1、防火牆 (Firewall) 是用來保護網路免於外界入侵的硬體或軟體，所使用的方法是針對可透過連接其他網路的路由器傳入的流量加以控制。雖然大部分的人認為防火牆可以防止 Internet 入侵者，它其實也可以保護 LAN 不受其他 LAN 使用者的干擾。如果沒有防火牆，外部使用者就可以存取內部網路的檔案，傳入病毒，使用您的服務來從事破壞，或甚至刪除整個硬碟。依據網路的規模、系統的功能和危險程度而定，防火牆的形式將會有所不同。這個用語已被廣泛用來代表針對外部影響所作的各種保護；但其實真正的防火牆是由許多網路元件實作的一組安全原則，它們所能控制的不止是允許進入網路的流量，可能還包括允許送出的流量。舉

2、例來說，除了拒絕 Internet 使用者存取您網路上的系統，您也可以利用防火牆讓內部的使用者在收發 Internet 電子郵件之餘無法瀏覽 Web。 防火牆保護採用以下兩種基本原則，如何選擇通常取決於網路所需的安全程度和網路使用者的需要： 。n 未特定允許的一切皆遭到拒絕。n 未特定拒絕的一切皆被允許。您可以從完全限制一切的網路開始著手，然後開放讓特定類型的流量能夠進入；或者從完全開放的網路開始著手，然後鎖定特定的流量類型屬於入侵並予以阻絕。前者比較安全而且通常建議用在所有的環境，但是這種方法過分強調安全性而忽略了使用上的方便性。後者比較不安全但網路在使用上比較方便。這種方法也迫使管理員必須

3、試著了解防火牆的許多相關技術，因為所謂的 Internet 駭客大多具有豐富而多變的入侵能力，要阻止他們的活動非常困難。網路管理員也可以利用各種技術來實施這些原則並保護網路上的各種系統。以下各節介紹其中的一些技術及其應用。封包過濾 封包過濾 (Packet Filtering) 是路由器和防火牆的功能之一，利用管理員所指定的規則來判斷是否允許封包傳遞通過防火牆。這些規則是以每個封包的協定表頭中所提供的資訊作為依據，包括下列資訊：n IP 來源與目的地位址n n 封裝的協定n來源與目的地連接埠nICMP 訊息類型n內傳與外送介面採用上述準則的任意組合，您就可以指定允許哪些封包經過防火牆。例如您可

4、以指定 Internet 上有哪些電腦的 IP 位址能夠使用 Telnet 協定來和區域網路上的特定電腦通訊。除了具有規則中所指定的來源 IP 位址的封包外，使用埠號 23 (Telnet 協定的常用埠號) 並且是要傳送到指定目的地 IP 位址的封包將全部被丟棄。網路管理員可以利用這個規則，允許某些遠端使用者 (例如其他管理員) 利用 Telnet 進入網路系統，其他人則全部拒絕存取。這就是所謂的服務相依型過濾 (Service-Dependent Filtering)，因為它是為了控制特定服務如 Telnet 的流量而設計的。 服務無關型過濾 (Service-Independent Fil

5、tering) 則可阻擋與服務無關的特定入侵類型。舉例來說，駭客可能試著藉由產生偽裝成來自內部系統的封包來存取私人網路上的電腦。雖然封包中含有內部系統的 IP 位址，封包通過連接 Internet 的介面後卻抵達路由器。設定完善的過濾方式可以把內部系統的 IP 位址和內部網路的介面關聯起來，因此能夠偵測到來自 Internet 上具有這些來源 IP 位址的封包並予以丟棄。 許多路由器目前已整合封包過濾功能，所以實施這種防護不需要額外的投資成本，您也不必修改用戶端軟體或程序。然而若要建立一組篩選原則以提供適當保護，讓網路得以免於各種類型的侵犯，就必須具備各種協定和服務運作方式的相關知識，但即使如

6、此亦無法防止某些型式的入侵。封包過濾也會造成路由器的額外負擔，而且過濾原則愈複雜負擔愈大。Proxy 伺服器 Proxy 伺服器也稱為應用層閘道或碉堡主機 (Bastion Host)，它所提供的安全性比封包過濾更高但只能控制特定應用程式的存取。Proxy 伺服器基本上是用戶端和伺服器之間特定服務的中介者。封包過濾可以阻斷用戶端與伺服器之間關於該服務的直接通訊；流量全部改為送到 Proxy 伺服器 (參閱圖 26-2)。 Proxy 伺服器更了解特定應用程式及其功能，因此更能夠精確地控制應用程式所產生的通訊。防火牆可能針對用戶端系統所需的每一種應用程式分別執行個別的 Proxy 伺服器，如圖

