第十七章 防火牆到底應該有多“厚“

Internet的開放便利性，與網絡安全的隱憂，一直是矛盾共存。隨著企業對Internet依存的加深，對網絡安全的防範與布署，就成了必備的知識。大家都知道，特洛伊城之所以久攻不破，是它有一道堅固的城牆；在Internet上我們也需要一道堅實的防火牆，以確保防火牆不會因被擊潰而導致企業內部電腦的入侵危機。

公元前12世紀，希臘與特洛伊的一場戰爭，造就了荷馬(Homer)史詩中的兩位英雄人物Achilles與Odysseus；而這場戰爭最終決定性的勝利竟然是一隻木馬，這樣富戲劇性的結局更讓人不可思議，除了具軍事教訓意味外，著實也多了許多趣味性。如今這場戰爭卻活生生地搬上了Internet舞台，雖然少了美女Helen助陣，不過精采的程度卻不下於3000多年前的盛況，隻不過整個場景都虛擬於網絡之中。。

打造一道網絡城牆

據荷馬史詩記載，希臘聯軍共圍剿特洛伊城達十年之久，當時沒有現代的空中部隊，因此整個防衛所依靠的都是城牆！據說當時特洛依城城牆厚度達五公尺，在這麼堅固城牆防衛下，希臘一直都無法將特洛依城攻下。

相對於特洛依城牆的厚度，到底一道網絡的城牆要多"厚"才安全呢？在Internet中的城牆，我們稱之Firewall或是防火牆，主要的作用是進行網絡交通過濾與管製。

這道網絡虛擬的城牆強度雖然不能以實體厚度來衡量，但打造這道城牆同樣要考慮到"是否地基夠穩？"、"是否有鋼筋結構？"、"城門衛兵是否盡職？"，此外這一整套控管機構"是否有品質保證？"，如此才能評判防火牆是否足以抵禦外侮。

打造一道網絡城牆

穩固的地基--操作係統

高樓平地起，因此打好地基是建造一道堅固城牆的基礎！如何打造防火牆的穩固地基？在電腦係統裏，防火牆不能獨立存在，必須建立在操作係統(OS)上，因此操作係統就是防火牆的地基。操作係統的穩固與否，在於安全性上是否有保障，從以下幾個方麵來設計操作係統，就能有穩固牢靠的地基。

1、以安全的角度出發，來設計操作係統

一般操作係統的設計是用來滿足所有的應用環境，因此出發點是以"彈性"考慮，在此前提下，操作係統呈現的是"多而雜"，樣樣都可以做，不過卻不見得都一定用得上；而以"安全"角度來設計的操作係統，設計的用途是專供防火牆用的，是個"小而美"的操作係統，因此可與防火牆緊密搭配，當然可以有效提升防火牆的強度。

2、刪除不需要的功能與指令

係統存在的程序與指令愈多，漏洞也就相對地增加，黑客常常會利用操作係統上運作程序的漏洞，作為入侵的途徑，並利用係統上可用的指令來破壞係統的運作。因此將不必要的程序與指令刪除，黑客的攻擊目標自然減少了。

3、刪除所有操作係統上既存的程序的漏洞

有些程序是必須存在操作係統上以利係統運作，而這些程序本身仍然可能遭受到黑客攻擊，因此作為一個防火牆上的操作係統，就不能沿用一般操作係統上的運作程序，必須重新審視程序內容是否隱藏漏洞，一一刪除漏洞後再重新設計，然後才供係統運作使用。

防火牆的"鋼筋"結構

為了加強建築物的抗震強度，人們采用鋼筋結構來強化耐震度。而在Internet世界中，黑客的入侵手法日益先進，入侵事件更是與日俱增，就好比強震一波波朝防火牆襲擊而來，因此有必要為防火牆加築鋼筋結構才能有效抵擋黑客的"強震"撼動！

1、各程序具有獨立的執行空間

各程序執行時不能彼此幹擾，同時也不能共用相同目錄，否則一旦某一個程序遭受入侵，其他程序也可能同時遭殃。因此各程序執行時所需的文件，如函數庫或指令，都必須擺放在各自的目錄中，不能有共用的情形。