可疑、不明的第三方行為 → 非在設定 IP 位址內嘗試存取的駭客，會直接被防火牆擋掉。

Firewall 像大樓的門禁一樣，只有住戶和被允許的人才可以進入。網站的防火牆也會依照規則決定哪些流量可以進來，哪些要擋下。如果你在短時間內大量連線網站，防火牆就可能會把你當成可疑對象，暫時封鎖你的連線，這就像警衛會攔下短時間內多次嘗試進入大樓、或者行蹤可疑的陌生人一樣！👻

講完生活實例後，我要接著分享一下防火牆是如何設定規則，去決定到底誰可以進誰不行拉，而講到規則就要先說一下什麼是 ACL（Access Control List，存取控制清單）啦！

ACL（Access Control List）是什麼？

簡單來說，ACL 就是用來「定義誰（來源）、可以/不能對什麼（目的地）做什麼（動作）」的一個規則表！它會去比對封包的 packet header 和 ACL entries 以判斷是否可以通過。而通常 ACL 會被分為「Standard ACL 標準式」跟「Extended ACL 進階式」兩種，彼此在設定上的寫法以及針對的限制類型也會有些微的不同。

不同的產品與型號，設定的方式都略有差異，但大多大同小異，邏輯基本設定的方式都差不多。

• Standard ACL 標準型：

標準型 ACL 會將「 IP 封包的來源位址」與「ACL 中設定的位址」進行比較，以便控制流量

💻 範例程式：

access-list 1 deny host 192.168.10.1
access-list 1 permit any

→ 拒絕來自 192.168.10.1/32 的所有封包通過（可能是 R1 的乙太網路），但允許所有其他封包通過。

• Extended ACL 進階型：

進階型 ACL 會將「 IP 封包的來源和目的地位址」與「ACL 中設定的位址」進行比較，也可以額外根據來源與目的 IP、協定（如 TCP、UDP、ICMP）、埠號等多條件過濾。

💻 範例程式：

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 100 deny ip any any

→ 允許 192.168.1.0/24 去任意目的地的 TCP 80 埠（http），再來拒絕所有其他封包流量。

小筆記整理 🙊

• 防火牆規則其實就是一組 ACL，只是不同產品、不同層次（L3/L4/L7）的叫法不同。
• 防火牆規則可高度客製化，設計時應以「最小權限、預設拒絕」為原則。
• 「規則設定的邏輯就是 ACL」，只是現代防火牆做得更自動化、管理更方便（有圖形介面、多條件篩選、視覺化等）。
• 每次設定完成後，務必測試通訊，避免造成業務中斷！！！這個很重要 ‼️

結語 🐵

我們從 Log 到現在防火牆已經講到一個段落了，大家應該對其都有一定的基礎認識了！但還是要再小小叨擾一下，防火牆（Firewall）、Log 分別在資安中擔任的角色，讓大家更明確各自的定位：

防火牆：事前防禦（第一道防線！）

• 主動攔截：根據事先設定的規則，主動封鎖或允許流量。能有效阻擋多數已知型態的攻擊與未授權存取。
• 即時動作：防火牆動作是即時的，流量沒符合規則就會被擋下，無法進入內部網路。

Log：事後追蹤與證據（第二道保障！）

• 記錄所有事件：不論流量被擋下或放行，Log 都能留下完整紀錄。
• 事後分析：如果攻擊者繞過防火牆或內部有人異常操作，Log 可以協助事後還原事發經過、釐清責任，並根據分析結果修訂防火牆規則。

防火牆規則不是永遠完美，因此 Log 是補強和完善防禦的重要工具。有了 Log，資安人員才能不斷調整防火牆策略，或在事件發生後追查根本原因；而兩者合併，才能做到「預防為主、事後補強」的完整防護措施！！！

參考資料：

• Cisco IP ACL
• Fortinet: What's network ACL?
• Fortinet: IPS/IDS?
• 鳥哥 iptables 機制