防火牆:
以下是課本關於防火牆的小小總結
1. 何謂防火牆:
防火牆是一種用來控制網路存取的設備。
路由器也可以做為防火牆嗎?路由器確實可以負擔部分防火牆的功能,但兩者的主要差異在於,路由器是將流量快速地傳到目的地,可藉由設定規則來阻絕特定流量,但可以允許未明確禁止的服務。而防火牆允許合適流量通過,禁止未明確允許的服務。
2. 何謂DMZ(demilitarized zone):通常是指不能完全信任的網段,也就是部分保護的網段,DMZ提供「網際網路存取」和「內部網路存取」的網段劃分方式,一般來說只要是外部使用者可直接接觸到的系統,都應該架設在DMZ區段內。
3. 防火牆的基本元件:
屏蔽路由器(screening router):對要通行的ip封包進行過濾和路由的路由器。
壁壘主機(bastion host):普通主機,在軟體上配備了代理服務程式,使內部網路與網際網路之間的通訊橋梁,具有授權認證、存取控制、日誌記錄、監控和審計報告的功能。
壁壘主機如果加上firewall的功能,就變成基本的防火牆架構,稱為雙介面主機架構(dual-homed host)。
詳情可看:http://file.leolo.cc/learning/Network_Security/HTML/chap13/chap13-3.htm
4. 路由與防火牆的簡單架構:
路由器和防火牆:由路由器與和防火牆構成,兩者之間建立DMZ區段。必須利用路由器進行封包過濾,及在DMZ區段中的各主機僅能提供特定的服務類型。
單一防火牆:架構同上,但由防火牆的第三組網路介面建立DMZ網段,此種架構DMZ受到防火牆的保護,而防火牆可受到路由器的保護。
雙層防火牆:DMZ在兩道防火牆之間,外部網域由路由與外道防火牆,DMZ與內部網路間也有一道防火牆。
其他防火牆架構可參考:
http://file.leolo.cc/learning/Network_Security/HTML/chap13/chap13-4.htm
5. 防火牆規則:
(1)first match演算法:特殊的規則放在通用規則的前面。
(2)檢視防火牆的流量負載,依照傳輸的類型排序:一般來說,http的流量最大,將http相關的規則放在所有規則的前面會讓防火牆更有效率。
沒有留言:
張貼留言