甚麼是firewall

Ｑ1：何謂防火牆？

Ａ：在一個受保護的網路與Internet之間，或與其他的網路之間，用來限制其存取的一個或一組元件，此元件可以是裝在一般PC或是Server上的軟體或是經過特殊設計的硬體設備。



--------------------------------------------------------------------------------

Ｑ2：為什麼需要防火牆？

Ａ：Internet防火牆主要是為了防範駭客三種蓄意破壞的方式：

（1）入侵：最常見的破壞方式，入侵後就可以正當使用電腦。入侵者希望自己能變成合法的使用者，任意使用電腦。
（2）拒絕服務：最容易且不直接破壞系統的方式，駭客只要發出如洪水般的垃圾封包就可以癱瘓某部電腦，使得系統無法正常提供服務。

（3）資訊竊盜：駭客竊取使用者的帳號及密碼，就可以進入電腦竊取所需的資訊。



--------------------------------------------------------------------------------

Ｑ3：防火牆能作些什麼？

Ａ：

防火牆是保全決策的重點
防火牆為一個咽喉點，所有進入和出去的傳輸都必須通過這個狹窄、唯一的檢查點，在網路安全防護上，防火牆提供非常大的槓桿效益，因為它把安全措施集中在這個檢查點上。


防火牆可以執行保全政策
防火牆強制執行站台的保全政策，只讓『核准的』服務通過，而這些服務設定在Policy中。


防火牆能有效率的記錄Internet的活動
由於所有的傳輸都經過防火牆，所以它成為收集系統和網路的使用或誤用資訊的最佳地點。


防火牆可以減少網路暴露的危機
防火牆可以使得在防火牆內部的伺服主機與外界網路隔絕，避免有問題的封包影響到內部主機的安全。

--------------------------------------------------------------------------------

Ｑ4：防火牆無法作些什麼？

Ａ：

防火牆管不到內部惡人
如果惡人已經在防火牆內可以無須接近防火牆，就可以偷竊資料、損壞硬體和軟體，並巧妙的修改程式。內部威脅需要內部安全措施，例如機房安全管理措施及人員訓練


防火牆管不到不經過它的連線
對於不經過防火牆的傳輸，防火牆就無法發揮作用。例如某些站台允許直接通到內部主機的撥入存取或是技術及系統管理者會為他們自己設置進入網路的『後門』等。


防火牆無法防範全新的威脅
防火牆的設計是為了防範已知的威脅，一個設計完善的防火牆或許可以防範一些新威脅，如：除了少數可靠的服務外，拒絕一切其他的服務就可以防止使用者設置新的極不安全的服務。


防火牆無法防範病毒
防火牆無法防範PC和Macintosh病毒進入網路，雖然防火牆會就來源位址、目的位址及port號碼作掃描，但不是細部資料，且使用最精巧的封包過濾或代理軟體對於防火牆而言也不太實際。

--------------------------------------------------------------------------------

Ｑ5：為什麼要選擇亞太線上防火牆服務

Ａ：亞太線上所提供的為硬體式的防火牆，在安全方面不但比軟體式的防火牆來的安全，且處理效能更快，加上亞太線上擁有最專業的機房安全設施、門禁系統及保全人員負責24小時進出人員的管制，再結合通過ICSA國際認證的防火牆，提供十幾種安全防禦機制，兩者構成最高等級安全屏障，再搭配內部人員稽核管制規範，以杜絕任何管道入侵您的主機系統。此外亞太線上提供雙備援防火牆具備Hot Standby Redundant的機制，如果主要防火牆故障，正在進行中的交易將會在10秒內立即切換到備援防火牆上，如此可確保交易的完整性。

2007-03-13 17:59:15 補充：
優點 = Ｑ3缺點 = Ｑ5

2007-03-13 17:59:59 補充：
↓更正　　=＿=「缺點 = Ｑ4」

firewall=防火牆
優點:可以唔俾喲病毒come in
缺點:在send E-mail 前要解鎖

Firewall 即是在電腦與網際網路之間建立起一道屏障，無訊息監視網際網路流量中是否有可疑的活動。
優點是可以防止潛在的駭客探測及攻擊，讓防毒工作更完備和監視網際網路及網路活動，缺點是有時候會入唔到d網或者擋住外來訊息。

什麼是FireWall

防火牆(firewall)是指一個由軟體或和硬體設備組合而成，位於企業或網路群體電腦與外界(Internet)之間，限制外界用戶對內部網路存取及管理內部用戶訪問外界網路的權限。主要是控制對受保護的網絡的存取，逼使各連接點的通過能得到檢查和評估。
Firewall最粗淺的概念，就是在Internet與組織的LAN之間設一Choke Point，以管制進出組織資料及組織內機器的安全。一般防火牆的做法都是在主機上插兩片或兩片以上的網路卡，其中一片連接可公開網路，另一片則是連接到被保護網路，而防火牆則是管理流經這兩片卡的資料封包。
優點

