1. Firewall
CSIE 基爾 @ NCU網路開源社
Updated: 12232013

2. 課程
• 相關學分：OS、Security
• 等級：中
• 背景知識：FreeBSD基本操作、網路概念
• 課程目標：
• 了解軟硬體防火牆的不同
• 實作防火牆腳本

3. Firewall定義

4. 定義
• 用來控制網路存取
• 通常具備多張網卡，能夠集中管理
• 全部拒絕，除了允許條件的之外。

5. 分類
• 硬體防火牆：Packet filtering firewalls
• 軟體防火牆：Application layer firewalls (proxy firewalls)
• Hybrids
Comment
• 硬體防火牆是簡單的、軟體防火牆是複雜的。
• 除非你是網管，不然你不會有機會碰硬體防火牆。
• 因為軟體要模擬硬體，所以很難學，設定很複雜。

6. 硬體防火牆 - Internet Accessible Systems

7. 硬體防火牆 - Single Firewall

8. 硬體防火牆 - Dual Firewalls

9. 軟體防火牆 (又叫做personal firewall)
terminate
類似proxy的概念，單NIC模擬多NIC還需要支援NAT

10. 知名的防火牆
• ipfw
• ufw
• iptables
• 各家防毒軟體
• windows內建

11. Limitations of Firewalls
• 無法防止內賊
• 無法對繞過防火牆的封包進行過濾或管制
• 無法阻擋“合法掩護非法”的攻擊 ex.VPN
• Palo Alto Networks：http://youtu.be/pBz2LNfthAg
• 0:58~1:28

12. parameter

13. 規則構成如下
• Number – 第幾條規則
• Src IP – 來自何方
• Dst IP – 送往何方
• Port – 服務的埠號
• Protocol – 網路層協定
• Action – 行動
• Other

14. Example 軟或硬都差不多

15. Setting

16. 守則
• first match algorithm
• The most specific rules to be placed at the top of the rule set.
• The least specific rules to be placed at the bottom of the rule set.

17. rc.conf設定檔
• firewall_enable="YES"
• firewall_logging="YES"
• firewall_script="/etc/ipfw.rules“
• Monitoring IPFW Logs

18. rc.firewall設定檔
• 個人電腦軟體防火牆越來越多，正常情況已經不需要改此檔案。
• (特殊需求ex. 限定頻寬)

19. CMD RULE_
NUMBER
ACTION LOGGING SELECTION STATEFUL
ipfw -q add [00001-
65535]
allow
accept
pass
permit
check-state
deny
drop
[log] @Next page check-state
Rule Syntax

20. ipfw.rules腳本 – 規則參數
udp | tcp | icmp – 哪種協定？
from src to dst – 從哪到哪？
port number – 哪個服務？
in | out – 出去還是近來？
via IF – 哪張網卡？
setup – 識別 session
keep-state – 動態規則
limit – 限制連線數目
uid – 誰？

21. 官方example

22. 讀取腳本 – 其實就是跑完全部指令
$ sh /etc/ipfw.rules

23. 觀看指令
$ ipfw –a list

24. iptables example

25. さようなら~☆