防火牆演進#

防火牆是網路安全的第一道防線，隨著威脅複雜化而持續演進。

三代防火牆比較#

graph LR
    subgraph "傳統防火牆"
        A1[封包過濾<br/>IP / Port]
    end
    subgraph "UTM"
        B1[封包過濾]
        B2[防毒]
        B3[IDS/IPS]
        B4[VPN]
    end
    subgraph "NGFW"
        C1[應用程式識別]
        C2[使用者識別]
        C3[威脅情報]
        C4[SSL 檢查]
    end
    A1 --> B1
    B1 --> C1

補充： UTM 適合中小型企業，以單一設備覆蓋多種安全功能；NGFW 則適合需要精細控管應用程式流量的中大型企業。

WAF 網頁應用程式防火牆#

WAF（Web Application Firewall） 專門保護 Web 應用程式，運作於 OSI 第 7 層，能辨識並阻擋針對應用層的攻擊。

WAF 防禦的常見攻擊#

三大攻擊流程圖#

graph TB
    subgraph "SQL 注入"
        A1[攻擊者] -->|"輸入: ' OR 1=1 --"| A2[Web 表單]
        A2 -->|未過濾| A3[資料庫<br/>回傳所有資料]
    end
    subgraph "XSS"
        B1[攻擊者] -->|注入惡意腳本| B2[Web 頁面]
        B2 -->|執行腳本| B3[受害者瀏覽器<br/>竊取 Cookie]
    end
    subgraph "CSRF"
        C1[攻擊者] -->|誘騙點擊連結| C2[受害者瀏覽器]
        C2 -->|帶 Cookie 送出請求| C3[目標網站<br/>執行轉帳等操作]
    end

警告： WAF 並非萬能，它是縱深防禦的一環。應用程式本身仍需實作輸入驗證、參數化查詢、CSRF Token 等安全措施。

Security Zone 安全區域#

將網路劃分為不同的安全區域，以防火牆規則控管區域間的流量。

graph TB
    Internet[Internet] --> FW1[防火牆]
    FW1 --> DMZ
    FW1 --> Trust
    FW1 --> Untrust
    subgraph Untrust["Untrust Zone（外部）"]
        U1[外部使用者]
    end
    subgraph DMZ["DMZ（非軍事區）"]
        D1[Web 伺服器]
        D2[Mail 伺服器]
        D3[DNS 伺服器]
    end
    subgraph Trust["Trust Zone（內部）"]
        T1[內部使用者]
        T2[資料庫伺服器]
        T3[AD 伺服器]
    end

各區域定義#

重點： DMZ 的核心原則是——即使 DMZ 中的伺服器被入侵，攻擊者仍無法直接存取 Trust Zone 的內部資源。

IDS 與 IPS#

IDS（入侵偵測系統） 與 IPS（入侵防禦系統） 用於偵測與阻擋網路或主機上的異常行為。

IDS vs. IPS#

偵測方法#

技巧： 最佳實務是將 IDS/IPS 搭配 SIEM（安全資訊與事件管理）系統使用，集中分析告警、降低誤判，並提升事件回應速度。