前言

一旦連上網路，就充滿各種危機。

許多人基於各式各樣的理由，想侵入你的系統，這種人俗稱為 cracker。尤有甚者，近年來，cracker 圈裡流行一種結合病毒行為及系統漏洞的入侵工具，稱為網虫(Netwrom)，它以類似網路機器人(robot)的模式，到處掃射咬噬，已形成泛濫。比如：Lion、CodeRed、Nimda 等。現在你只要將一台新安裝好的Win平台的機器連上網路，不消幾分鐘之內，即可釣中一堆 CoreRed 或 Nimda 咬噬的封包。

傳統上，為了保護自身內部網路的安全，另一方面，也為了可以做 網路進出交通 的控管，通常所採用的方法是建構一層網路防火牆系統，在外部網路和內部網路之間，構築一道屏障，以做為安全的區隔，使得特定的封包才能進入我們的內部網路，而將大部份奇奇怪怪的封包，如 Nimda 網虫掃射的封包，完全隔離在外，但同時，又可允許內部網路的機器自在地對外連線，內部的使用者上網的行為甚少需要有任何改變。

換言之，防火牆系統可區隔網路封包，使內部網路中流通的封包十分乾淨，更讓網路管理者在安裝新機器時，比如 NT/W2K，不致於一裝好、連上網路就中標。單就這點，防火牆系統對校園網路管理者而言，就十分有價值。

不過，防火牆系統十分昂貴，平民百姓及小單位的我們實在買不起，而且其功能也未必就如其所宣稱的那樣足以符合我們的需求。因此許多前賢開始尋找其它替代的方案，在低成本、高效益、彈性大的考量下，使用 FreeBSD/OpenBSD/Linux 來建構小型防火牆系統蔚為流行。甚至許多公司拿 FreeBSD/Linux的防火牆機制為基礎，製造出商用的防火牆系統；國內某一知名的防火牆公司，其防火核心即源自於 Linux。

什麼是網路防火牆？

根據前述，在此我給防火牆一個簡單的定義 (這是OLS3自己的說法，若有誤謬，請不吝指正)。

"防火牆" 是指一套用來明顯區隔兩個(或以上)網路之間的一組軟硬體裝置， 使網管人員得以事先制定種種安全規則，針對網路交通及安全程度，進行過濾控制和調整， 最大的目的在於防止網路遭受入侵。

防火牆的種類？

防火牆大概可以分為以下三種：

• 封包過濾式 (Packet Filtering Firewall)

• 閘道式

• 代理式

簡單說明如下:

所謂封包過濾式防火牆是指：利用作業系統，在 IP 層及傳輸層運作，藉由檢查封包的 IP 表頭，來決定該封包的路由(放行/轉向/丟棄/拒絕)，而達到保護自身網路的功能。本次研習要介紹的防火牆，即屬於封包過濾式的。這種防火牆的優點是：效能好、控管性高、成本低廉。

所謂閘道式防火牆是指：所有外部網路可以到達的地方，僅止於這台閘道主機，而內部網路的使用者欲連至外部網路，需要先登入這台閘道主機。

所謂代理式防火牆是指：針對每一種應用服務程式，做代理伺服的工作，clietn端的使用者其實是和這台代理主機連接，而非外部網路的主機，但卻可使client端的使用者，感覺到他真的在取用外部網路的主機服務一樣，此種特性，稱為 Proxy。代理式防火牆的優點是：可確保資料的完整性，只有特定的服務才會被交換，並可針對其內容做過濾防毒，可進行高階的存取控制。

現代功能完備的的防火牆，經常結合封包過濾及Proxy代理這二種特性，不過價格相常地高。以中小學校園網路而言，封包過濾式的防火牆，其實已足敷需要了。