外圍防火牆設計
更新日期: 2004 年 2 月 6 日
本頁內容
本單元內容
目標
適用於
如何使用本單元
設計指導方針
系統攻擊及防禦
裝置定義
防火牆功能
防火牆類別
類別 1 - 個人防火牆
類別 2 - 路由器防火牆
類別 3 - 低階硬體防火牆
類別 4 - 高階硬體防火牆
類別 5 - 高階伺服器防火牆
外圍防火牆用法
外圍防火牆規則
硬體需求
防火牆屬性
安全性
擴充性
效能
整併
標準及指導方針
總結
參考資料
本單元內容
本單元能協助您為組織周邊網路選擇適合的防火牆產品。單元裡會介紹各種不同類別的防火牆,還會強調最重要的防火牆功能。也能作為您在決定自己需求時的指導方針,協助您選擇最合適的產品。
目標
透過此單元即可:
識別您的外圍防火牆所需要的功能。
替防火牆產品分類。
選擇最適合您的外圍防火牆產品。
適用於
本單元適用於下列技術:
- Ethernet/IP 防火牆產品
如何使用本單元
開始閱讀本單元之前,您應該先了解 TCP/IP 通訊協定,您的網路架構,特別是您的外圍或 DMZ 網路的裝置。本單元也有另外一個用途,可用來找出哪些從網際網路輸入的流量是有效,而哪些是無效的。
本單元中所呈現的設計指導方針,會協助您在將如成長及成本列入主要考慮時,從防火牆中選擇您所需要的功能。本單元也會提供您一些最具殺傷力的入侵行為的資訊,讓您能決定什麼樣的攻擊最有可能在您的環境裡發生,而且要如何防止入侵行為。不只是透過安全防火牆,還要讓伺服器設定更為嚴密,或與您的 ISP 商討相關控制辦法。本單元也會定義不同分類的防火牆,而在使用設計指導方針之後,您就能選擇等級最合適的防火牆來滿足您的需求。以本單元中所提供的知識以及技術詞彙,您應能與防火牆製造商討論他們所能提供的產品,還能評估他們是否符合您的需求。
設計指導方針
內外部使用者所造成的網路入侵行為日益頻繁,建立防止這些入侵行為的防禦措施勢在必行。雖然防火牆能保護您的網站,不過它也需要花錢,而且還會阻礙流量,所以您應該儘可能尋找最符合成本效益且最具效率的防火牆。
網路架構
在企業網路架構中,通常會有三個區域:
邊界網路
這個網路會透過路由器直接面對網際網路,而由路由器以基本網路流量篩選的形式,提供初始層的保護。路由器會經由外圍防火牆將資料餵送到周邊網路。周邊網路
這個網路,通常稱為非軍事區網路 (Demilitarized Network,DMZ),或邊緣網路,會將連入的使用者連結到網頁伺服器或其他服務。然後網頁伺服器會透過內部防火牆連線到內部網路中。內部網路
內部網路會連結內部伺服器,例如 SQL Server 和內部使用者。
這些網路描繪於 [圖 1]。
.gif)
[圖 1] 企業網路架構
設計觀點
防火牆會檢查連入的 IP 封包,並且阻擋該些它認為是入侵性的封包。部份阻擋行為可以在預設特定封包不合法的情況下辨識出來,其他封包則可以透過設定防火牆來加以阻擋。TCP/IP 通訊協定是在多年前所設計的,並沒有任何防駭客入侵的概念,而且還有許多弱點。例如,ICMP 通訊協定是設計作為 TCP/IP 當中的單一訊號機制,但對濫用卻不設限,而可能導致像是拒絕服務 (Denial-of-Service,DoS) 攻擊這類的問題。外圍防火牆的能力比起內部防火牆,更加侷限,因為連入的流量由於合法目的地是網頁伺服器或其他特殊服務,而受到的限制更多。
可用的防火牆有許多種,部份不但價格上有差異,在功能及效能上也有所不同。一般來說,防火牆愈貴,功能也愈強大齊全。在本單元稍後章節中,會針對防火牆分門別類而加以區別,但在選擇防火牆之前,您應該將下列因素列入考慮來決定自己的需求:
預算
現有設備
可用性
擴充性
所需功能
預算
可用的預算為何?環境中的每個防火牆都應該提供盡可能最高的服務層級,並同時要合乎成本效益,但請留意要是防火牆因為成本考量而限制太多,會您的公司造成傷害。考量一下要是服務遭到拒絕服務攻擊而暫停,您的組織必須付出的停機成本。
現有設備
