2007年6月15日 星期五

防火牆的用途(Firewall Purpose)

防火牆是近年才開始受大眾注目,以前都只把焦點放在防毒軟體的能力上

不過,防火牆的用意雖然是好的,可是對於大眾來說,它的功能經常都會讓人摸不著頭緒,甚至會防礙原有操作電腦的順暢性

現在的作業系統,也都預設有防火牆的功能(M$、Linux皆有),不過大多數都是行銷策略的手法,讓大家感覺到物超所值,但實際的應用面就...乏人問津,至於硬體與軟體之間的差異,可以參考筆者先前寫的防火牆的使用,有粗略的說明

今天筆者就來說明一些較為常見的應用與設定:

1. 封鎖Ping的回應:
硬體:通常都具備這設定,只要直接勾選即可(很多Router上就有)
軟體:大多也有相關的設定可以勾選(有些防毒軟體本身就有此功能)

使用Windows內建的防火牆設定:(若有開啟)
控制台 --> Windows防火牆 --> 進階 --> ICMP設定值 --> 確認允許傳入的要求與回應未勾選

2. 限制特定的Port給使用者:(可用來封鎖特定服務)
硬體:以Web的使用模式來設定,較人性化的介面
軟體:預設會開啟常用的Port號,例如:80、21、110...等,其餘需手動鍵入

使用Windows內建的防火牆設定:
控制台 --> Windows防火牆 --> 例外 --> 新增連接埠 --> 選TCP/UDP及Port

3. 使WAN能連線到內部(LAN)伺服器:
硬體:開DeMilitarized Zone(DMZ),或指定Port對應內部主機(NAT
軟體:通常也是利用NAT轉址的方式處理,若需DMZ的功能則需多加一張網路卡

使用Windows內建的防火牆設定:
控制台 --> Windows防火牆 --> 進階 --> 網路連線設定值 --> 選擇接內部伺服器的網卡名 --> 設定值 --> 勾選預設的服務(或手動新增服務與Port號)


其實防火牆的應用有很多,當然也隨著價位高低而有所不同,有的甚至能監控到OSI的Layer7(應用軟體層),當然價格也不是一般人玩的起

不過防火牆最基本的功能就是將特定的Port號關閉,以免電腦疲於應付人為測試與駭客軟體的偵測,而不是指Port(通道)本身具有危險性喔!這一點要再度重申

從筆者以上的說法看起來,似乎硬體的防火牆較好,但是也不盡然,因為重點是在於你想要做到什麼層面的問題,就使用什麼類型的防火牆(當然預算也是一大考量),因為筆者是非常在乎經濟效益的,所以目前也大多是玩軟體或是內建的防火牆

針對公司或多人使用的環境下,硬體防火牆可能就是較優的選擇(目前筆者也在頻估中,有好的建議也請不吝賜教),不過硬體在好,也要懂得原理和一些專有名詞,否則經常見到許多大型的資安事件,就是這樣的疏忽之下所造成的(防護規則的設定衝突而造成失效...等),

告訴我們不是買的愈貴就愈好用,重點還是在管理者身上呀!

PS:在Linux上,也有iptables和不少相關方式可以達到相同效果,同時能夠釐清許多對於實際運作的疑問,如果有興趣的人可以去多試試!(反正免費嘛!)

如果有其他相關的資訊,也請大家不吝嗇的在此發聲討論吧!