防火牆 (firewall) 有用嗎 ?
現今的網絡世界裡,每部電腦、家用、商用網絡都有防火牆 (firewall) ,它可以是軟件形式;又或是特定硬件形式,亦可以是一部普通電腦,透過 2 張 (或以上) 網絡卡,連接不同網絡作過濾。
防火牆目的是過濾外界不良流量,減低對你內部網絡的風險。
防火牆主要分為 – 封包過濾 (packet filtering) 、及新一代防火牆 (Next Generation Firewall)。
封包過濾防火牆
這類防火牆主要檢測網絡連線的屬性,例如來源 IP 、目的地 IP 、來源連接埠、目的地連接埠、 UDP 或 TCP 封包等,大多會有連線狀態檢測 (stateful inspection, 如: SYN_SENT , SYN_RECV , ESTABLISHED 等)。
例如:
– 如果你純粹是家用網絡、沒有對外提供任何服務,你可以在防火牆 (如 broadband router 裡的 firewall) 阻隔外界進入的新連線請求 (i.e. drop syn packet)
– 如果你要建立網頁服務 (web server),通常你需要在防火牆上開啟 port 80 (http) 及 port 443 (https) 予外界連線
– 如果你要建立 FTP 服務 (FTP server),你需要在防火牆上開啟 port 21 (ftp control) 及 connection tracking for FTP 予外界,才可以進行 Passive FTP 連線等。
—
新一代防火牆 (Next Generation Firewall)
新一代防火牆險了提供上述封包過濾防火牆功能外,同時提供深度封包檢測 (deep packet inspection, DPI) ,功能例如
– IDS/IPS (入侵偵測,例如對某些網站應用程式的漏洞作防御)
– 網站過濾 (URL filtering,阻隔網內用戶去瀏覽某類型網站)
– 病毒檢測
– 等等..
透過不斷更新的規則,資料庫,檢測進入網絡的封包內容,減少對網絡裡電腦的風險。
著名的 NIDS 程式如有 Snort , 著名的 NIDS 資料庫如 Snort Rule Community , ET Open (or ET Pro 商業版)
(你可以在資料庫搜索如 WordPress 字眼)
—
這樣,究竟防火牆有用嗎?
世上沒有 100% 網絡絶對安全,只是程度上的分別而已。多重過濾、多重保護,多重安全,但亦多重投資、及多重維護需要。
Recent Comments