現有設備可用來節省成本嗎?環境中可能已經有能重複利用的防火牆,還有可加裝防火牆功能的路由器。您的 ISP 可能會常常會對您的連線實施防火牆限制,比如「限制傳輸率」,也就是說在您的網路同時受到許多其他電腦轟炸時,限制傳送給您之特定封包的傳輸率,以降低分散式拒絕服務攻擊 (DDoS)。請詢問您的 ISP 他們是否根據 RFC 1918 及 2827 執行篩選。
可用性
隨時都需要使用防火牆嗎?要是您提供使用者想要每天連線 24 小時的公開網頁伺服器設備,您就需要幾乎百分之百的存留時間。任何防火牆總是會有故障的時候,所以您必須緩和這樣的情況。防火牆的可用性能以兩種方法來提升:
重複元件 複製一些像是電源供給這類容易故障的元件,可改進防火牆的恢復力,因為第一個元件就算是故障了也不會對運作造成影響。低成本防火牆通常不會有任何重複備援的選項,而對防火牆增加恢復力會提高成本,卻沒辦法提升的處理能力。
重複裝置 複製防火牆裝置能提供具備完全恢復力的系統,但是同樣也要付出可觀的成本,因為這也需要完全複製網路電纜線,以及複製路由器裡或防火牆所連接之交換器的連線能力。不過,視防火牆而定,也有可能會讓輸送量倍增以為補償。理論上從最小到最大的所有防火牆都能夠加以複製,但實際上還需要一套軟體切換機制,而較小型的防火牆可能並沒有這樣的機制。
擴充性
防火牆的輸送量需求為何?輸送量可以從兩個方面來看,每秒傳輸速率 (bps) 及每秒傳送的封包。如果是第一次嘗試,您可能不會知道輸送率,而要是嘗試成功了,從網際網路而來的輸送量就有可能會迅速竄升。為了應付這樣的改變,您得選擇可以隨著輸送量增加而擴充的防火牆產品,不論是透過增加更多元件到防火牆裡,或是平行安裝另一個防火牆都行。
功能
需要哪些防火牆功能?根據您組織內部所提供的服務的風險評估,您可以決定需要哪些防火牆功能,以保護提供相關服務的資產。如果需要虛擬私人網路 (Virtual Private Networks,VPN),將會影響到設計。
系統攻擊及防禦
這一節裡提供一些較為人知的系統攻擊摘要,還有使用防火牆服務作為第一道防線的理由。
外部攻擊
網際網路是那些想對公司造成不利影響、竊取商業機密以取得競爭優勢的人的避風港。要是您安裝一個外圍防火牆,並查看一下入侵記錄,您會驚訝於其數量之大。這些入侵行為大部份都只是偵測看看您的機器是否有回應,而且找出您執行哪些服務。這看起來可能無傷大雅,但要是攻擊者探索到您的機器,在知道機器弱點之後,他就可以攻擊您的服務。
內部攻擊
除了提供保護防止來自網際網路的攻擊之外,機密資訊也要加以保護。大部份組織都有應該加以保護的機密資訊。不能讓包括雇員、廠商、承包商及客戶在內的內部網路特定使用者取得。雖然外圍防火牆主要是用來防止外部侵入行為,有相關知識的內部使用者也有可能會嘗試由網際網路進入。
入侵類型
入侵威脅有許多種形式,而要在這裡描述這些威脅相當有限,因為每天都會產生新的威脅。部份入侵行為,比如 Ping 伺服器位址,可能看似無害,但是在探索到伺服器的存在之後,駭客就會嘗試更嚴重的攻擊。換句話說,所有入侵行為都應該視為是有害的。一些最重大的入侵事件包括:
封包竊聽者
竊聽者是加裝在 LAN 上的軟體應用程式或硬體裝置,能從 Ethernet 框架中擷取資訊。這些系統原先的目的是要進行疑難排解,及分析 Ethernet 流量,或是更深入探究框架,以檢查個別 IP 封包。竊聽者是以隨機的模式進行;也就是說,他們會竊聽整個實體線路上的每一組封包。許多應用程式,諸如 Telnet,是以竊聽產品能夠讀取的純文字傳送使用者名稱及密碼資訊,所以有竊聽軟體的駭客就能存取許多應用程式。透過防火牆並不能預防竊聽,因為竊聽者並不會產生網路流量。有很多不同的方法可以反制竊聽,主要是透過使用增強式加密的密碼,但這不在本單元討論範圍之內。
IP 詐騙
