緯育 2026-0420.2

防火牆概念、類型與pfSense實作

本次講座旨在提供防火牆的全面知識，從基本概念、類型差異、核心運作原理，到具體的管理方式與實作教學。講師首先強調了理解防火牆通用概念的重要性，解釋了其如何透過「比對規則、採取動作」的核心原則來抵禦外部攻擊（如DDoS、漏洞攻擊）、保護內部網路區隔及限制資料外傳。接著，講座深入比較了軟體式與硬體式防火牆在架構、效能、成本等方面的優劣，並分析了Linux系統中四種不同的防火牆管理方法。實作部分則聚焦於開源軟體式防火牆pfSense，詳細介紹其豐富功能（如NAT、DHCP、VPN、DDNS等）、安裝設定流程及硬體需求。學員將透過虛擬機環境，架設一台pfSense主機，並設定內部與外部網路，最終目標是讓用戶端電腦能透過pfSense順利上網，並為後續的通訊埠轉發、網站過濾等進階實作打下基礎。

防火牆課程介紹與核心概念

• 課程核心目標
  • 讓學員理解防火牆的核心概念，因為概念通用於所有防火牆產品，理解後操作便不成問題。
  • 培養學員管理防火牆的能力，以便在發生資安事件（如軟體漏洞）時，能透過防火牆規則快速應對。
• 透過新聞事件學習
  • 當軟體出現漏洞且無法即時更新時，最快的方式是利用防火牆阻擋特定通訊埠（Port）或IP來源。
  • 例如，若攻擊主要來自特定國家（如俄羅斯），且公司業務與其無關，可直接在防火牆設定阻擋該國的整段IP。
• 防火牆類型比較
  • 硬體式防火牆：唯一推薦，主要優勢在於封包過濾的效率極高。
  • 軟體式防火牆：本課程將教學員架設軟體式防火牆，逐步講解建置、使用到管理的過程。

防火牆的功能與作用

• 基本定義
  • 防火牆是網路的基本安全防護設備，主要用於網路隔離。
• 抵禦外部攻擊
  • 阻斷服務攻擊（DoS/DDoS）：DoS是單點攻擊，現已少見；DDoS則是透過控制大量電腦（肉雞）同時發動攻擊，是現今主流。
  • 漏洞攻擊：駭客利用伺服器或軟體的漏洞進行掃描或入侵。
  • 跳板攻擊：駭客透過釣魚郵件誘騙員工點擊，使員工電腦中毒成為跳板，再藉此進行內部攻擊。
• 保護內部網路
  • 內部隔離：可依部門劃分不同網段（VLAN），並用防火牆規則阻斷部門間的非必要連線，保護重要部門（如會計部）的資料安全。
  • 限制資料外傳：設定規則禁止內部特定網段的電腦對外傳送資料，即使電腦中毒，機密資料也無法外洩。
• 降低維運成本與風險
  • 有效的防火牆能減少資安問題，降低重灌系統的頻率，並防止機密資料外洩造成的經濟損失。

防火牆的運作原理與管理

• 核心運作原則
  • 比對規則、採取動作：防火牆會針對通過的封包，比對預設規則，並根據符合的規則執行相應動作。
• 規則（Rules）
  • 規則設定越精細，防火牆通常越昂貴。
  • 常見規則比對條件：

 ** MAC Address：硬體位址。
 ** IP Address / 網段 (Subnet)：最基本的條件，可針對單一IP或整個IP段（如 192.168.100.0/24）進行設定。
 ** Port：通訊埠號碼。
 ** 封包表頭狀態：如TCP/UDP協定的旗標（SYN, ACK）。
 ** 封包流向：輸入（Inbound）或輸出（Outbound）。
 ** 流量大小：當累積流量超過設定值時觸發動作。
 ** 時間：設定規則在特定時間段生效或失效。

