C03-101
防火牆原理、架構和種類介紹
單元1：
防火牆定義
防火牆定義
• 一種安全機制，
用來隔離兩個安
全信任度不同的
網路。
• 可由軟體或硬體
來實作，利用系
統所建立的安全
性規則，有效的
控制對內與對外
流量。
非信任網路
信任網路
網際 網路
未授權存取
拒絕
未授權連線
拒絕
為何需要防火牆
• 網路攻擊、入侵與破壞事件日益嚴重，組織單
位極需要一套有效的安全性防禦技術。
• 組織單位需要一個集中落實安全性政策的機制。
• 組織單位需要集中的稽核記錄所有進出的流量，
以利事後的安全性查核與分析。
• 防火牆無疑是達成上述安全性要求, 保護組織
單位網路最有效的方式之一。
防火牆能做些什麼
4.偵測與避
免非經授
權者存取
組織單位
網路資源
3.記錄及監控內部
與網際網路活動
2.有效的控管非必要或
有安全性疑慮的封包
避免非法入侵
記錄流量
風險威脅
過濾封包
位址轉譯
咽喉點
1.形成內部網路與網際網路的咽喉點
(Choke Point)，落實安全性政策
5.避免耗費大量公開位址
6.避免內部網路資訊直接暴露在外
單元2：
防火牆類型
防火牆類型
• 封包過濾防火牆 (Packet-filtering Firewall)
• 狀態檢視防火牆 (stateful Inspection Firewall)
• 代理防火牆 (Proxy)
– 電路閘道器(Circuit Level gateway)
– 應用程式閘道器 (application-level gateway)
• 混合型防火牆(Hybrid Firewall)
單元2：防火牆的類型
封包過濾防火牆
封包過濾防火牆
• 封包過濾防火牆為第一代防火牆，提供網路層
封包篩選的基本功能。
• 依據定義好的存取規則，應用到每個流入或流
出的IP封包上，以決定是否允許或阻止封包的
進出。
內部網路
網際網路
拒絕
允許
來源端
目的端
通訊
協定
位址
埠號
位址
埠號
動作
方式
TCP
10.0.0.x
High
Any
80
允許
TCP
Any
80
10.0.0.x
High
允許
存取規則
封包過濾的特性
•通常只檢查IP、
TCP、UDP、
ICMP封包的
標頭(Header)，
並不會檢查
資料段內容。
•獨立的過濾
個別封包。
拒絕
允許
來源端
目的端
通訊
協定
位址
埠號
位址
埠號
動作
方式
TCP
10.0.0.x
High
Any
80
允許
TCP
Any
80
10.0.0.x
High
允許
目的端位址
來源端位址
目的端埠號
來源端埠號
資料
TCP/UDP封包
IP封包
封包過濾的原理
• 封包過濾防火牆會
依據封包標頭的下
面欄位檢查:
– 來源地的 IP 位址
拒絕
允許
來源端
目的端
通訊
協定
– 目的地的 IP 位址
位址
埠號
位址
埠號
動作
方式
TCP
10.0.0.x
High
Any
80
允許
– 協定(TCP, UDP,… )
TCP
Any
80
10.0.0.x
High
允許
– TCP或UDP的來源埠
– TCP或UDP的目的埠
– ICMP 的訊息種類
目的端位址
來源端位址
目的端埠號
來源端埠號
資料
TCP/UDP封包
IP封包
封包過濾防火牆優缺點
• 優點：
– 建置簡單便宜
– 效率佳。
– 具透通性，用戶端機器無需作任何設定。
• 缺點：
– 難以設計出一組長期有效又正確的無誤過濾規則。
– 無法處理應用層協定，所以對於封包資料段或特定
應用服務弱點的攻擊方式無能為力。
– 缺乏驗證能力。
– 安全性較差。
其它封包過濾機制
• 封包過濾雖是防火牆最基本的機制，但並非只
有防火牆可以提供封包過濾的功能。
• 許多網路系統均可以提供封包過濾功能：
–
–
–
–
作業系統 (Operating Systems)
路由器 (Routers ；e.g. IOS ACL)
特定網路服務 (Specific Network Service)
其他網路設備(e.g. L3/L4 Switch)
• 整合這些具備封包過濾能力的設備裝置或服務，
將有助建構一個多層次保護的防禦系統。
單元2：防火牆的類型
狀態檢視防火牆
狀態檢視防火牆定義
狀態檢視防火牆 (Stateful Inspection Firewall)
“是一種動態封包過濾的防火牆技術，能夠
更細部(more granularly) 的檢視封包及連線
工作階段的防火牆類型。”
狀態檢視防火牆運作特性
• 狀態檢視防火牆不僅採用封包過濾類似的方法
來監控網路傳輸，還會更進一步檢查封包資料
流的內容與行為，並非只是單純地過濾個別封
包。
• 持續追蹤連接狀態直到結束連線為止，藉以判
斷是否為有效的連線而允許封包通過。
• 建立每個連線階段的狀態表，然後根據此前後
關聯狀況來判斷是否允許或拒絕此封包通過。
(monitor the state of the connection at all times)
狀態檢視防火牆
(3)
(1)
(2)
TCP SYN 封包
來源：102.1.1.2:6431
目的：210.2.2.1:80
建立連線
內部機器
10.1.1.2
TCP SYN 封包
來源：102.1.1.2:6431
目的：210.2.2.1:80
(6)
(4)
TCP SYN/ACK 封包
來源：210.2.2.1:80
目的：102.1.1.2:6431
TCP SYN/ACK 封包
來源：210..2.2.1:80
目的：102.1.1.2:6431
(5)
檢查連線 OK
網際網路
伺服器
(7) ACK
(8) 資料傳輸 (允許)
狀
態
表
通訊協定
來源端
目的端
狀態
位址
埠號
位址
埠號
TCP
102.1.1.2
6431
210.2.2.1
80
OK
… .