IP 封包的來源位址為隱藏傳送者的身分而經過變更時,就會發生 IP 詐騙。因為網際網路內的路由操作僅會使用目的位置來傳送封包上路,而忽略來源位址,所以駭客可以送出毀滅性的封包到您的系統上,偽裝來源讓您不知道封包來自何方。詐騙並不一定是毀滅性的,但卻是入侵行為即將到來的訊息。位址可能在您的網路之外 (以隱藏入侵者的身分) 或者有可能是您所信任,擁有存取權的內部位址之一。詐騙通常用於拒絕服務 (DoS) 攻擊,我們會在本單元稍後說明。加裝下列任一機制,即有可能防止 IP 詐騙:
存取控制
拒絕從網際網路連入,且來源位址是在您內路網路的封包存取。RFC 2827 篩選
確認您的連出流量裡,沒有發生 IP 詐騙是很重要的。經偽裝的封包一定是來自於某個人的網路;您得確認您的網路並未被用於偽裝的來源。所以,您應該避免所有從您的網路連出的流量,並沒有您本身配置當中的來源位址。您的 ISP 也能夠從您的網路拋棄偽裝的封包,方法是檢查來源位址是否屬於您的網路。這項技術稱為 RFC 2827 篩選;如需如何實行的相關資訊,請洽您的 ISP。篩選輸出流量對您沒有任何好處,但另一個執行類似篩選的網路,可防止對您的網路所發動的詐騙攻擊。現在大部份防火牆都有能力避免輸入的 IP 詐騙。
拒絕服務攻擊
拒絕服務 (DoS) 是最難防備的一種攻擊。它們與其他類型的攻擊不同的是,它們並不會造成您網路永久的傷害;相反的,DoS 攻擊會嘗試藉由轟炸特定電腦 (伺服器或網路裝置),停止網路的功能,或是降低網路連結到特定地點的輸送量,使此其效能惡化到足以引起客戶反感,而造成公司生意上的損失。分散式 DoS (Distributed DoS) 是一種由許多其他電腦所發動的攻擊,會集中轟炸您的電腦。攻擊的電腦不一定需要自己發動攻擊,但由於它們自身安全上的弱點,會允許自己遭受駭客滲透。駭客會引導這些電腦傳送大量的資料給您的網路,擠爆與您 ISP 的連線或您的裝置之一。應用程式層攻擊
應用程式層攻擊常常是最為公開的攻擊,而且通常會利用比如網頁伺服器及資料庫伺服器等應用程式中的知名弱點。這個問題,特別是對網頁伺服器來說,在於它們本來就設計成讓未知且不能信任的公眾使用者存取。大部份的攻擊都是針對產品的已知弱點,所以最佳的防禦是安裝製造商提供的更新。惡名昭彰的「結構化查詢語言 (Structured Query Language,SQL)」Slammer 蠕蟲在 2003 年 1 月釋出後,很短的時間內就影響了 35,000個系統。Slammer 蠕蟲利用的是 Microsoft® SQL Server 一個已知的問題。為此 Microsoft 於 2002 年 8 月發行了一個修補程式。這個蠕蟲就利用許多系統管理員還沒有套用建議的更新,也沒有合適防火牆 (防火牆能丟棄目的地為這個蠕蟲所使用連接埠的封包)的事實。防火牆在這些情況不過是擋球網;製造商建議應該要將升級套用到所有產品,特別是要避免應用程式層攻擊的升級。網路偵察
網路偵察是指在發動攻擊之前,掃瞄網路以探索有效的 IP 位址、網域名稱系統 (DNS) 名稱,以及 IP 連接埠。雖然網路偵察本身無害,不過要是有人發現了正在使用的位址,就能藉此發動惡意攻擊。一般的偵察行為包括掃瞄接聽的傳輸控制協定 (Transport Control Protocol,TCP) 及使用者資料包通訊協定 (User Datagram Protocol,UDP) 連接埠,以及其他眾所皆知的接聽連接埠,如 Microsoft SQL Server 所使用的接聽連接埠、網路基本輸入/輸出系統 (NetBIOS)、超文字傳輸協定 (Hypertext Transfer Protocol,HTTP) 以及 Simple Mail Transport Protocol (SMTP)。這類偵察行為都會尋求回應,這會告知駭客伺服器的存在,而且正執行當中一項服務。這些偵察行為大多可透過邊界路由器或防火牆來防止。許多服務都是預設存在的,請關閉任何不受要求的服務,不過關閉一些這類服務,可能會限制網路的診斷能力。病毒/特洛伊木馬程式
