什 么 是 防 火 墻

　　防 火 墻 ( Firewall ) 是 一 個(gè) 定 位 用 來 分 隔 兩 個(gè) 不 同 網(wǎng) 路 的 網(wǎng) 路 安 全 裝 置 ， 通 常 是 介 于 企 業(yè) 機(jī) 構(gòu) 的 內(nèi) 部 、 受 信 任 的 網(wǎng) 路 和 互 聯(lián) 網(wǎng)。它 是 由 Sun Microsystems 和 CheckPoint Software Technologies 分 別 研 製 的 一 種 網(wǎng) 路 安 全 保 護(hù) 系 統(tǒng) 。

　　防 火 墻 做 些 什 么

　　防 火 墻 確 保 所 有 嘗 試 從 一 個(gè) 網(wǎng) 路 穿 越 到 其 他 網(wǎng) 路 的 流 量 得 以 符 合 企 業(yè) 的 安 全 政 策 。 防 火 墻 追 蹤 及 控 制 通 訊 ， 決 定 哪 些 數(shù) 據(jù) 被 允 許 、 拒 絕 或 加 密 處 理 ， 防 止 黑 客 入 侵 及 過 瀘 電 郵 病 毒 。 為 了 能 更 進(jìn) 一 步 的 保 護(hù) 受 信 任 的 網(wǎng) 路 不 受 互 聯(lián) 網(wǎng) 的 侵 害 ， 越 來 越 多 的 防 火 墻 被 部 署 來 保 護(hù) 區(qū) 域 網(wǎng) 路 和 個(gè) 人 的 電 腦 。

　　為 何 企 業(yè) 需 要 防火 墻

　　全 球 的 企 業(yè) 藉 由 互 聯(lián) 網(wǎng) 的 技 術(shù) 來 獲 取 新 的 和 有 利 的 企 業(yè) 關(guān) 係 。 防 火 墻 協(xié) 助 企 業(yè) 平 衡 開 放 的 互 聯(lián) 網(wǎng) 與 保 護(hù) 私 密 性 和 敏 感 企 業(yè) 通 訊 完 整 性 的 需 要 ， 監(jiān) 控 企 業(yè) 內(nèi) 部 對(duì) 互 聯(lián) 網(wǎng) 的 使 用 。

　　防 火 墻 是 如 何 運(yùn) 作 的

　　以 歷 史 的 觀 點(diǎn) 而 言 ， 有 3 種 不同 的 技 術(shù) 被 使 用 來 作 為 防 火 墻 ： 封 包 過 濾 ( Packet Filters ) 、 應(yīng) 用 層 閘 道 ( Application-Layer Gateways ) 和 狀 態(tài) 檢 視 ( Stateful Inspection ) 。

　　阻 斷 式 服 務(wù) 攻 擊(DoS / Denial of Service)

　　談 到 駭 客 攻 擊 的 方 式 ， 這 些 方 式 可 說 包 羅 萬 象 亦 難 以 歸 類 ， 在 這 裡 僅 介 紹 幾 種 較 為 常 見 與 熱 門 的 方 式 ： 阻 斷 式 服 務(wù) 攻 擊(DoS / Denial of Service)

　　DoS 是 一 種 點(diǎn) 對(duì) 點(diǎn) 的 網(wǎng) 路 攻 擊 方 式 ， 攻 擊 的 對(duì) 向 是 Internet 上 的 網(wǎng) 路 和 裝 置 。 攻 擊 者 可 藉 由 不 正 當(dāng) 的 方 式 使 得 網(wǎng) 路 伺 服 器 因 忙 碌 著 回 應(yīng) 合 法 的 存 取 要 求 或 拒 絕 使 用 者 的 存 取 ， 達(dá) 到 干 擾 正 常 系 統(tǒng) 運(yùn) 作 的 進(jìn) 行 ， 服 務(wù) 主 機(jī) 疲 于 奔 命 最 后 幾 乎 當(dāng) 機(jī) ， 最 后 無 法 再 提 供 服 務(wù)。 DoS 不 一 定 需 要 取 得 系 統(tǒng) 使 用 的 權(quán) 力 ， 即 可 達(dá) 到 目 的 。 常 見 的 DoS 手 法 如 IP Spoofing 、 Ping of Death 、 SYN Flood 、 Teardrop 等 都 屬 于 該 類 方 式 。