… ..
… .
… .
… .
… .
狀態檢視防火牆優劣
• 優點
– 狀態檢視防火牆可以透過連線狀態來判斷是否為合
法授權的封包，所以安全性較靜態封包過濾防火牆
為高
• 缺點
– 效能較封包過濾稍差
– 無法處理應用層協定
• 狀態檢視防火牆通常是一種安全性與效能上取
捨與妥協下常被採用的防火牆類型。
單元2：防火牆的類型
代理防火牆
代理伺服器原理與種類
• 原理
– 強調用戶端程式必需與代理伺服器接洽，再透過它
來與目的機器連通，而非直接讓用戶端連接真正的
目的地。
– 可以評估來自用戶端程式的請求並決定是否代其服
務，如用戶請求被允許，代理伺服器會將其請求傳
至真正的伺服器，並將回應回傳至用戶端程式。
• 代理伺服器(Proxy Server)針對封包處理層次上
的差異又可分成下列二種類型：
– 電路層閘道器 (Circuit-Level Gateway)
– 應用層閘道器(Application-Level Gateway)
電路層閘道器
• 電路層閘道器運作原理
– 針對內部使用者要和外部進行TCP連線時，會建立
二個TCP連線處理，一個是內部使用者和閘道器間
的TCP連線，另一個是閘道器與與外部的連線。
– 不允許用戶端點與網際網路伺服端點間的直接連線，
可以隱藏內部IP位址。
– 處理封包標頭和連線狀況。
– 一種屬於共通的代理程式，並非特定應用程的代理
器。
• 目前最普遍的電路防火牆是用IETF的網路代理
協定-SOCKS來建置。
電路層閘道器運作
電路層閘道器
外部連線
網際網路
伺服器
Out
In
Out
In
Out
In
內部連線
用戶端
電路層閘道器優缺點
• 優點：
– 通常比另一種應用層代理閘道器快速。
– 為一般目的的共用型代理服務，可支援許多應用層
協定的代理存取功能。
– 提供比封包過濾防火牆較佳的記錄功能。
• 缺點：
– 需要修改用戶端應用程式或TCP/IP協定堆疊。
– 無法處理應用層協定。
– 除了TCP、UDP外，並無法限制其它協定 (如ICMP) 。
應用層閘道器
• 一種更深度檢視封包內容的代理(Proxy)服務。
• 需要在防火牆主機執行特定應用程式，負責應
用層級的訊息過濾與轉送處理。
• 應用層代理程式負責處理特定應用層協定(例
HTTP) 的請求，並依據此應用協定的安全性規
則，將請求傳送給真正的服務主機或拒絕之。
• 主要依據應用層的資訊來決定是否放行封包流
量(例如傳送給FTP的命令或HTTP 的URL) 。
應用層閘道器防火牆
網際網路
HTTP
規則組態
SMTP
規則組態
DNS
規則組態
IM
規則組態
應用層閘道器
應用層閘道的功能
• 處理較複雜的應用層服務。
• 可過濾傳送的資料內容(Contents) 與命令，確
保某應用層協定的內容安全 (例 HTTP, FTP, EMAIL) 。
• 可支援嚴謹的使用者驗證(User Authentication)
功能。
應用層閘道器優點
• 安全較高：
– 支援代理存取，可避免內外直接連線並隱藏內部位
址。
– 可過濾封包內容(Contents) 與命令來阻斷針對應用
協定弱點的攻擊。
– 若閘道器中沒有包含某種特定程式的代理程式碼的
話，則此種類型的封包將無法進出防火牆。
• 對於應用層協定的流量進出，可以作較詳盡的
記錄或稽核。
應用層閘道器缺點
• 效能較差
– 需針對特定應用層的連線或作內容或命令篩選。
• 擴充性差
– 需針對每個應用類型撰寫對應的代理程式，不僅擴
充性差且代理程式價錢高。
• 管理及系統資源負荷較高
– 應用層閘道器設定複雜度較高，較可能因設定不當
而造成存取問題，此外，也比較耗費系統資源。
單元2：防火牆的類型
防火牆類型差異比較
不同防火牆類型的差異
• 封包篩選與檢查方式
• 效率
– 不同防火牆類型的篩選及代理處理作業將會影響
到網路效能。
• 透通度
– 使用防火牆是否需要用戶端作額外的設定與安裝
軟體。
• 安全性
– 不同防火牆類型攔阻不安全的流量能力不同。
防火牆類型比較表
類型/功能
運作層次(OSI)
封包過濾
應用層閘道
第三層(網路層) 第七層(應用層)
電路層閘道
第四層(傳輸層)
運作機制
路由器
代理程式
代理程式
運作效率
最高
最低
介於二者間
建置價格
最便宜
最昂貴
介於二者間
建置容易度
最容易
最難
介於二者間
完全通透
不完全通透
透通
最弱
最強
介於二者間
通透性
安全管控能力
混合型防火牆
• 混合型防火牆 (hybrid firewall)
• 許多防火牆均可同時提供封包過濾、狀態檢視
和代理閘道器的功能稱之。
• 利用混合型防火牆以循序性的方式套用多種過
濾篩選方式，將可加強安全性。
1.
