一、 防火牆 iptables 的架設及 log分析
l 防火牆基本概念
防火牆原來是車上的一個設備術語,為介於駕駛面板與引擎室之間的擋板,用以隔離引
擎和乘客,萬一引擎爆炸時可以阻止火勢的蔓延,發揮保護乘客的功能。而網路上所謂的防
火牆則是一套能夠在兩個或兩個以上的網路之間,明顯區隔出一條界線的電腦軟硬體裝置的
組合。理論上,當網路間有安全上的考量時即可裝設防火牆,但一般來說,防火牆大多架設
於網際網路與組織內部網路之間,成為內部受信任的網路與外部不受信任的網路之間的區隔
通口。防火牆是一個雙向的安全管理機制,不僅能防止外界的入侵,也可以限制內部主機對
外的通訊。較具體的來說,它只允許一些特定的資料通過,不論是從外面進入內部網路亦或
是內部網路傳輸到外界的資料,都必須經過防火牆的確認手續才能放行,而這些確認手續是
由一些事先設定的安全規則(rule)和政策(policy)來完成的,而防火牆管理人員也應能可
視風險程度對於安全控制的程度作彈性調適。值得注意的是,防火牆必須是兩個網路間唯一
的通口。倘若網路中尚存在著其它未受保護的通口(例如內部用戶擅自加裝的數據機撥接
點),則入侵者也可能擇門而入,如此防火牆將形同虛設。
l 防火牆的種類
依照各種不同分類的方法,可分成很多種,加上科技不斷進步許多複合的功能不斷出現,
所以在此僅就常見的防火牆種類作簡單說明。
1.封包過濾式防火牆 (Packet Filter)
利用封包過濾是最早被用來作為網路防火牆的技術,是在 OSI 七層架構中第三層以下
的網路中運作。封包過濾器的功能主要是檢查過往的每一個 IP 資料封包,如果其表頭中所
含的資料內容符合事先設定的可信賴安全標準就放行通過,反之則阻檔在門外。最簡單、
也最常見的的封包過濾器就是擴充原本路由器(Router)的功能,router 的主要工作便是按目
的位址轉送封包,一般可在 router 上設定 access control list(ACL)來限制某些來源點或目
的地的封包流通或是予以丟棄。封包過濾式防火牆的最大優點是速度快、容易建置、設置
成本較低並具有完全通透性(Transparency)。
2. 代理式防火牆(Proxy)
代理式防火牆會將所有內外的連線予以接管,採用的策略是 store-and-forward。從安全
的角度來看,proxy 比起 filter 更加可靠:因為它將內部與外部網路完全區隔開來了,除
非它幫您做連線代理,否則別想建立連線。而且,內部網路對外部網路而言,是完全"隱形
"的!
3. 應用層防火牆(Application)