防火牆通常無法偵測病毒,因為它們經常是內嵌在電子郵件附件當中。傳統病毒傾向只損害它們所感染的裝置,但現今的病毒通常都會複製,並且損害其他本機電腦,或者透過傳送多封夾帶病毒的電子郵件,散播到網際網路上。這些病毒大多會在受到感染的裝置上安置特洛伊木馬程式。特洛伊木馬程式並不會造成直接的傷害,而且是會從安裝的裝置上,透過網際網路將資訊傳回給駭客。然後駭客在知道裝置上正在執行什麼軟體,弱點在那裡之後,就可以對該裝置發動鎖定目標的攻擊。雖然對抗病毒的主要防禦一向都是在裝置上維持最新的防毒軟體,不過外圍防火牆在限制特洛伊木馬程式的效率上,也能發揮功效。
裝置定義
防火牆是用來控制兩個網路之間 IP 流量的機制。防火牆裝置一般都會在 OSI 模式的 L3 運作,然而有些模式也可以在更高的層級運作。
防火牆通常提供下列好處:
保護內部伺服器不受網路攻擊。
強化網路使用及存取原則。
監視流量並且在偵測到可疑的模式時,發出警告。
有一點很重要的是,防火牆只能緩和特定類型的安全性風險。防火牆一般都不能避免對有軟體弱點的伺服器所造成的傷害。防火牆應該實作為組織整體安全性架構裡的一部份。
防火牆功能
依防火牆所支援的功能而定,可使用各種不同的技術來允許或阻擋流量。這些技術會以防火牆功能為基礎,提供不同程度的保護。下面依複雜度順序列出防火牆功能:
網路介面卡輸入篩選器
靜態封包篩選器
網路位址轉譯 (NAT)
狀態檢查
電路層檢查
Proxy
應用程式層篩選
一般來說,提供複雜功能的防火牆也支援較簡單的功能。不過,您在選擇防火牆時,應該仔細閱讀廠商資訊,因為廠商提及的功能與防火牆的實際功能間,可能會有細微的差距。要選擇防火牆時,您得詢問相關功能,還要加以測試以確定產品確實能執行產品規格上的功能。
網路介面卡輸入篩選器
網路介面卡輸入篩選器會檢查來源或目的位址,以及連入封包內的其他資訊,並且會阻擋這個封包或允許它通過。它只能套用到連入的流量,而不能控制連出的流量。它會比對 UDP 及 TCP 的 IP 位址和埠號,還有流量的通訊協定、TCP、UDP 及標準路由封裝 (GRE)。
對保護網頁伺服器的外圍防火牆來說,合法的連入流量應該只能存取網頁伺服器的 IP 位址,而且通常會限定埠號,諸如 HTTP 為 80 或 HTTPS 為 433。雖然外圍防火牆應該會有這項控制,這應控制也應該加到邊界路由器中。
網路介面卡輸入篩選,能夠快速有效地拒絕符合在防火牆所設定準則的標準的連入封包。不過,這種形式的篩選可以輕易避開,因為它只會比對 IP 流量的標頭,所以要多下點功夫在對要篩選之流量會遵守 IP 標準,而且不會被刻意改造以躲開篩選的基本假設上。
靜態封包篩選器
靜態封包篩選器與網路介面卡篩選器相似之處在於,它們都只比對 IP 標頭以決定是否要允許流量通過介面。然而,靜態封包篩選器可以控制連到介面的輸入/輸出通訊。此外,靜態封包篩選器一般都會允許比網路介面卡篩選還多一項功能,那就是檢查在 IP 標頭上是否有設定經過認可 (ACK) 的位元。ACK 位元會提供封包是否為新的要求,或者是對原先要求的回覆要求的資訊。ACK 位元不會驗證封包是否原先就是由接受封包的介面所傳送,只會檢查是否進入介面中的流量,是根據 IP 標頭規定而傳送回來的。
這項技術只能套用於 TCP 通訊協定而不能套用於 UDP 通訊訊定。和其他的網路介面卡輸入篩選一樣,靜態封包篩選速度很快但能力有限,且可以藉由特別指定的流量迴避開。
就跟網路介面卡輸入篩選一樣,靜態封包篩選除了能實作在外圍防火牆以外,也能實作在邊界路由器上。
網路位址轉譯
在全球的 IP 位址範圍中,特定位址範圍被指派為「私人位址」。這些主要是用在您的組織中,而且在網際網路上沒有任何意義。預定要傳送到這些 IP 位址的流量,不能經網際網路路由,所以指派一個私人位址給您的內部網路裝置,能提供一些對抗入侵的保護。不過這些內部裝置常常自己也要存取網際網路,所以「網路位址轉譯 (NAT)」會將私人位址轉譯成為網際網路位址。
