防火牆是什麼：簡單的說明

防火牆（Firewall），有時也稱為網路防火牆，這是一種管制進出流量的網路安全工具。主要目的是在內部網路網與網際網路之間建立一個屏障。因為網際網路上有許多惡意流量，例如病毒、惡意軟體、駭客試圖入侵他人的內網等威脅。防火牆能阻擋這些威脅和避免未經授權的存取，以確保內部網路的安全。

防火牆的作用包括：

1. 隔離內部網路（私有網路）與網際網路的流量，以保護內網的安全。
2. 控管內部網路傳入和傳出的封包，避免未經授權存取內部網路的資源。
3. 紀錄與監控內部網路的活動。

外部流量只能經由設備的入口點（通訊埠）進入到內部網路。這個入口點通常是防火牆進駐和保護流量的地方，防火牆會根據事先定義的安全性規則（存取控制清單，或稱為 ACL），有效控制對內與對外流量。存取控制清單中包含一些規則，每一條規則可用來定義要允許或拒絕特定形式（IP 位址、埠號、協定、關鍵字等）的網路封包。

防火牆用這種方式來隔離網路，將網路劃分為不同的區域，例如內部網路是高度信任的區域，網際網路則是不可信任的區域。所有進出內部網路的流量都經由防火牆中的 ACL 管制，不符合 ACL 規則的流量會被阻擋，以保護內部網路的安全。

有些組織會使用防火牆的規則，在網路架構中規劃 DMZ 區（非軍事區），作為內網和外網之間的緩衝地帶，內網和外網都能存取這個區域的服務。一般會將網頁伺服器等對外服務的設備放到 DMZ 區，提供服務給外網存取。

1. 軟體防火牆

   軟體防火牆也稱為個人防火牆，主要是將防火牆軟體部署在電腦主機上。軟體防火牆只適合隔離單一網路，但它只能保護單一設備，而不是整個網路。建置軟體防火牆的成本較低，安裝及設置較簡單。因此軟體防火牆非常適合個人使用，但不適用於企業網路。

2. 硬體防火牆

   硬體防火牆是類似路由器的實體設備，將防火牆程式寫入晶片中，由硬體執行防火牆的功能。硬體防火牆非常適合企業使用，而且比軟體防火牆更穩定。這種設備會在傳輸流量時檢查封包，也具有內容過濾、入侵偵測與防護等功能。不過，高成本是硬體防火牆的缺點，一般個人用戶可能無法花費高昂成本建置硬體防火牆。

3. 雲端防火牆

   雲端防火牆使用雲端伺服器，不需在本地端建置防火牆，通常會將其設定為代理伺服器（有時會稱為代理防火牆）。雲端防火牆的管理非常有彈性，可以根據實際需求隨時增減流量負荷，在管理上要比其他類型的防火牆更加容易。

1. 封包過濾防火牆

   這種防火牆會檢查封包標頭的接收端和發送端IP位址、封包類型、埠號和其他網路資訊，並允許符合規則的封包通過，但不會檢查封包內的資料內容。

2. 電路閘道器（Circuit Level gateway）

   電路閘道器非常單純，這種設備不需要大量的運算能力和資源。與封包過濾防火牆一樣，閘道器不會檢查封包內的資料內容，只檢查封包來源。為了讓封包通過，電路閘道器會檢查封包是否為 TCP 握手認可的合法來源，不過這種作法無法保證安全性，因為即使封包來源是安全的，惡意程式仍可能隱藏在封包中。

3. 狀態檢視防火牆（Stateful inspection firewall）

   狀態檢查防火牆同時具有封包過濾防火牆和電路閘道器的作用。這種防火牆經由過濾封包和檢查封包來源，並持續追蹤穿過防火牆的各種連線的狀態，來確保網路安全。但因為狀態檢查防火牆執行較多的處理，因此效能比封包過濾防火牆較差。

4. 應用層防火牆

   應用層防火牆也稱為代理防火牆，這種防火牆在應用層運作，會檢查內部網路和流量來源之間的流量。它先經由代理伺服器傳遞流量，並檢查傳入的流量，然後才允許流量進入內部網路中。

   應用層防火牆有點類似狀態檢查，會同時檢查封包和 TCP 握手。兩者之間的主要差異是，狀態檢查防火牆只會檢查封包來源，應用層防火牆則會檢查封包內容，並進行深度封包檢查（DPI）。

   應用層防火牆還能將內部網路與流量來源分離，為網路提供一層匿名性和額外的保護。不過檢查封包需要花費較多的時間，因此可能會造成連線速度變慢。

5. 次世代防火牆

   這種新型防火牆除了傳統防火牆功能之外，還加入許多的新技術。不過關於次世代防火牆應該包含哪些新技術，業界目前仍沒有太多的共識。一般來說，這些新技術包括深度封包檢查（DPI）、TCP 握手檢查、表層封包檢查、加密流量檢查、病毒檢測、入侵預防系統（IPS）等。

結論

防火牆為組織單位建立一套防禦系統，有效阻擋來自網際網路的惡意攻擊，也能落實組織規範的安全政策。不同的防火牆類型提供不同的功能與防禦方式，也具備不同的安全性、效率與成本。整體而言，防火牆是保護組織單位網路最有效的方法。

使用 NordVPN，保護您的網上隱私和安全性。