很久以前我公佈了我們網站上的「雙層防火牆」網路架構,請參考這篇:
安全加倍的「雙層防火牆」- insoler與BNW網站系統架構圖
「雙層防火牆」是我在與駭客奮戰多年以後的心得。但如果你在Goolge搜尋「雙層防火牆」的話,可能會找到許多錯誤的負面觀念,那些認為內部裝個100道鎖也沒用的網友,我猜想大概是根本不了解駭客、不了解網路,甚至也不了解「防火牆」是什麼!
如果你隨意聽信那些網路上的看似頭頭是道的錯誤資訊、錯誤謠言,當然是很糟糕的事。網路發達以後,正確的知識並沒有因此更為流通,反倒是一堆的錯誤資訊淹沒了正確的觀念。
「第一層防火牆」
先不要管「雙層防火牆」是什麼?能做什麼?讓我們先來瞧瞧今天防火牆上的記錄。
你可以看到紅色的字,都是一些攻擊行為,但黑色的字也要特別留意,因為那些是躲過了「防火牆」的攻擊偵測,直接企圖入侵BNW內部網路!
請特別留意這筆資料:
2009-04-06 05:49:13 Firewall default policy: UDP (W1 to L) 123.110.230.5:4555 192.168.109.3:22675
防火牆的Logs日誌時間是採用24小時制,也因此清晨5:49am這個時間,我可以確定BNW內部絕對沒人在上網,所有內部的主機不是關機就是睡眠中。
換句話說,來自「123.110.230.5」這個駭客企圖直接入侵BNW內部主機的「192.168.109.3」!
企圖入侵BNW內部主機,目的位址是「192.168.109.3」的傢伙,當然不會只有一位駭客,想也知道是每天都有不同的駭客,企圖攻擊或入侵位於「LAN區域網路的BNW內部電腦」!
「第二層防火牆」
接下來讓我們瞧瞧「第二層防火牆」的Logs記錄,到底有哪些技術高明的駭客,在沒有「內神通外鬼」內部電腦被植入木馬的情況下,能穿越第一道防火牆抵達「第二層防火牆」?
位於192.168.240.101才是BNW真正的內部電腦主機!你可以看到,即便有「雙層防火牆」仍舊有極少數的駭客能到達「第二層防火牆」,但仍舊被「第二層防火牆」給擋下來,該記錄執行的動作,最後是「ACCESS DROPPED」扔掉存取的網路封包!
簡單的說,更高明的駭客穿越了「雙層防火牆」的「第一層防火牆」,但入侵行動仍舊被「第二層防火牆」擋下來!
既然駭客能穿越「第一層防火牆」,有沒有可能在「雙層防火牆」都沒有發現的情況下入侵BNW內部電腦?這是有可能的!畢竟你在上面看到的是被「雙層防火牆」抓到的記錄,但沒有抓到的入侵網路封包當然就不會記錄下來,雖然「雙層防火牆」並非100%絕對安全,但起碼已經安全得多。
比較遜的駭客,就只會企圖攻擊、入侵位於「192.168.109.3」這個主機,你可以看到「第二層防火牆」上有好幾筆關於192.168.109.3這個IP數字。
事實上「192.168.109.3」只是「第二層防火牆」的WAN端的IP位址,駭客辛苦的攻擊、入侵一部防火牆當然是完全沒用的!
為什麼你家也需要「雙層防火牆」?
其實最早期的「雙層防火牆」我是用兩部普通的廉價「IP分享器」來架設,後來另外買了一台比較好一點的ZyWALL 5入門防火牆以後,把原本擔任第一層的Vigor 2900G降為第二道防火牆。現在則是把用了多年的Vigor 2900G淘汰掉,用性能更好的ZyWALL 70擔任第一層防火牆,ZyWALL 5擔任第二層防火牆。
事實上「雙層防火牆」並不意味著你要用兩台百萬級的防火牆,事實上相同款式的百萬級防火牆架設兩台也沒太大的意義,但如果是不同品牌、機種,倒是有可能可以互相彌補一下技術上的缺點,讓真正的內部網路更加安全。
也因此「家用網路」也可以用兩台「IP分享器」來架設一個簡單的「雙層防火牆」,用來提高住家電腦的安全性,以免常常被駭客入侵竊取你上網購物的帳號、密碼等資料,再用來詐騙你...
在我的「雙層防火牆」架構上,其實「第二層防火牆」就等同於扮演一部Proxy Server的角色。如果你沒聽過「代理伺服器」或是「快取伺服器」,可以參考底下的資料。
http://zh.wikipedia.org/wiki/代理服务器
簡體字、簡體用詞我看不下去,因此來看一下Hinet對於Proxy Server的說明:
事實上「快取網頁」只是Proxy Server的功能之一而已,最主要的功能其實是「用來區隔外部與內部網路」,甚至還可以提供更多的user上網資料收集、分析、內部網路防火牆... 等功能。
但一部Proxy Server顧名思義,只要看到Server這個字,想當然就是一台電腦。由於內部所有user要上網都要經過Proxy Server的檢查、快取,所以這台電腦主機必須比公司同事的電腦更早開機、更晚關機,甚至是24hr都不曾關機!
由於BNW內部的人員不多,也絕對不會有人用Foxy亂抓檔案,因此我們不需要Proxy Server的「網頁快取」功能來節省對外的頻寬,也不需要用Proxy Server來記錄與管理user的上網行為。
請參考上面的那一段文字說明,當你把一台Proxy Server代理伺服器扣除「網頁快取」、「記錄與管理user上網行為」,那不就只剩下一台「防火牆」的基本功能?
也因此我們就乾脆用一部「防火牆」來當成一部必須24hr開機全年無休的「Proxy Server代理伺服器」來用。換句話說,原本應該是這樣常見的網路架構:
.ADSL/FTTB網路 ←→ 防火牆 ←→ Proxy Server代理伺服器 ←→ Switch集線器 ←→ 公司/住家內部的電腦主機
因為我們不需要「Proxy Server代理伺服器」的一些功能,所以就簡化成「防火牆」,變成這樣的網路架構:
.ADSL/FTTB網路 ←→ 防火牆 ←→ 防火牆 ←→ Switch集線器 ←→ 公司/住家內部的電腦主機
用一部較低階「防火牆」來取代一台用伺服器主機架設的Proxy Server,不但更加省電,而且安全性並不輸給軟體的Proxy Server。當然囉~如果你的預算夠好的話,「第二層防火牆」買好一點的設備,內部網路的安全性當然就更優。