2007年6月15日 星期五

防火牆的用途(Firewall Purpose)

防火牆是近年才開始受大眾注目,以前都只把焦點放在防毒軟體的能力上

不過,防火牆的用意雖然是好的,可是對於大眾來說,它的功能經常都會讓人摸不著頭緒,甚至會防礙原有操作電腦的順暢性

現在的作業系統,也都預設有防火牆的功能(M$、Linux皆有),不過大多數都是行銷策略的手法,讓大家感覺到物超所值,但實際的應用面就...乏人問津,至於硬體與軟體之間的差異,可以參考筆者先前寫的防火牆的使用,有粗略的說明

今天筆者就來說明一些較為常見的應用與設定:

1. 封鎖Ping的回應:
硬體:通常都具備這設定,只要直接勾選即可(很多Router上就有)
軟體:大多也有相關的設定可以勾選(有些防毒軟體本身就有此功能)

使用Windows內建的防火牆設定:(若有開啟)
控制台 --> Windows防火牆 --> 進階 --> ICMP設定值 --> 確認允許傳入的要求與回應未勾選

2. 限制特定的Port給使用者:(可用來封鎖特定服務)
硬體:以Web的使用模式來設定,較人性化的介面
軟體:預設會開啟常用的Port號,例如:80、21、110...等,其餘需手動鍵入

使用Windows內建的防火牆設定:
控制台 --> Windows防火牆 --> 例外 --> 新增連接埠 --> 選TCP/UDP及Port

3. 使WAN能連線到內部(LAN)伺服器:
硬體:開DeMilitarized Zone(DMZ),或指定Port對應內部主機(NAT
軟體:通常也是利用NAT轉址的方式處理,若需DMZ的功能則需多加一張網路卡

使用Windows內建的防火牆設定:
控制台 --> Windows防火牆 --> 進階 --> 網路連線設定值 --> 選擇接內部伺服器的網卡名 --> 設定值 --> 勾選預設的服務(或手動新增服務與Port號)


其實防火牆的應用有很多,當然也隨著價位高低而有所不同,有的甚至能監控到OSI的Layer7(應用軟體層),當然價格也不是一般人玩的起

不過防火牆最基本的功能就是將特定的Port號關閉,以免電腦疲於應付人為測試與駭客軟體的偵測,而不是指Port(通道)本身具有危險性喔!這一點要再度重申

從筆者以上的說法看起來,似乎硬體的防火牆較好,但是也不盡然,因為重點是在於你想要做到什麼層面的問題,就使用什麼類型的防火牆(當然預算也是一大考量),因為筆者是非常在乎經濟效益的,所以目前也大多是玩軟體或是內建的防火牆

針對公司或多人使用的環境下,硬體防火牆可能就是較優的選擇(目前筆者也在頻估中,有好的建議也請不吝賜教),不過硬體在好,也要懂得原理和一些專有名詞,否則經常見到許多大型的資安事件,就是這樣的疏忽之下所造成的(防護規則的設定衝突而造成失效...等),

告訴我們不是買的愈貴就愈好用,重點還是在管理者身上呀!

PS:在Linux上,也有iptables和不少相關方式可以達到相同效果,同時能夠釐清許多對於實際運作的疑問,如果有興趣的人可以去多試試!(反正免費嘛!)

如果有其他相關的資訊,也請大家不吝嗇的在此發聲討論吧!

8 則留言:

  1. 對於 DDoS 的攻擊,防火牆能夠阻擋或防禦嗎?

    回覆刪除
  2. DDoS(分散式阻斷服務-Distributed Denial of Service)的話,應該是看硬體防火牆本身是否能夠負擔(頂多是該硬體當掉)

    軟體的就別說了!

    因為很有可能會因為突然的龐大流量,讓電腦CPU一直在100%的滿載運作,就什麼事都別想做了

    不過就算硬體本身能夠阻擋,但是也會因此造成網路服務有問題,所以抵擋後,發現頻寬銳減,就要快點查出是否有異樣的流量,封鎖特定的來源

    所以DDoS的攻擊,防火牆是可以提供相關的防護,而無法斷絕這一類的攻擊,因為這一種攻擊的方法,是透過大量主機做跳板來攻擊

    如果你的網路服務比較單純的話,只針對特定對象來開放存取該服務即可,這樣應就不容易受到DDoS的攻擊了

    謎之音:很多ROUTER的設備都說能夠防止DDoS的攻擊,這一點就請大家自行見證,因為一般人也沒人會對你用DDoS吧!哈..

    回覆刪除
  3. 多謝您的指點~感恩~

    回覆刪除
  4. 別這麼說!這裡原本就是大家可以共同討論的地方呀!

    以後還請你不吝賜教!

    回覆刪除
  5. 正宗的DDoS攻擊通常來自「不特定的大多數」。遇到這種時候,就把機器關掉比較快吧;)

    回覆刪除
  6. 是沒錯呀!
    直接關機是個好方法之一!

    不過,如果是很重要的網站,直接關機要經過多少人的點頭跟確定!(雖然受到DDoS也沒啥用了)

    但是好像這是最後手段!

    哈哈,畢竟還是希望能救就救吧!老闆只會要求結果的,過程是我們這一種人要煩惱的!

    回覆刪除
  7. 設定六小時候重新開機,然後關機。然後在DNS設定把所有的reguest轉到刑事局電腦犯罪防治中心...XD

    (好吧,我是來亂的)

    回覆刪除
  8. 這樣子的話!可能不知道是誰會先出事
    刑事局的可能會以為發生啥重大事件
    而且,我會不會也變成了幫兇呀!哈~~

    不過話說回來!那個dns除非是自己設的
    如果主機在別的地方可能要生效也沒有這麼快吧!

    就連某大isp業者也要24hrs....
    那時可能別人的DDoS也玩完了吧~哈

    不過這一招來亂的不錯呀~下次拿來玩看看~只是不能玩刑事局~

    VINCENT大大~你的BLOG就借我玩看看吧!(逃...)

    回覆刪除