• 動作（Actions）
  • 通過（Pass）：允許封包通過。
  • 拒絕（Reject）：阻擋封包，並回傳「拒絕」訊號給來源端。
  • 丟棄（Drop）：直接丟棄封包，不回傳任何訊息。
  • 轉送（Forward）：將封包轉送到指定區域或閘道。
  • 更改或替換：更改封包內容，對CPU效能要求較高。
• 防火牆的管理方式
  • 指令列介面 (CLI)：效率高但需記憶指令，如Cisco設備。
  • 網頁圖形化介面 (Web GUI)：主流方式，直覺易用。
  • 近端與遠端管理：近端管理只能在內網操作，安全性較高；遠端管理允許從外網操作，方便但風險較高。

防火牆類型比較：軟體式 vs. 硬體式

• 架構：軟體式多基於PC架構；硬體式為專門設計的工業級電腦，穩定性更高。
• 作業系統：軟體式使用通用OS（如Windows/Linux）；硬體式使用廠商專屬OS。
• 儲存與記憶體：軟體式易於擴充；硬體式通常較小，因其系統精簡。
• 操作方式：軟體式較直覺（PC操作）；硬體式常需學習專屬指令。
• 安裝與升級：軟體式較繁瑣（需先裝OS）；硬體式通常透過韌體更新，非常簡單。
• 整體效能：硬體式效能遠優於軟體式，每秒可處理的封包數差異巨大。
• 花費：軟體式成本較低；硬體式價格昂貴。
• 選用建議：若預算允許，公司環境應優先選擇「硬體式防火牆」。家用IP分享器可視為一種整合多功能的硬體式防火牆。

Linux 防火牆管理方式

• 介紹了四種在Linux系統中修改防火牆規則的方法，難度與效率各不相同：

 1. 核心層級指令 (iptables/nftables)：最難但效率最好。
 2. 系統服務 (firewalld/ufw service)：難度與效率次之。
 3. 服務自帶的管理工具 (firewall-cmd/ufw command)：比方法2簡單但效率更差。
 4. 整合性圖形介面系統 (如 Webmin)：最簡單但效率最差。

pfSense 介紹與功能

• pfSense 的本質與背景
  • 是一個基於FreeBSD的開源作業系統式防火牆，定位為商業等級，具備高效能與高穩定性。
  • 從M0n0wall專案分支而來，整合了豐富的網路套件。
  • 安裝後所有管理皆在全Web UI介面進行，支援正體中文。
  • 適合中小企業使用；大企業建議選用硬體式防火牆。
• pfSense 的核心功能與特色
  • 網路基礎：支援IPv4/IPv6、無線網路AP、802.1Q VLAN。
  • 位址與使用者管理：NAT、DHCP伺服器/中繼、網頁認證 (Captive Portal)。
  • 伺服器與服務：NTP伺服器、PPPoE伺服器、DNS解析器/轉發器。
  • 遠端與監控：網路喚醒 (Wake-on-LAN)、動態DNS (Dynamic DNS)、SNMP服務。
  • 安全與VPN：支援IPsec和OpenVPN、入侵偵測系統 (IDS) 套件 (如Snort)、代理伺服器 (Proxy) 套件 (如Squid)。
• 擴充套件
  • 提供超過70種網路相關套件，可透過Web UI輕鬆安裝，如Bind、HAProxy、iperf3等。

pfSense 安裝與實作規劃

• 硬體需求與相容性
  • 硬體需求極低（CPU 500MHz, RAM 1GB），但安裝前務必查詢官方的硬體相容性列表 (HCL)。
  • 可安裝在SD卡、USB隨身碟或硬碟上，建議安裝於硬碟以保存設定。
• 課程實作架構
  • 環境：在VMware虛擬機中進行。
  • 主機：1台全新安裝的pfSense主機、2台由Ubuntu複製的用戶端電腦。
  • 網路設定：
    • WAN (外部網路)：pfSense網卡1連接VMnet8 (NAT)，由DHCP取得IP。
    • LAN (內部網路)：pfSense網卡2設定固定IP 192.168.100.254，作為內部閘道。
    • 用戶端：連接至內部網路，透過pfSense的DHCP服務取得IP上網。
• 課程目標
  • 完成pfSense安裝與基本設定，讓內部用戶端能透過pfSense連上網際網路。
  • 為後續實作通訊埠轉發 (Port Forwarding) 與網站存取控制等功能做準備。