論文 2 - ⇑ 通訊和網路基礎 ⇑
← 網際網路及其工作原理	網際網路安全	TCP-IP →

防火牆是負責監控所有傳入和傳出網路流量的網路安全應用程式或裝置。防火牆可以是物理硬體或軟體應用程式。在防火牆出現之前，存在 ACL（訪問控制邏輯），它根據特定 IP 地址授予網路流量訪問許可權。為了改進對網路流量的控制，不僅僅是匹配 IP 地址，防火牆被開發出來。防火牆允許對資料包進行更細粒度的控制（包過濾），這不僅根據源和目標 IP 進行過濾，還根據協議、埠等進行過濾。

防火牆隨著時間的推移而改進，使用者能夠控制網路流量。第二代防火牆能夠確定資料包的連線狀態，這使其更加高效，因為它能夠跟蹤穿過它的網路連線狀態。因此，這些過濾決策不僅基於預定義的規則，而且基於狀態表中的資料包歷史記錄。

第三代防火牆能夠阻止任何特定內容，還能識別何時使用某些協議（HTTP、FTP）。應用層防火牆本質上是在代理伺服器上執行的主機。

1. 基於主機的防火牆 - 它安裝在每個節點中，作為應用程式或作業系統的一部分存在。

2. 基於網路的防火牆 - 它在網路級別執行，過濾整個網路上的所有傳入和傳出流量。

包過濾防火牆檢查穿過防火牆的每個資料包，並根據您設定的一組規則測試該資料包。如果資料包透過測試，則允許其透過。如果資料包未透過測試，則將其拒絕。

包過濾器是最便宜的防火牆型別。因此，包過濾防火牆非常常見。但是，包過濾具有一些缺陷，熟練的駭客可以利用這些缺陷。因此，單獨的包過濾不能構成完全有效的防火牆。

包過濾器透過檢查每個傳輸控制協議/網際網路協議 (TCP/IP) 資料包中包含的源和目標 IP 地址以及埠地址來工作。TCP/IP 埠是分配給特定服務的數字，有助於識別每個資料包的目標服務。例如，HTTP 協議的埠號為 80。因此，任何傳入的目標為 HTTP 伺服器的資料包都將指定埠 80 作為目標埠。^[1]

防火牆代理伺服器實際上將一個雙方會話轉變為一個四方會話，其中中間程序模擬兩個實際主機。由於它們在應用層執行，代理伺服器也被稱為應用層防火牆。必須為防火牆支援的每種型別的網際網路應用程式執行一個代理服務 - 用於電子郵件的簡單郵件傳輸協議 (SMTP) 代理，用於 Web 服務的 HTTP 代理，等等。代理伺服器幾乎總是從內部網路到外部網路的單向安排。換句話說，如果內部使用者想要訪問網際網路上的網站，構成該請求的資料包將透過 HTTP 伺服器處理，然後再轉發到網站。從網站返回的資料包依次透過 HTTP 伺服器處理，然後再轉發回內部使用者主機。

由於防火牆代理伺服器將應用程式的所有活動集中到單個伺服器中，因此它們提供了執行各種有用功能的理想機會。在防火牆上直接執行應用程式提供了檢查資料包的機會，而不僅僅是源/目標地址和埠號。這就是為什麼幾乎所有現代防火牆都包含某種形式的代理伺服器體系結構的原因。例如，可以檢查傳入的目標為專門用於分發資訊（例如 FTP 伺服器）的伺服器的資料包，以檢視它們是否包含任何寫入命令（例如 PUT 命令）。這樣，代理伺服器可以只允許包含讀取命令的連線。

^[2]

資料加密是將資料進行混淆的過程，使其難以理解和解混淆。加密後的（安全）資料稱為密文，而未加密的資料稱為明文。

對稱加密也稱為私鑰加密，使用相同的金鑰來加密和解密資料。因此，金鑰必須與資料一起傳輸。這會導致明顯的安全問題，因為如果資料被攔截，它可以很容易地被解密。

非對稱加密也稱為公鑰加密，使用兩個金鑰（公鑰和私鑰）。公鑰是公開的，以便想要向您傳送資料的其他人可以使用它來加密資料。但是，公鑰無法解密資料。因此，私鑰用於解密資料。此金鑰僅您知道，以確保儘可能的安全。

