網絡防火牆的存取控制

上期為大家介紹完防火牆各種不同技術和特點後，相信大家對如何選擇防火牆產品都有一個初步概念了，今期就為大家再深入介紹防火牆的各項功能，例如怎樣建立存取控制的安全政策 (Security Policy)，以確保你的網絡不會受到黑客入侵。

存取控制 (Access Control) 是 Firewall 其中一種重要工作，它可以作為設定網絡中任一部電腦，使用者或應用服務進出網絡的條件和規則，以保護企業內部網絡的任何資源，例如：公司規定工作時間內不准玩 ICQ，或者瀏覽一些與工作無關的網站等，這些規則通通可以在Firewall 中設定。

Check Point FireWall-1 有一個簡單易用的圖形使用者操作介面（GUI），名叫 Policy Editor，你可以在 Policy Editor 內為網絡上任何的物件，包括 Server，Workstation，Users，Applications，以及各項 Services 和 Protocols …… 等，訂立一些 Objects，然後利用這些 Objects 設定企業的網絡保安規則。Policy Editor 裡的內容以及參數，必須是簡單而且直接，當你完成設定所有規則之後，Policy Editor 會為你判斷各規則之間有沒有衝突性的存在，並加以提點和修正。





在以上圖中，每一行規則都有幾個主要內容劃分，包括 Source，Destination，Service，Action 和 Track 等等，例如第一條Rule就說明：來自 ”任何” 地方的東西，目的地是連接到 ”Firewall”，不管做 “任何工作”，其連線都是會被 Firewall “放棄” (Drop)，這條又叫 Stealth Rule，目的是保護 Firewall 自己本身，不讓外間連接，減少 Firewall 受到直接傷害。

第二條 Rule 就是說明：來自 ”任何” 地方的東西，目的地是連接到公司內的 ”Web Server”，服務工作只限 HTTP和FTP，這些連線都是容許的 (Accept)。

如此類推，所有經過 Firewall 的 Packets 都會根據這些規則而接受分析和監察，由第一條開始核對，直至有一條 Rule 是和 Packet 中的內容符合，Firewall 就會根據 Rule 中指示，執行 “Action”。 Action 都有好幾種，包括 Accept，Drop，Reject，Encrypt，Authenticate 等。
但如果這個 Packets 中所包含的內容，沒有在 Firewall 規則上註明或者找不到，它到最後都會被 Security Policy 內最後的一條 Rule 放棄 (Drop)，這條又叫做 Cleanup Rule，因為 Firewall 寧願 “有殺錯，冇放過”，都不容許一些不明來歷的 Packets 通過而進入網絡。

這些工作看來好似很簡單，但一間公司的 Security Policy 不只是如圖中的僅僅數條規則，可能會是幾十條，幾百條都不出奇，面對著它們的時候，有時都會很頭痛，有經驗的 Firewall 管理專員一定深同感受。所以一個出色的網絡保安專員，能夠將所有 Rule 排列得整整有條，根據不同的重要程度而分出先後，例如有關 HTTP 的 Packets 就放在 Policy 較上位置，讓 Firewall 可能對它們作出即時處理，以提高網絡和 Firewall 的整體效能和表現。 

今次明白了 Firewall 如何執行企業所訂立的規則，其實 Firewall 的功能不單單如此，還有很多很多呢！下期再為大家討論吧。