在電腦運算領域中,防火牆(英文:Firewall)是一項協助確保資訊安全的裝置,會依照特定的規則,允許或是限制傳輸的資料通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。
防火牆最基本的功能就是隔離網路,通過將網路劃分成不同的區域(通常情況下稱為ZONE),制定出不同區域之間的存取控制策略來控制不同信任程度區域間傳送的資料流。例如網際網路是不可信任的區域,而企業網路絡是高度信任的區域。以避免安全策略中禁止的一些通訊。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個企業網路絡(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則 例如:TCP/IP Port 135~139是 Microsoft Windows 的【網路上的芳鄰】所使用的。如果電腦有使用【網路上的芳鄰】的【分享資料夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【分享資料夾】公開到Internet,供不特定的任何人有機會瀏覽目錄內的檔案。且早期版本的Windows有【網路上的芳鄰】系統溢位的無密碼保護的漏洞(這裡是指【分享資料夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽資料夾的需求)。
針對普通用戶的個人防火牆,通常是在一部電腦上具有封包過濾功能的軟體,如ZoneAlarm及Windows XP SP2後內建的防火牆程式。而專業的防火牆通常為網路裝置,或是擁有2個以上網路介面的電腦。以作用的TCP/IP堆疊區分,主要分為網路層防火牆和應用層防火牆兩種,但也有些防火牆是同時運作於網路層和應用層。 網路層防火牆[編輯] 網路層防火牆可視為一種 IP 封包過濾器,運作在底層的TCP/IP協定堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。 我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。 較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源 IP 位址、來源埠號、目的 IP 位址或埠號、服務類型(如 WWW 或是 FTP)。也能經由通訊協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。
留言列表
