阿摩線上測驗
9.
以下有關防火牆(firewall)的敘述,何者錯誤?
(A)封包過濾防火牆(packet filter firewall)很難防禦「IP 位
址偽裝」攻擊
(B)應用代理防火牆(application-proxy gateway firewall)可以
防禦「阻斷服務」攻擊
(C)應用代理防火牆(application-proxy gateway firewall)可以
掃描電子郵件
(D)狀態檢查防火牆(stateful inspection firewall)依靠狀態記
憶執行存取控制,不只依據靜態規則
統計: A(23), B(155), C(32), D(12), E(0) #3145729
詳解 (共 2 筆)
【解題思路】
這題核心在考:
三種防火牆類型的「能力差異」:
-
Packet Filter(封包過濾):最基礎、只看 IP/port
-
Application Proxy(應用層代理):最安全,可檢查內容(email、URL、檔案…)
-
Stateful Inspection(狀態檢查):看連線狀態是否正常,能抵抗部分偽裝攻擊
題目要找「錯誤的敘述」。
四個選項中,只有一個寫法明顯不對 —— 應用代理防火牆無法防禦 DoS(阻斷服務)攻擊。
因此答案是 (B)。
【為什麼其他選項不正確(逐一破題)】
(A) 封包過濾防火牆很難防 IP 偽裝 → 正確
Packet Filter 只看 header 的 IP/Port,不看內容
→ IP spoofing 很容易繞過
所以此敘述正確。
(B) 應用代理防火牆可以防禦 DoS → 錯誤!
Application Proxy 最強是:
-
掃描內容(email、HTTP 行為)
-
過濾應用層攻擊
但 它擋不了 DoS,因為 DoS 是高流量攻擊,會直接把代理伺服器壓垮。
防 DoS 要用 IDS/IPS、WAF、DDoS 清洗中心等。
因此選 B。
(C) 應用代理防火牆可以掃描 email → 正確
Application Proxy 在應用層,可以:
-
檢查 email
-
過濾垃圾郵件
-
防毒
-
過濾 HTTP request
所以此敘述正確。
(D) Stateful Inspection 依靠狀態記憶,不只看靜態規則 → 正確
Stateful Firewall 會檢查:
-
連線狀態
-
session
-
sequence number
比純 packet filter 更安全。
【延伸知識】
三種防火牆的層級與能力:
| 類型 | 看到的資訊 | 優點 | 缺點 |
|---|---|---|---|
| Packet Filter | IP / Port | 快速、成本低 | 無法擋 IP spoofing、看不到內容 |
| Stateful Inspection | 連線狀態、封包上下文 | 比 Packet Filter 安全 | 還是看不到內容本身 |
| Application Proxy | URL、header、email、檔案內容 | 最安全,可過濾應用層攻擊 | 遭 DoS 會先被打爆,成本高 |
DoS 攻擊屬於「大量流量攻擊」,不是靠 application proxy 就能擋。
【記憶技巧】
一句口訣:
封包弱、狀態中、代理強,但 DoS 誰都擋不住。
更短:
代理看內容,不看流量。
【常見錯誤】
-
以為 application proxy 很強 → 能擋 DoS
錯!DoS 是流量攻擊,代理伺服器反而更容易被壓垮。 -
把 stateful 和 proxy 混淆
stateful 看「連線狀態」
proxy 看「內容」 -
忘記 packet filter 不會檢查來源真偽 → 容易被 IP spoofing。