儘管 NAT 嚴格來說並不是防火牆技術,但能夠隱藏伺服器的真實 IP 位址,以避免攻擊者取得關於伺服器的有用資訊。
狀態檢查
在狀態檢查裡,所有連出的流量都會被記錄在一份狀態表裡。當連線流量回到介面時,狀態表會進行查核以確保流量是來自於這個介面。狀態檢查雖然比靜態封包篩選還要慢一點,不過它能確保流量只有在符合連出流量需求時,才能通過。狀態表包含比如目的 IP 位址,來源 IP 位址,被呼叫的連接埠以及來源主機。
特定防火牆能比其他防火牆,在狀態表裡儲存更多的資訊 (比如傳出及收到的 IP 片段)。當完整的資訊或是零星的破碎資訊傳回時,防火牆可以對這些流量進行檢測。不同廠商的防火牆所實作的狀態檢查功能各有差異,所以您必須仔細閱讀防火牆文件。
狀態檢查功能一般是用來協助緩和網路偵察及 IP 詐騙所造成的風險。
電路層檢查
透過電路層的篩選,就能夠檢查工作階段,而不是檢查連線或封包。工作階段只會在回應使用者要求時才會建立,而且可能包含多個連線。電路層篩選能以例如 FTP 及資料流媒體的次要連線,提供內建的通訊協定支援。一般來說,可以協助緩和網路偵察、DOS 及 IP 詐騙攻擊所造成的風險。
Proxy 防火牆
Proxy 防火牆會要求代表用戶端的資訊。與前述的防火牆技術相比起來,用戶端和服務主機伺服器並不會直接通訊。相反的,Proxy 防火牆會收集代表用戶端的資訊,並將服務收到的資料回傳給用戶端。由於 Proxy 伺服器會針對一用戶端收集這些資訊,它同時也會儲存內容到磁碟或記憶體。若是另一台 Proxy 伺服器要求同一份資料時,這項要求即可由快取記憶中取得,因而減少網路流量與伺服器的處理時間。
對於未加密的工作階段,如 FTP 唯讀及 HTTP 等工作階段,Proxy 防火牆實際上會產生一個對應於用戶端與伺服器兩者的工作階段,兩者間因此不需直接連線。另一方面,在加密工作階段部份,Proxy 伺服器會在允許流量通過前,對加密工作階段的標頭資訊與 SSL 進行驗證。不過,Proxy 伺服器無法檢測通過的資料,因為這部份已受到用戶端與伺服器兩端的加密。
Proxy 伺服器相較於防火牆技術的優點將於下面討論,包括:
用戶端和伺服器間無直接連線 用戶端和伺服器彼此通常不進行直接連線;即使有直接連線 (如利用 SSL),也會檢查通訊協定表頭和流量。
伺服器可快取經常要求之網站的內容 快取可節省頻寬並防止不必要的要求離開環境。
驗證通過其中的通訊協定 除了驗證通訊所經由的埠號外,Proxy 伺服器還會驗證通過它們的通訊協定。最常受檢查的通訊協定,是僅限 FTP 下載、 SSL 及一些文字訊息服務 (例如限定文字,不允許視訊、音訊或是檔案傳輸)。
可根據使用者識別碼設定為轉寄要求 Proxy 伺服器常常可根據使用者識別碼 (也就是限制只能針對特定使用者加以設定),而不只是來源 IP、連接埠或通訊協定等來設定為轉寄要求。
Proxy 伺服器的主要缺點是,需要太多的處理能力來執行通訊協定檢查。不過,處理能力是一直都在提升,所以這並不是個大問題。然而 Proxy 伺服器仍缺少篩選封包的防火牆能力。在家庭使用者採用高速網路,以及在 ISP 沒有義務提供信任的網際網路服務,使得網際網路連線中無法取得信任的節點變得越來越多的環境來說,檢查通訊協定附加的好處可說是必要的。
Proxy 功能,一般可以協助緩和網路偵察、DOS、IP 詐騙攻擊、病毒/特洛伊木馬攻擊及部份應用程式層攻擊等所造成的風險。
應用程式層篩選
防火牆流量檢查最複雜的層級,就是應用程式層篩選。良好的應用程式篩選器,可讓您分析資料流以用於特定應用程式,並提供應用程式專屬的處理作業,包括在資料通過防火牆時進行檢查、過濾或封鎖、重新導向和修改。
這樣的機制是用來防止比如不安全的 SMTP 命令,或者防止對內部「網域名稱系統 (DNS)」的攻擊。一般來說,協力廠商所提供的內容審查工作,包括病毒偵測、詞彙分析、網站分類等工具也能加到您的防火牆上。
