系統安全概念
防火牆
防 火 牆 (firewall) 用 來 分 隔 內 部 網 路 與 外 部 網 路 (一 般 就
指 網 際 網 路) . 從 外 部 網 路 要 使 用
內 部 網 路 的 機 器 , 必 須 經 過 防 火 牆 . 可 視 為 一 種 保 護
作 用 , 使 得 內 部 機 器 不 被 外 界 透 過
網 路 任 意 連 接 使 用 .
FIREWALL 示意圖
可 分 為 三 類 : 封 包 過 濾 (packet filitering) 、 應 用 層 閘 道
(application gateways) 、 電 路 式 閘 道
(circuit gateways) . 這 三 種 方 法 並 不 互 斥 , 許 多 人 都 選 擇 同 時
用 .
封 包 過 濾 (packet filitering)
這 是 種 最 便 宜 , 而 且 蠻 有 效 的 方 法 .
內 部 對 外 溝 通 是 透 過 路 由 器 (router) 傳 遞 封 包 , 這 種 方 法
就 是 針 對 封 包 的 標 頭 (head)
加 以 查 核 . 檢 查 封 包 的 來 源 、 目 地 以 及 埠 址 (port, 可 當
做 是 服 務 的 種 類 , 如 : telnet ,
ftp ...) . 可 過 濾 外 部 到 內 部 、 內 部 到 外 部 或 兩 者 都 用 .
大 部 分 擔 任 路 由 器 的 軟 、 硬 體 都 提 供 上 述 功 能 , 毋 須
另 外 花 費 .
應 用 層 閘 道 (application gateways)
應 用 層 閘 道 是 屬 防 火 牆 裡 極 端 的 設 計 . 它 並 不 使 用 原
本 通 用 的 傳 遞 資 料 方 式 , 而
是 特 別 設 計 過 . 看 起 來 似 乎 是 多 此 一 舉 , 但 比 其 它 方
法 都 有 用 . 一 點 也 不 用 單 心 外
面 環 境 如 何 (使 用 系 統 是 否 有 千 瘡 百 孔) , 因 為 它 是 獨
立 存 在 . 正 由 於 它 的 複 雜 , 一
般 只 選 擇 幾 種 服 務 來 做 .
應 用 層 閘 道 另 一 個 優 點 是 縱 使 在 十 分 危 險 的 環 境 , 而
它 依 然 可 以 記 錄 所 有 進 、
出 系 統 的 資 料 . 是 對 抗 電 腦 叛 客 十 分 有 用 的 武 器 .
電 路 式 閘 道 (circuit gateways)
電 路 式 閘 道 用 來 傳 遞 TCP 連 接 .
當 要 連 接 內 部 網 路 某 台 電 腦 , 必 須 透 過 電 路 式 閘 道 ,
不 是 直 接 傳 遞 封 包 . 這 樣 的 設
計 , 是 必 須 修 改 使 用 者 目 前 所 使 用 的 程 式 , 才 能 適 用
這 環 境 .