104學習精靈

在電腦運算領域中，防火牆(Firewall)是一項協助確保資訊安全的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。 個人防火牆，通常是在一部電腦上具有封包過濾功能的軟體，如ZoneAlarm及Windows XP SP2後內建的防火牆程式。而專用的防火牆通常做成網路設備，或是擁有2個以上網路介面的電腦。以作用的TCP/IP堆疊區分，主要分為網路層防火牆和應用層防火牆兩種，但也有些防火牆是同時運作於網路層及應用層。 網路層防火牆可視為一種 IP 封包過濾器，運作在底層的TCP/IP協定堆疊上。我們可以以列舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能只能套用內建的規則。現在的作業系統及網路設備大多已內建防火牆功能。較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP 位址、來源埠號、目的 IP 位址或埠號、服務類型(如 WWW 或是 FTP)。也能經由通訊協定、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。 應用層防火牆是在TCP/IP堆疊的「應用層」上運作，使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。 防火牆最基本的功能就是控制在電腦網路中，不同信任程度區域間傳送的資料流。例如網際網路是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通訊，與建築中的防火牆功能相似。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則。