應用程式層防火牆有能力根據其經過的流量來檢查許多不同的通訊協定。不像 Proxy 防火牆通常只檢查 HTTP、FTP、SSL 及下載的網際網路流量,應用程式層防火牆能偵測任何通過防火牆的網際網路流量。例如,應用程式層防火牆能夠只允許發自防火牆邊界內的 UDP 流量通過。若是有網際網路主機要掃瞄可設定狀況的防火牆連接埠,看看是否允許 DNS 流量進入環境中,連接埠掃瞄可能會展示與 DNS 關聯的已知連接埠是開啟的,但是一旦攻擊開始,靜態防火牆就會拒絕要求,因為它們並非來自內部。應用程式層防火牆可以根據流量是否來自內部,動態開啟連接埠。
應用程式層防火牆功能,可以協助緩和 IP 詐騙、DOS、部份應用程式層攻擊、網路偵察以及病毒/特洛伊木馬攻擊等所造成的風險。應用程式層防火牆的缺點與 Proxy 類似,比起可設定狀況和靜態的篩選防火牆,所需要的處理能力更大,而且一般來說通過的流量更慢。使用應用程式層防火牆時最重要的考慮因素是,決定什麼樣的防火牆功能足以供應用程式層使用。
應用程式層功能能夠確保通過特定連接埠的流量是適當的。不像封包篩選或是狀態檢查防火牆,只會檢查連接埠、來源及目的 IP 位置,支援應用程式層篩選的防火牆有能力可以同時檢查資料及前後通過的命令。
大多數支援應用程式層功能的防火牆,只有純文字傳輸,比如 Proxy 感知訊息服務,HTTP 及 FTP。請記住,支援這個功能的防火牆,可以掌管流量進出環境。這項功能的另一個優點是能夠在 DNS 流量通過防火牆進行檢查,以尋找特定的 DNS 命令。這層額外的保護措施,能確保使用者或攻擊者無法在經允許的流量類型中,透露資訊。
如果您的組織有線上商店會收集信用卡號碼和客戶的個人資訊,那麼在保護這些資訊上採取高層預防措施就必須小心謹慎。在這些案例中,高安全性資料的類型會利用 Secure Sockets Layer (SSL) 通訊協定,在使用者的 PC 和您的網頁伺服器之間加密。
將該些搭配使用 SSL 的應用程式層功能的案例加以區分是很重要的。加密 SSL 後,防火牆就不能瞭解通訊協定命令,因為它們是位在加密封包之內。每個支援應用程式層功能的防火牆,處理這個情況的方式都不同,所以列印您所選擇的防火牆說明文件,再仔細閱讀十分重要。
問題在於一旦建立 SSL 工作階段並且交涉加密後,就沒有裝置可以檢查資料。例如,用戶端使用支援 Proxy 類型應用程式層功能的防火牆時,會要求防火牆開啟連線到安全的網頁伺服器。防火牆和伺服器進行初始的 TCP 連線設定,而防火牆會將連線遞交給用戶端以便利用伺服器來設定加密。在連線交給用戶端之後,防火牆就不再擁有檢查資料的能力。
當應用程式層功能公開用於公開網際網路服務時,有下列選項:
在防火牆終止 SSL 流量 這可讓防火牆檢查連入的 SSL 連線是否為合法的網路傳輸,並在防火牆解密網際網路服務的資料時捨棄傳輸。
重新產生從防火牆到公開之 Web 服務的 SSL 流量 這在 SSL 通道中有使用基本憑證 (例如純文字使用者名稱和密碼) 的情況下尤其有用。在內部防火牆介面與已公佈的 Web 服務間竊聽網路流量的人,並不能竊聽到流量,因為流量已經過再加密。
允許 SSL 流量通過防火牆到達後端伺服器 這對於內部用戶端和外部伺服器之間對換 SSL 連線方法是不可或缺的。
這些選項提供眾多方式,可以控制加密工作階段在環境下開放通道的程度。一般來說,將加密流量保持愈接近環境邊緣就愈好,因為如此一來就看不到通道當中的任何東西。
防火牆類別
這一節將介紹幾種類別的防火牆,每種防火牆都能提供特定的防火牆功能。特定防火牆類別可以回應特定 IT 架構設計的特定需求。
將防火牆分門別類,可將硬體從服務的需求當中抽離出來,而讓服務需求能夠比對類別功能。只要有防火牆符合一種特定的類別,就能假設它支援該種類別的所有服務。
不同的類別如下:
個人防火牆
路由器防火牆
低階硬體防火牆
高階硬體防火牆
伺服器防火牆
