建構資訊安全第一道防線

文/台灣賽門鐵克


企業在成長過程中，企業網路多半會因應成長而擴展；在擴展的同時也會帶來安全上的風險：企業網路和行動商務基礎設施的擴張，會導致能夠接觸到機密企業資料的存取點變多，每個存取點都可能是安全脆弱處，可能導致非法使用者也能夠進入這些新擴展的網路。要確保企業能夠繼續在安全、高生產力的情況下運作的重要前提，在於必須知道這些存取點的狀況並作適當設定，以保護企業的智慧財產、商業及私有資產不受駭客、競爭者和電腦惡意破壞者的侵害。
Firewall是什麼？
一般來說，企業內技術上的第一道防線是使用Firewall來保護進出Internet的網路存取，在企業網路和外部網路之間建立起一道屏障，以防護這道邊界的安全，將駭客阻絕於門外。每個Firewall都代表一個單一進入點，所有進入網路的存取行為都會被檢查、並賦予授權及認證。Firewall會根據一套設定好的規則來過濾可疑的網路存取行為，並發出警告。


Firewall的種類
Firewall科技在過去幾年中變化很大，所以企業不管是準備要更新現有的Firewall，或是第一次裝置新的Firewall，都要先知道目前市場上的Firewall種類，及其特定之安全要求。



每一種Firewall，根據其對網路傳輸的處理方式不同，能提供不同程度的安全防護與彈性。以下概述幾種基本的Firewall種類及其所提供的功能：



1. 路由器（Router）



簡單的路由器是一種便宜的安全防護型式。不過，路由器並不能提供完整的安全防護，且缺乏完整企業Firewall所提供的彈性和功能。簡單的路由器是傳統的網路層Firewall，無法做特定複雜的判斷來決定封包的目的地及實際來源。



2. 封包過濾（Packet Filtering）



封包過濾是一種很簡單的Firewall。封包過濾常與路由器結合，且大部分的主要業者都把封包過濾作為內定的組態。這種Firewall會檢查封包的目的地和來源的IP位址、TCP/UDP埠，並根據使用者設定的簡單規則來決定是否接受或拒絕封包。



3. 狀態檢視（Stateful Inspection）



狀態型封包Firewall（有時稱作智慧型封包過濾）使用與封包過濾類似的方法來控制網路傳輸，但會進一步檢查資料封包流的內容，而不只是單純地過濾封包而已。狀態檢視封包Firewall根據封包的來源和目的地
IP 位址、埠號碼及所要求的服務來作判斷過濾。這種Firewall之所以稱作「狀態型」的原因是它們會記住之前的連線狀態，目的是在記憶體中建立每一個資料流中封包的前後關聯。Firewall會根據此前後關聯來檢查每一個新收到的封包，並判斷此封包是新連線或是現有連線的延續。如果是後者，Firewall所進行的檢查動作會比對新連線的檢查少上許多。



這類網路層的Firewall通常比較快，使用者可能甚至不會感覺到有封包檢查動作正在進行，但是簡單也導致此種過濾器的最大缺點：無法辨識出同一台機器上的不同使用者，因為沒有任何一種封包過濾（狀態檢測或是其他種類）在預設組態中能夠進行使用者的認證。如果要作使用者認證，必須另外加上身分認證應用層代理才行。



4. 應用層代理（application proxy）



位於應用層的代理程式是在Firewall上執行的一種軟體，能夠模擬網路連線的來源和目的地兩端。每台電腦跟其他電腦的網路傳輸都必須通過此代理程式，進行資料檢查並檢查連線的合法性，如此一來在檢查資料的過程中能夠有效地將區域網路和Internet隔離開來。代理程式會檢查用戶端電腦送過來的資料，並判斷是否要轉送出去或是丟棄。



每一種不同的網路應用層（如FTP、HTTP、SMTP等）都有其代理程式，模擬其網路協定。因為應用層的Firewall不允許網路之間直接傳輸，所以便可以將通過Firewall的網路傳輸活動作詳細的紀錄和檢查。應用層Firewall所建立的「虛擬連線」會自動將內部用戶端電腦的IP位址隱藏起來，不讓外面的人知曉內部網路的佈置狀況。



選擇Firewall時應該要問的問題
在選擇防火牆時，企業一定要問自己下列問題：



* Firewall必須允許/拒絕的網路協定或應用層網 路傳輸為何？

* Firewall在控制網路傳輸時是否需要作使用者 身份認證 ?

* 如何建立規則？

* 是否可隱藏網址？

* 是否有一個以上的網址，能夠保護網路上數 個web和e-mail伺服器不受攻擊？

* 是否可過濾Java和ActiveX？

* 它如何強化作業系統安全？

* 是否在不影響安全性的情況下處理所有的網
路傳輸活動？

* 是否提供事件紀錄和警告？

* 是否簡單易用？

* 是否支援附加其他的事件報告軟體？

* 是否提供內容阻擋功能？

* 是否具擴充性，以符合未來的需求？

* 是否易於加入遠端的防火牆和行動使用者？

* 是否和市面上其他產品互通？