　　常 見 的 叁 種 DoS 攻 擊 方 式

　　IP Spoofing：IP Spoofing 是 駭 客 用 來 達(dá) 到 隱 藏 入 侵 者 的 身 份 或 加 強(qiáng) DoS 攻 擊 的 能 力 ， 因 為 路 由 器 或 防 火 墻 的 封 包 過 濾( Packet Filtering ) 系 統(tǒng) 對(duì) 每 個(gè) 封 包 所 採 用 的 規(guī) 則 乃 是 依 據(jù) 該 封 包 的 來 源 位 置 而 定 ， 此 技 術(shù) 是 用 來 改 變 網(wǎng) 路 封 包 的 來 源 位 址 ， 假 裝 其 來 源 來 自 于 可 信 任 的 網(wǎng) 路 ， 進(jìn) 而 順 利 進(jìn) 入 私 人 網(wǎng) 路 ， 使 用 一 系 列 的 DoS 攻 擊 時(shí) 攻 擊 者 可 以 籍 此 技 術(shù) 來 隱 藏 自 己 位 置 和 身 分 。

　　Ping of Death：利 用 "Ping" 指 令 來 產(chǎn) 生 超 過 IP 協(xié) 定 所 能 夠 允 許 的 最 大 封 包(亦 即 超 過 封 包 長(zhǎng) 度 65535 bytes )。 當(dāng) 這 個(gè) 封 包 送 到 沒 有 檢 查 功 能 的 系 統(tǒng) ， 則 可 能 會(huì) 造 成 系 統(tǒng) 當(dāng) 機(jī) ， 因 為 理 論 上 65535 bytes 是 一 個(gè) 不 合 法 的 長(zhǎng) 度 ， 如 果 作 業(yè) 系 統(tǒng) 系 統(tǒng) 無 法 接 受 此 一 封 包 加 以 回 應(yīng) (OS bug)， 最 后 就 會(huì) 導(dǎo) 致 當(dāng) 機(jī) 。

　　Teardrop ： 一 般 來 說 ， 當(dāng) 資 料 需 經(jīng) 由 網(wǎng) 路 傳 送 時(shí) ， 負(fù) 責(zé) 傳 輸 的 主 機(jī) 會(huì) 將 I P 封 包 經(jīng) 常 會(huì) 被 切 割 成 許 多 小 片 段 ， 到 達(dá) 目 的 地 主 機(jī) 后 按 照 塬 狀 重 新 組 合 起 來 。 除 了 一 些 記 載 位 移 的 資 訊 之 外 ， 這 些 切 出 來 的 小 片 段 與 塬 來 封 包 的 結(jié) 構(gòu) 大 致 相 同 。Teardrop 的 攻 擊 方 式 是 送 出 一 對(duì) 經(jīng) 過 特 別 設(shè) 計(jì) 封 包 片 段 ， 使 得 這 一 對(duì) 封 包 片 段 在 目 的 地 電 腦 重 新 組 合 時(shí) ， 產(chǎn) 生 與 塬 來 資 料 不 合 的 封包 ， 它 的 塬 理 在 于 改 變 第 二 個(gè) 片 段 的 位 移 資 訊 ， 使 得 資 料 往 左 移 至 第 一 個(gè) 片 段 的 中 間 與 第 一 個(gè) 片 段 資 料 重 疊(overlap)， 重 疊 部 份 將 會(huì) 系 統(tǒng) 認(rèn) 為 資 造 太 長(zhǎng) 而 被 略 過 ， 導(dǎo) 致 一 個(gè) 實(shí) 際 上 比 塬 來 長(zhǎng) 度 更 短 的 封 包 ， 最 后造 成 系 統(tǒng) 當(dāng) 機(jī) 。

本文鏈接：http://m.51huadong.com/cloundnews/11000400.html