有一點很重要而必須瞭解的是,這些類別有部份會重疊,這是因為設計的關係。這種重疊可以允許某種防火牆類型跨越其他類別。許多類別的防火牆也可以由同一家廠商一種以上的硬體模型來提供,所以您的組織可以選擇適合目前及將來需求的模型。
除了價格及功能組合外,防火牆也能以效能 (或輸送量) 為基準來分類。不過大部份廠商不會提供其防火牆的任何輸送量數值。他們所提供的 (一般為硬體防火牆裝置),並不會遵照標準度量程序,如此一來就很難在製造商之間進行比較。例如,其中一項度量方法就是每秒傳輸位元 (bps) 數量,但由於防火牆實際上會傳遞 IP 封包,如果用來度量速率的封包大小並未包括在內的話,這種度量方法就失去了意義。
下列章節會詳細定義各種類別的防火牆。
類別 1 - 個人防火牆
個人防火牆的定義是一種能為個人電腦提供簡單防火牆功能的軟體服務。隨著永久網際網路連線的數量 (跟撥號連線正好相反) 逐漸成長,個人防火牆的使用率也上升。
雖然個人防火牆是設計用來保護單一的個人電腦,但如果這台電腦所在的小型網路,讓內部網路其他電腦共用這台電腦的網際網路連線,那麼個人防火牆也能保護小型網路。不過,個人防火牆軟體的效能有其限制,而且會降低安裝電腦的效能。保護機制效果通常比專門的防火牆來的差,這是因為保護機制通常僅限於阻擋 IP 及連接埠位址,儘管如此,個人電腦通常需要較低層次的保護。
個人防火牆可以免費由作業系統或以很低的價錢取得。而且適合其設計的目的,但是因為個人防火牆的效能和功能有限,因此企業最好不要使用,就連小型公司也最好不要使用。不過它們特別適合使用膝上型電腦的行動使用者。
個人防火牆在功能上和價格上有極大的差異。不過,由於缺乏特定功能 (尤其是膝上型電腦),所以重要性可能不大。下表顯示個人防火牆的常見功能。
[表 1] 類別 1 - 個人防火牆
| 防火牆屬性 | 價值 |
|---|---|
| 支援基本功能 | 大部份個人防火牆都支援靜態封包篩選,NAT 及狀態檢查,而有部份支援電路層檢查及/或應用程式層篩選。 |
| 設定 | 自動 (也可選擇手動) |
| 阻擋或允許 IP 位址 | 是 |
| 阻擋或允許通訊協定或埠號 | 是 |
| 阻擋或允許連入 ICMP 訊息 | 是 |
| 控制連出存取 | 是 |
| 應用程式保護 | 可能 |
| 聽覺或視覺警告 | 可能 |
| 記錄攻擊檔案 | 可能 |
| 即時警告 | 可能 |
| VPN 支援 | 一般沒有 |
| 遠端管理 | 一般沒有 |
| 製造商支援 | 變化很大 (依產品而定) |
| 高可用性選項 | 否 |
| 同時工作階段數目 | 1 到 10 |
| 模組化升級能力 (硬體或軟體) | 無到有限度 |
| 價格範圍 | 低 (有些情況為免費) |
| 防火牆屬性 | 價值 |
|---|---|
| 支援基本功能 | 大多數路由器防火牆都支援靜態篩選器。一般支援 NAT 高階路由器的低階路由器也可能會支援狀態檢查且/或應用程式層篩選。 |
| 設定 | 在低階路由器上,一般均為自動化 (也有手動選項)。而高階路由器則多為手動選項。 |
| 阻擋或允許 IP 位址 | 是 |
| 阻擋或允許通訊協定/埠號 | 是 |
| 阻擋或允許連入 ICMP 訊息 | 是 |
| 控制連出存取 | 是 |
| 應用程式保護 | 可能 |
| 聽覺或視覺警告 | 一般都有 |
| 記錄攻擊檔案 | 大多數情況下 |
| 即時警告 | 大多數情況下 |
| 支援 VPN | 通常出現在較低階的路由器中,高階路由器較不常見。可以分離此項工作專用的裝置或伺服器。 |
| 遠端管理 | 是 |
| 製造商支援 | 低階路由器上一般都有限制,高階路由器則有良好支援。 |
| 有高可用性選項 | 低階:無 - 高階:有 |
| 同時工作階段數目 | 10 - 1,000 |
| 模組化升級能力 (硬體或軟體) | 低階:無 - 高階:有限制 |
| 價格範圍 | 低到高 |
| 防火牆屬性 | 價值 |
|---|---|
