前言

　　一旦連上網絡，就充滿各種危機。

　　許多人基于各式各樣的理由，想侵入你的系統，這種人俗稱為 cracker。尤有甚者，近年來，cracker 圈里流行一種結合病毒行為及系統漏洞的入侵工具，稱為網蟲(Netwrom)，它以類似網絡機器人(robot)的模式，到處掃射咬噬，已形成泛濫。比如：Lion、CodeRed、Nimda 等。現在你只要將一臺新安裝好的Win平臺的機器連上網絡，不消幾分鐘之內，即可釣中一堆 CoreRed 或 Nimda 咬噬的封包。

　　傳統上，為了保護自身內部網絡的安全，另一方面，也為了可以做 網絡進出交通 的控管，通常所采用的方法是建構一層網絡防火墻系統，在外部網絡和內部網絡之間，構筑一道屏障，以做為安全的區隔，使得特定的封包才能進入我們的內部網絡，而將大部份奇奇怪怪的封包，如 Nimda 網蟲掃射的封包，完全隔離在外，但同時，又可允許內部網絡的機器自在地對外聯機，內部的使用者上網的行為甚少需要有任何改變。

　　換言之，防火墻系統可區隔網絡封包，使內部網絡中流通的封包十分干凈，更讓網絡管理者在安裝新機器時，比如 NT/W2K，不致于一裝好、連上網絡就中標。單就這點，防火墻系統對校園網絡管理者而言，就十分有價值。

　　不過，防火墻系統十分昂貴，平民百姓及小單位的我們實在買不起，而且其功能也未必就如其所宣稱的那樣足以符合我們的需求。因此許多前賢開始尋找其它替代的方案，在低成本、高效益、彈性大的考量下，使用 FreeBSD/OpenBSD/Linux 來建構小型防火墻系統蔚為流行。甚至許多公司拿 FreeBSD/Linux的防火墻機制為基礎，制造出商用的防火墻系統；國內某一知名的防火墻公司，其防火核心即源自于 Linux。

　　什么是網絡防火墻？

　　根據前述，在此我給防火墻一個簡單的定義 (這是OLS3自己的說法，若有誤謬，請不吝指正)。

　　防火墻 是指一套用來明顯區隔兩個(或以上)網絡之間的一組軟硬件裝置，使網管人員得以事先制定種種安全規則，針對網絡交通及安全程度，進行過濾控制和調整，最大的目的在于防止網絡遭受入侵。

　　防火墻的種類？

　　防火墻大概可以分為以下三種：

　　? 封包過濾式 (Packet Filtering Firewall)
　　? 網關式
　　? 代理式

　　簡單說明如下:

　　所謂封包過濾式防火墻是指：利用操作系統，在 IP 層及傳輸層運作，藉由檢查封包的 IP 表頭，來決定該封包的路由(放行/轉向/丟棄/拒絕)，而達到保護自身網絡的功能。本次研習要介紹的防火墻，即屬于封包過濾式的。這種防火墻的優點是：效能好、控管性高、成本低廉。

　　所謂網關式防火墻是指：所有外部網絡可以到達的地方，僅止于這臺網關主機，而內部網絡的使用者欲連至外部網絡，需要先登入這臺網關主機。

　　所謂代理式防火墻是指：針對每一種應用服務程序，做代理伺服的工作，clietn端的使用者其實是和這臺代理主機連接，而非外部網絡的主機，但卻可使client端的使用者，感覺到他真的在取用外部網絡的主機服務一樣，此種特性，稱為 Proxy。代理式防火墻的優點是：可確保資料的完整性，只有特定的服務才會被交換，并可針對其內容做過濾防毒，可進行高階的存取控制。
　　現代功能完備的的防火墻，經常結合封包過濾及Proxy代理這二種特性，不過價格相常地高。以中小學校園網絡而言，封包過濾式的防火墻，其實已足敷需要了。