1.封包過濾
封包過濾
2.
2.狀態檢視
狀態檢視
3.
3.代理
代理
單元3：防火牆架構
架構設計考量因素
防火牆架構設計考量
• 不同的防火牆架構，提供不同的防禦效果與安
全度。
• 防火牆架構設計考量的重要因素：
– 採用幾層保護。
– 是否整合路由器的封包過濾功能。
– 是否要建構非軍事區 (Demilitarized zone；又稱為
Screened Subnet 或 Perimeter Network) 。
– 如何建構非軍事區。
單元3：防火牆架構
基本防火牆架構介紹
基本防火牆架構
• 雙介面主機防火牆 (Dual-Homed Hosts)
• 屏蔽式主機防火牆(Screened Hosts Firewall)
• 屏蔽式子網路防火牆 (Screened subnet Firewall)
雙介面主機防火牆(Dual-homed)
• 一種簡單的防火牆架構，主機安裝二張獨立的網路介面
以區隔內外網路並作為防禦主機 (bastion host) 。
• 雙介面防火牆通常採用網路服務代理型的防火牆，即內
部網路與外部網路間的封包遞送，都需要依賴雙介面主
機的代理服務。
網際網路
企業網路
(Intranet)
防火牆
※ 防火牆主機安裝二片網路卡，以區隔內外網路
屏蔽式主機防火牆(Screening Host)
網際網路
1.於防火牆主
機前端加裝
一個屏蔽路
由器
屏蔽路由器
(Screening
Router)
2.設定屏蔽路由器只
允許傳送目的地與
來源是防禦主機的
封包才可以通行
3.扮演防禦主機的防
火牆不會直接連接到
網際網路
企業網路
防火牆
4.防禦主機執行代理
存取及驗證功能
屏蔽式子網路防火牆(Screening Subnet)
網際網路
2.防火牆扮演支援
代理存取的防禦
主機
企業網路
(Intranet)
屏蔽路由器
(Screening
Router)
1.包含兩個單獨的屏
蔽式路由器，提供
三層防護
防火牆
屏蔽路由器
3.即使侵入了外部
路由器，仍有防
火牆和內部路由
器保護內部網路
單元3：防火牆架構
防火牆的非軍事區(DMZ)
非軍事區(DMZ)
• DMZ原為南北韓停戰協定中，南北雙方沿著北
緯38度線各自向後撤退2公里，而形成的一種
避免衝突的非軍事區。
• 介於內部網路與Internet間的區域(子網路) ，作
為內外網路間的安全性緩衝地帶。
• 在防火牆架構中，DMZ區域是提供Internet使用
者存取網際網路伺服器的網路區域，如Web
server或DNS server 。
• 此區採取(部份)開放措施，較容易成為入侵對
象，不過由DMZ和內部網路是分隔開來的，因
此即使遭到攻擊也不會危及內部網路。
簡單DMZ設計的防火牆架構
非軍事管制區
(DMZ)
網際網路
防火牆
(Three-Homed)
內部網路
較複雜DMZ設計的防火牆架構
非軍事管制區 (DMZ)
網際網路
屏蔽路由器
外部防火牆
內部防火牆
組織單位網路
單元4：
課程結論
防火牆的限制
• 防火牆並非萬能
–
–
–
–
無法管制內部的駭客。
無法管制到不經過它的網路連線。
無法防制新的威脅。
無法有效的防範病毒。
結論
• 防火牆為組織單位連接網際網路必要的防禦系
統，也是組織集中落實安全性政策的機制。
• 不同的防火牆類型不僅提供了不同的封包篩選
及檢視方式，也具備不同的安全度、效率、用
戶端透通性與成本。
• 不同的防火牆架構也擁有不同的成本與安全度。
• 近年防火牆發展趨勢己是逐漸整合其它入侵偵
測、VPN、內容過濾等其它防禦功能形成具備
防禦縱深與多層次保護的系統。