選對防火牆類別,是網路安全架構的第一步。OSI 層級越高,防護越深,但效能代價也越大。了解四大類別的設計邏輯,才能依場景做出正確取捨。
四大 Firewall 類別與 OSI 對應
靜態封包過濾(L3/L4)是最基礎的類型,僅比對 IP 位址、埠號與協定,無記憶性、無狀態,速度最快但最易被偽造封包繞過。電路級閘道器(L5)運作於 Session 層,驗證 TCP 三向握手是否合法,確認連線建立後便不再檢查內容,安全性略勝一籌。狀態監控防火牆(L3–L5)維護動態連線狀態表,能識別封包是否屬於已知合法連線,有效抵禦偽造 ACK 等攻擊,是目前企業最普遍的部署選擇。應用層閘道器(L7)以代理(Proxy)模式深度解析應用層內容,可檢查 HTTP 指令、DNS 查詢或 SQL 注入,防護最強但延遲最高。
防護深度與效能的核心取捨
層級越高,需要維護的上下文資訊越多,CPU 與記憶體消耗隨之線性上升。靜態過濾幾乎不佔資源,適合骨幹路由器的初步篩選;狀態監控需維護每條連線的狀態表項目,大流量下表格溢出是風險點;應用層閘道器因須完整解析應用層協定,吞吐量通常比狀態監控低 30–70%。實務架構常採分層部署:外層用狀態監控擋量大的攻擊,內層針對關鍵服務部署應用層閘道器,以平衡安全與效能。
💡 重點整理
- 靜態封包過濾(L3/4):無狀態、速度最快,但無法識別偽造封包。
- 電路級閘道器(L5):驗證握手合法性,連線建立後不再檢查內容。
- 狀態監控(L3–5):維護狀態表,是企業環境的主流基礎防線。
- 應用層閘道器(L7):代理+內容深度檢查,防護最強、延遲最高。
沒有單一 firewall 類別能滿足所有場景。依流量規模、威脅模型與效能預算分層部署,才是成熟資安架構的正確思路。
📚 參考文獻
- NIST SP 800-41 Rev.1 — Guidelines on Firewalls and Firewall Policy,美國國家標準與技術研究院官方防火牆政策指南。
- Cisco — Firewall Technologies Overview,涵蓋各類防火牆架構與企業部署建議。
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言