| 支援基本功能 | 大部份低階防火牆都支援靜態封包篩選及 NAT。有可能支援狀態檢查及應用程式層篩選。 |
| 設定 | 自動 (也可選擇手動) |
| 阻擋或允許 IP 位址 | 是 |
| 阻擋或允許通訊協定/埠號 | 是 |
| 阻擋或允許連入 ICMP 訊息 | 是 |
| 控制連出存取 | 是 |
| 應用程式保護 | 一般沒有 |
| 聽覺或視覺警告 | 一般沒有 |
| 記錄攻擊檔案 | 一般沒有 |
| 即時警告 | 一般沒有 |
| 支援 VPN | 有時 |
| 遠端管理 | 是 |
| 製造商支援 | 有限制 |
| 有高可用性選項 | 一般沒有 |
| 同時工作階段數目 | > 10 - 7500 |
| 模組化升級能力 (硬體或軟體) | 有限制 |
| 價格範圍 | 低 |
| 防火牆屬性 | 價值 |
|---|---|
| 支援基本功能 | 大部份高階硬體防火牆都支援靜態封包篩選及 NAT 。也有可能支援狀態檢查及應用程式層篩選。 |
| 設定 | 一般均為手動 |
| 阻擋或允許 IP 位址 | 是 |
| 阻擋或允許通訊協定/埠號 | 是 |
| 阻擋或允許連入 ICMP 訊息 | 是 |
| 控制連出存取 | 是 |
| 應用程式保護 | 有可能 |
| 聽覺或視覺警告 | 是 |
| 記錄攻擊檔案 | 是 |
| 即時警告 | 是 |
| VPN 支援 | 有可能 |
| 遠端管理 | 是 |
| 廠商支援 | 良好 |
| 有高可用性選項 | 是 |
| 同時工作階段數目 | > 7500 - 500,000 |
| 模組化升級能力 (硬體或軟體) | 是 |
| 價格範圍 | 高 |
| 防火牆屬性 | 價值 |
|---|---|
| 支援的功能 | 大部份的高階伺服器防火牆都支援靜態封包篩選及 NAT。也可能支援狀態檢查及/或應用程式層篩選。 |
| 設定 | 一般均為手動 |
| 阻擋或允許 IP 位址 | 是 |
| 阻擋或允許通訊協定/埠號 | 是 |
| 阻擋或允許連入 ICMP 訊息 | 是 |
| 控制連出存取 | 是 |
| 應用程式保護 | 有可能 |
| 聽覺或視覺警告 | 是 |
| 記錄攻擊檔案 | 是 |
| 即時警告 | 是 |
| VPN 支援 | 有可能 |
| 遠端管理 | 是 |
| 廠商支援 | 良好 |
| 有高可用性選項 | 是 |
| 同時工作階段數目 | >50,000 (跨多個網路區段) |
| 模組化升級能力 (硬體或軟體) | 是 |
| 其他 | 一般使用的作業系統 |
| 價格範圍 | 高 |
| 問題 | 在此位置實作的防火牆一般特徵 |
|---|---|
| 如安全性系統管理員所指定的必要防火牆功能 | 提升安全性可能會造成所需安全性程度、使用功能的成本及可能的效能折損情況之間的平衡問題。很多公司會希望外圍防火牆擁有最高的安全性,有些則因為整體效能會因此減低而無法接受。為追求高效能,以流量非常大的非電子商務網站為例,是可以接受較低層級的安全性,所以使用靜態封包,而不是使用應用程式層來進行篩選。 |
| 而裝置是否為專用實體裝置,提供其他功能或是實體裝置上的邏輯防火牆 | 當外圍防火牆用作為企業的網路與網際網路間的閘道,通常會實作為專用裝置,以減少在裝置遭到破壞時,受攻擊表面和內部網路的存取能力。 |
| 如組織的管理架構所指定的裝置管理性需求 | 一般會使用某種形式的記錄方式,而通常也需要事件監視機制。在此可能不允許進行遠端管理,以避免惡意使用者從遠端管理裝置,將只允許本機管理。 |
| 輸送量需求很可能是由組織內的網路及服務系統管理員所決定 | 這些會依每個環境而有所不同,但在裝置或服務器上的硬體功能,以及所使用的防火牆功能,會決定整體可用的網路輸送量。 |
| 可用性需求 | 做為大型組織通向網際網路的出入口,通常需要高可用性層級,尤其當營利網站是由外圍防火牆所保護時。 |