7、26-3。 目前最常用的 Proxy 伺服器是用在 Web 上。網路用戶端的瀏覽器設定為傳送所有的請求給 Proxy 伺服器，而不是實際要送達的 Internet 伺服器。直接連接 Internet 的 Proxy 伺服器再傳送同一份文件的請求給目標 Internet 伺服器，以自己的 IP 位址當作請求的來源，接收來自伺服器的回覆，最後傳送回應給產生請求的原始用戶端。圖26-2 Proxy伺服器轉送用戶端與伺服器之間的應用程式流量圖26-3單一Proxy伺服器產品可能為許多應用程式提供個別的閘道 由於在 Internet 上只能看到 Proxy 伺服器的位址，Internet 入侵者便無法存

8、取網路上的用戶端。此外伺服器也會分析來自 Internet 的每個封包。只有針對特定請求所作出的回應封包才能進入，伺服器有時甚至還會檢查資料是否含有危險成分。Proxy 伺服器能夠非常精準地控制使用者的流量。以典型的 Web Proxy 伺服器為例，網路管理員可以利用它來記錄使用者的 Web 活動，限制使用者存取某些網站或限制存取時段，甚至將經常存取的網站快取於 Proxy 伺服器上，而讓其他用戶端得以更迅速取得相同的資訊。 Proxy 伺服器的缺點在於每一種應用都需要一部伺服器，而且必須對用戶端程式作修改。例如 Web 瀏覽器就必須設定 Proxy 伺服器位址才能使用伺服器。原則上每個用戶端

9、瀏覽器都必須手動修改這項設定，但目前也有一些協定讓用戶端能夠自動偵測 Proxy 伺服器並據以自行設定。併用防火牆技術 您可以透過各種方式來併用上述防火牆技術以保護您的網路。如果只需具備用戶端 Internet 存取能力，只用封包過濾或併用 Proxy 伺服器即可提供足夠的防火牆能力。加上 Proxy 伺服器能夠增強封包過濾以外的網路安全防護，也就是提供雙重保護能力。但是如果您要架設伺服器放在 Internet 上讓人存取，問題就變得更複雜。 在這種環境下，最安全的防火牆組合之一是遮蔽式子網路防火牆 (Screened Subnet Firewall)。這種防火牆在私人網路和 Internet

10、 之間構成一個中介區 (DMZ) 網路。如果使用兩臺具備封包過濾功能的路由器，您就可以建立一個含有 Proxy 伺服器的 DMZ 網路，整個網路包含 Web、電子郵件與 FTP 伺服器，以及要在 Internet 上公佈的其他電腦，如圖 26-4。圖26-4遮蔽式子網路防火牆為私人網路提供三層防護 這種複雜的防火牆機制必須針對特殊的安裝來設定，而且需要大量時間、金錢和專業知識。供企業網路使用的多功能防火牆軟體其價格不斐，佈署上也非常困難。但相較於駭客入侵而導致資料遺失來說，這種保護網路的自動更新使用者體驗 分頁拖放排序能讓您在瀏覽時更容易管理分頁。 討人厭的彈出型廣告越來越多，強化後的彈出型視

11、窗封鎖功能讓廣告不再擾人。 某些語言版本加入了 A 搜尋引擎。 改善的即時書籤功能，現在更容易找到可訂閱的 RSS 消息來源。 增強的選項介面讓您更容易調整瀏覽器設定。 安全性和隱私 新的自動更新系統會在有安全或功能更新時自動提示，讓您的瀏覽器隨時保持最新狀態。藉由此更新系統，網路新手和初級使用者只需安裝瀏覽器，其他升級瑣事都交給 Fire fox 搞定，瀏覽器會幫您留意有無安全性更新。 清除隱私資料讓您輕鬆維護自己的隱私。使用者可以透過視窗選擇要清除像歷史記錄、表單資料等個人隱私資訊。 執行效能和瀏覽體驗 改善效能後的次世代的網頁描繪及佈局引擎和整合快取機制的快速往返功能，讓複雜網頁顯示的更快。 IBM 貢獻的新功能讓年邁或視力受損的使用者能輕鬆瀏覽網路。瀏覽器會念出網頁上的內容；讓使用者用按鍵敲擊取代滑鼠瀏覽網路