防火牆是用來隔開內部網路與外部網路之間，達到公司安全的要求，從外部網路要使用內部網路的機器，必須經過防火牆。可視為一種保護作用，使得內部機器不被外界透過網路任意連接使用。近年來網際網路的風行，為企業帶來許多的便利與新的商機，愈來愈多的企業連上網際網路，應用也從早期的網站瀏覽到最近的線上報稅；將來企業網路與網際網路的整合已成趨勢也被大家習以為常地接受。但同時也帶給企業資訊安全新的挑戰。企業不僅需要擔心網路遭到入侵，也必須防止資訊外洩(如：客戶資料、研發資料等)，電腦資源被破壞而停止運作，愈來愈多的應用系統將在這個網路上被執行，然而安全的問題是急待克服的難題。防火牆的設計是網際網路安全性考量的第一層把門關，有人說連上防火牆不見的就安全，其原因是很多人以為裝上防火牆就達到了安全的標準，其實防火牆只是一個網路安全的控管系統，重要的是企業有無一套安全的網路架構規劃以及控管機置存在。防火牆必須基於這樣的安全規劃下去執行其任務，方能保障企業網路的安全。
下圖一是基本的FireWall模型 :

圖片參考：http://dslab.ee.ncku.edu.tw/~tie/homework/firewall/images/firewall.jpg

FireWall種類
防火牆的定義並不很明確，在理論上，它大抵有封包濾器(packet filter)及應用閘 道器(application gateway)兩種，實際的防火牆可以是這兩種的混合型。
1. 封包濾器又名屏障式選徑器(screening router)
它僅具有簡單的封包過濾及選徑功能，有的甚至不能過濾來源位址、只能過濾目標位址，其過濾動作於網際網路層進行，這類型常見於普通的選徑器。
封包濾器通常針對IP封包的表頭欄位與管理者制定的規則進行過濾，這些欄位主要為 :

封包型別(Packet Type)，IP、UDP、ICMP、或TCP。
來源主機之IP位址
目標主機之IP位址
來源TCP/UDP埠號碼
目標TCP/UDP埠號碼

圖片參考：http://dslab.ee.ncku.edu.tw/~tie/homework/firewall/images/2.bmp
封包濾器
2. 應用閘道器(application gateway)
同時以兩個網路介面連接兩段網路，它也具過濾封包的功能，只是不同於封包濾器 在網際網路層進行，應用閘道器的連 線過濾動作發生在程序應用層，故能提供較細緻、較智慧的安全管制。應用閘道器的特性是不允許封包直接由其網際網路層流經，其接受遠端主機的連線與否的規則在程序應用層制定，因此，用戶若欲通過應用閘道器，得先出示其識別碼及密碼進行登入，待登入之後，再透過該閘道器與外界連線，由外而內亦同，應用閘道器也被稱作代理(proxy)伺服器。
　

圖片參考：http://dslab.ee.ncku.edu.tw/~tie/homework/firewall/images/3.bmp
應用閘道器
3. 防火牆延伸功能IP位址轉譯(Address Translation)
防火牆除了提供封包過濾、應用閘道器等防火牆的基本功能外，為提昇防護效果 及產品的競爭力，通常還會提供額外的防禦服務，內部IP位址的遮罩、轉譯(translation)的功能。
位址轉譯的技巧即是在私人位址與正式位址之間進行動態的映射，在私人網 路，我們可在內、外網路之間設置一位址轉換器，一般是設在選徑器或防火牆，若有主機須對Internet連線，當它的封包通過位址轉換器時，其表頭的來源位址(私人位址)將被轉換器動態配置的正式位址所取代，而由目標主機回應的封包在經過 轉換器時，其目標位址亦會被原主機的來源位址取代，如此，私人網路的主機即 可與Internet的主機連線。
位址轉譯，令數量有限的IP位址可供更多的主機利用，它的副帶效果，是還隱藏了內部主機實際的IP位址，因此起著某種程度的保護作用，但其缺點是，內部網路的主機位址是動態配置的，這對外界某些主機可能帶來困擾，例如，當外界主機欲對內部主機設置權限控制時，它將無法確定對方的IP位址為何，另一個問題是，位址不固定的主機、其網域名稱資料的設置將有困難，目前的名稱伺服器、其資料庫多屬靜態的，若能將動態配置IP位址的機制與DNS伺服器相結合，則可解決此問題。

圖片參考：http://dslab.ee.ncku.edu.tw/~tie/homework/firewall/images/4.bmp
IP位址轉譯

Internet 连接防火墙（仅适用于 Windows XP）
Internet 连接防火墙 (ICF) 被内置在 Windows XP 中。它不是一个独立的程序包，它也不能用于非 XP 版本的 Windows 或其他操作系统（如 Apple Macintosh 或 Linux）。



ICF：优点
ICF：缺点

它是 Windows XP 内置的软件程序包
您无法将它用在多台计算机上

您不必安装软件
仅用于 Windows XP




圖片參考：http://www.microsoft.com/china/security/images/top_v1.gif

软件防火墙
软件防火墙可很好地用于 Windows 98、Windows ME 和 Windows 2000。对于单台计算机，它们是不错的选择。这种防火墙由其他软件公司开发。Windows XP 有内置防火墙，因此它们对于 XP 来说是不必要的。



软件防火墙：优点
软件防火墙：缺点

无需其他硬件
附加成本：大多数软件防火墙是需要花钱的

无需其他的计算机连线
要开始使用这种防火墙，可能需要进行安装和配置

对于单台计算机是一个不错的选择
每台计算机通常需要一个副本