金鑰交換是指將加密文字的金鑰傳送給接收方。最常見的型別是透過對稱加密進行的金鑰交換，金鑰交換與加密資料的交換同時進行。

加密 用於使用加密演算法和加密金鑰將明文轉換為密文，以隱藏敏感訊息，使其無法被沒有加密和解密金鑰的人讀取。私鑰/公鑰加密 是指雙方都有一對金鑰，一個私鑰，一個公鑰。公鑰是公開的，任何人都可以自由使用，加密演算法也是公開的，但私鑰是保密的。

• 用 A 的公鑰加密的訊息只能用 A 的私鑰解密。
• 用 A 的私鑰加密的訊息只能用 A 的公鑰解密。
• 用 B 的公鑰加密的訊息只能用 B 的私鑰解密。
• 用 B 的私鑰加密的訊息只能用 B 的公鑰解密。

數字簽名 是傳送方向接收方證明訊息確實來自發送方的一種方法。數字簽名是透過以下過程獲得的

A 向 B 傳送訊息之前需要執行的過程	確保訊息來自 A 的過程
對訊息進行雜湊運算以獲得訊息摘要。	B 用 B 的私鑰解密訊息。
用 A 的私鑰對訊息摘要進行加密，這將成為簽名。	B 用 A 的公鑰解密簽名以獲得原始訊息摘要。
將簽名附加到訊息。	再次對解密後的訊息進行雜湊運算，生成訊息摘要。
用 B 的公鑰加密訊息。	如果解密後的訊息摘要與生成的摘要相同，則訊息未被篡改。
將加密後的訊息傳送給 B。

數字證書 是一種證明發送方公鑰真實性的方法。數字證書僅由證書頒發機構 (CA) 頒發。證書透過 CA 的私鑰加密到訊息中，只能用 CA 的公鑰解密。

有很多需要注意的

病毒是一個小的計算機程式，它附加到另一個程式或檔案，旨在對計算機造成損害。計算機在執行程式時執行的第一步是將自身複製到磁碟並隱藏起來。複製到磁碟後，病毒可以駐留在記憶體中，並重新配置系統，使其造成問題，例如顯示不需要的訊息、破壞或損壞檔案，甚至擦除整個硬碟。病毒傾向於自我複製，並試圖傳播到其他計算機。防病毒程式用於檢測和刪除這些病毒。現在，網路瀏覽器內建了病毒掃描程式，用於掃描可下載的檔案。

蠕蟲是一種惡意程式，旨在自我複製，試圖在計算機網路（如網際網路）上傳播。蠕蟲與病毒之間最顯著的區別在於，蠕蟲本身就是一個完整的程式。蠕蟲會干擾網路流量並損壞資料。

垃圾郵件是指大量傳送無關的、不需要的郵件（愚蠢的、毫無意義的、惱人的郵件），這些郵件可以透過電子郵件、簡訊或即時訊息傳送。電子郵件垃圾郵件通常被認為是垃圾郵件，每天都會發送數百萬封垃圾郵件。簡訊垃圾郵件也被公司用來宣傳自己。垃圾郵件被認為是干擾性的，浪費了網路頻寬。

網路釣魚是指欺騙使用者提供有關其自身的敏感資訊的行為。這可能是透過使用網路釣魚電子郵件甚至網路釣魚網站來實現的，這些網站看起來像使用者試圖訪問的網站，但實際上並非如此，它們的目的是從使用者那裡獲取資訊。網路釣魚一詞來源於釣魚，只是不是捕魚，而是捕獲資訊。

網路劫持是一種將流量從一個網站重定向到另一個網站的技術，網路釣魚和網路劫持通常一起使用。網路劫持是指將使用者重定向到不同位置，以便網路釣魚技術可以模仿並捕獲有關使用者的資訊。

身份驗證、授權、審計。

驗證計算機系統使用者的身份。身份驗證的形式包括密碼、生物識別資料、安全令牌和數字簽名。

指定網路上不同使用者對資源的訪問許可權。

記錄使用者在網路上的活動日誌。

1. ↑ https://www.dummies.com/programming/networking/network-administration-packet-filtering-firewall/
2. ↑ https://www.akadia.com/services/firewall_proxy_server.html