系統安全概念

防火牆

防 火 牆 (firewall) 用 來 分 隔 內 部 網 路 與 外 部 網 路 (一 般 就 指 網 際 網 路) . 從 外 部 網 路 要 使 用 內 部 網 路 的 機 器 , 必 須 經 過 防 火 牆 . 可 視 為 一 種 保 護 作 用 , 使 得 內 部 機 器 不 被 外 界 透 過 網 路 任 意 連 接 使 用 .

FIREWALL 示意圖

可 分 為 三 類 : 封 包 過 濾 (packet filitering) 、 應 用 層 閘 道 (application gateways) 、 電 路 式 閘 道 (circuit gateways) . 這 三 種 方 法 並 不 互 斥 , 許 多 人 都 選 擇 同 時 用 .

封 包 過 濾 (packet filitering)

這 是 種 最 便 宜 , 而 且 蠻 有 效 的 方 法 .

內 部 對 外 溝 通 是 透 過 路 由 器 (router) 傳 遞 封 包 , 這 種 方 法 就 是 針 對 封 包 的 標 頭 (head) 加 以 查 核 . 檢 查 封 包 的 來 源 、 目 地 以 及 埠 址 (port, 可 當 做 是 服 務 的 種 類 , 如 : telnet , ftp ...) . 可 過 濾 外 部 到 內 部 、 內 部 到 外 部 或 兩 者 都 用 .

大 部 分 擔 任 路 由 器 的 軟 、 硬 體 都 提 供 上 述 功 能 , 毋 須 另 外 花 費 .

應 用 層 閘 道 (application gateways)

應 用 層 閘 道 是 屬 防 火 牆 裡 極 端 的 設 計 . 它 並 不 使 用 原 本 通 用 的 傳 遞 資 料 方 式 , 而 是 特 別 設 計 過 . 看 起 來 似 乎 是 多 此 一 舉 , 但 比 其 它 方 法 都 有 用 . 一 點 也 不 用 單 心 外 面 環 境 如 何 (使 用 系 統 是 否 有 千 瘡 百 孔) , 因 為 它 是 獨 立 存 在 . 正 由 於 它 的 複 雜 , 一 般 只 選 擇 幾 種 服 務 來 做 .

應 用 層 閘 道 另 一 個 優 點 是 縱 使 在 十 分 危 險 的 環 境 , 而 它 依 然 可 以 記 錄 所 有 進 、 出 系 統 的 資 料 . 是 對 抗 電 腦 叛 客 十 分 有 用 的 武 器 .

電 路 式 閘 道 (circuit gateways)

電 路 式 閘 道 用 來 傳 遞 TCP 連 接 .

當 要 連 接 內 部 網 路 某 台 電 腦 , 必 須 透 過 電 路 式 閘 道 , 不 是 直 接 傳 遞 封 包 . 這 樣 的 設 計 , 是 必 須 修 改 使 用 者 目 前 所 使 用 的 程 式 , 才 能 適 用 這 環 境 .

電路式閘道