防火牆（Firewall）

📌 就像家裡的門禁系統，只讓合法人員或物品進出

• 控制網路流量進出
• 過濾封包、阻擋非法連線

1. 封包過濾防火牆

   📌 像保全看訪客證件上的名字（IP 與 port）

   • 根據封包的來源 IP、目的 IP、Port、協定等條件判斷是否放行
   • 效率高、簡單快速
   • 無法檢查內容，容易被繞過（如攻擊藏在 HTTP 流量中）

2. 狀態檢查防火牆

   📌 保全不只看證件，還會檢查你是不是已經在名單上

   • 檢查 IP/port，記錄連線狀態（如 TCP 三次握手）
   • 判斷流量是否屬於合法會話
   • 比封包過濾更安全，能阻擋偽造封包
   • 需要更多資源，對大流量攻擊措手不及

3. 應用層防火牆

   📌 保全會打開你的包包檢查，甚至讀你的信件內容

   • 檢查應用層資料（如 HTTP header、SQL 查詢）
   • 常見於 Web Application Firewall (WAF)
   • 能偵測/阻擋 XSS、SQL Injection、惡意 HTTP 請求
   • 規則需要常更新，可能誤判，延遲較高

4. 雲端防火牆

   📌 就像外包給一個專業保全公司，他們在大門口幫你過濾訪客

   • 防火牆服務運行在雲端，企業不需自行部署硬體
   • 可彈性擴展，適合分散式
   • 依賴網路連線
   • 雲端供應商出問題，防護受影響
   • 設定不當 → 惡意流量通過
   • WAF 漏洞 → WAF bypass

IDS 與 IPS

如果IPS誤判的話會把正常的流量中斷
IDS 不會阻擋，只會警告

📌 IDS → 看到可疑人進門會警告，但不阻止

可以做觀察，降低誤判的風險

📌 IPS → 看到可疑人立即攔下，阻止進入

IPS 不見得會把所有紀錄都留下來
很像大樓會需要監視器跟保全

• 簽章：比對已知攻擊特徵
• 異常行為：監測異常流量或模式

攻擊

• 嘗試規避防火牆規則（如用非標準 port、加密流量、分段攻擊）
• 利用 IDS/IPS 偵測不到的新型攻擊（零日漏洞、加密隧道）

防禦

• 設計防火牆規則：允許必要流量、封鎖不必要 port
• IDS/IPS 配置簽章與行為偵測
• 搭配網路分層防護（NACL、VPN、防毒）
• 定期檢測與更新規則，避免被規則繞過

結論

防火牆與 IDS/IPS 是網路安全的核心防線

• 防火牆負責阻擋或允許流量
• IDS 偵測異常並告警
• IPS 則能即時阻止攻擊

攻擊者可能試圖規避防護規則或利用新型漏洞

防守方需設計正確規則、更新簽章、監控異常流量

並搭配其他網路防護機制如 WAF 與 VPN