為了減少眾多資訊安全事件所帶來的危害，許多的組織在網際網路與組織內部網路之間建立網路防火牆作為防禦之用，如此無法預防另一半由組織內部所引起的資訊安全事件。此外，單有網路防火牆並不能做好資訊安全事件的防範，更重要的是訂定適當的網路防火牆政策並且架構符合政策的網路防火牆。
    本研究將網路防火牆的屬性及特質，抽象成網路防火牆抽象模型，再依據網路防火牆抽象模型，提出網路防火牆政策正規化模式及網路防火牆模型圖，用來協助分析網路防火牆政策及網路防火牆架構。
    在網路防火牆政策正規化模式中，可以將網路服務存取政策分析為網路防火牆設計政策，並且依據安全政策的意義，將效果重複的政策刪減。網路防火牆模型圖用來表示安全政策中網路實體的關聯性，以及網路實體與網路防火牆實體的關聯性，可以表示出完全達到安全政策要求，而且規則不重複的網路防火牆架構，使人容易明瞭實體之間的關係。
    在規劃組織網路時，網路防火牆政策正規化模式及網路防火牆模型圖可以協助規劃符合組織安全政策的網路架構。若在現有網路架構的情況下，搭配既成的網路拓樸，網路防火牆在現有網路架構中可能配置的位置，可以明確的被推斷出來。在配置有網路防火牆的網路架構下，同樣可以利用網路防火牆政策正規化模式與網路防火牆模型圖，重新檢視組織網路配置的適當性。

In order to reduce a lot of damage from information security incidents, there are many organizations set up firewalls between internet and intranet for protecting.  However, that is not preventing the half information security incidents causing by inner organization.  Besides, the precautions of information security incidents can not be done well if only use firewalls.  Ordering suitable firewall policies and building firewalls that are conforming to policies is more important.
    This research abstracts firewall model from the attributes and specialties of firewalls, then according firewall model to bring up Firewall Policies Normalization Model and the Drawings of Firewall Architecture.  This model assists to analyze firewall policies and firewall architecture.
    Using Firewall Policies Normalization Model can transfer network service policy into firewall design policy, and according the meaning of firewall policies to delete the redundancies.  The Drawings of Firewall Architecture are showing the connection of protected entities in security policies, and the connection between protected entities and firewall entities.  It is showing a firewall architecture conforming the meaning of all security policies and have no redundancy.  It will make people understanding the relation between entities and entities easier.
    When planning network architecture of organization, the Firewall Policies Normalization Model and the Drawings of Firewall Architecture can assist planning networks architecture which is conforming security policies.  In the condition of having network topology, where the firewalls should be implemented can be inferred clearly.  Under the network topology of configuring firewalls, we can use Firewall Policy Normalization Model and Drawings of Firewall Model to review the suitableness of network topology of organization.

目錄
目錄                                       III
圖目錄                                      VI
表目錄                                     VII
第壹章  緒論                                 1
第一節	網路防火牆應用                      1
第二節	網路防火牆政策                      1
第三節	網路防火牆規劃工具                  2
第貳章  網路防火牆                           4
第一節	網路防火牆概述                      4
第二節	網路防火牆之機制                    5
(一)、	封包過濾                            5
(二)、	代理服務                            6
第三節	網路防火牆之基本架構                8
(一)、	雙介面主機(Dual-Homed Host)架構     8
(二)、	屏蔽式主機(Screened Host)架構       8
(三)、	屏蔽式子網路(Screened Subnet)架構   9
第四節	網路防火牆抽象模型之期望           10
第參章  網路防火牆抽象模型                  11
第一節	網路防火牆屬性與特質               11
(一)、	定義                               11
(二)、	運作機制                           11
(三)、	安全政策                           12
(四)、	配置架構                           13
第二節	抽象模型                           14
第三節	抽象模型涵義                       15
第肆章  網路防火牆規劃工具設計              17
第一節	規劃工具設計目標                   17
第二節	網路防火牆政策正規化               17
(一)、	網路防火牆政策第一階段正規化       23
(二)、	網路防火牆政策第二階段正規化       25
(三)、	網路防火牆政策第三階段正規化       27
(四)、	網路防火牆政策第四階段正規化       29
(五)、	網路防火牆政策第三階段IP位址正規化 31
(六)、	網路防火牆政策第四階段IP位址正規化 32
第三節	網路防火牆模型圖                   34
(一)、	網路防火牆模型圖圖例               35
(二)、	網路防火牆政策關聯圖               36
(三)、	網路防火牆通用模型圖               38
(四)、	網路防火牆配置建議                 40
第伍章  網路防火牆政策正規化系統分析與實作  41
第一節	系統架構分析                       41
第二節	模組功能需求分析                   42
(一)、	網路服務及通訊埠資料管理模組       42
(二)、	實體資料管理模組                   42
(三)、	政策設定模組                       42
(四)、	政策正規化模組                     43
(五)、	政策表檢視模組                     45
第三節	系統設計                           46
(一)、	系統架構                           46
(二)、	系統功能流程                       47
(三)、	網路服務及通訊埠資料庫預設資料     52
第四節	模組功能設計                       54
(一)、	網路服務及通訊埠資料管理模組       54
(二)、	實體資料管理模組                   55
(三)、	政策設定模組                       55
(四)、	政策正規化模組                     56
(五)、	政策表檢視模組                     56
第陸章  網路防火牆政策正規化與模型應用      58
第一節	案例討論一                         58
(一)、	基本資料說明                       58
(二)、	第一階段正規化                     60
(三)、	第二階段正規化                     60
(四)、	第三階段正規化                     61
(五)、	第四階段正規化                     62
(六)、	網路防火牆模型圖                   63
(七)、	第三階段IP位址正規化               65
(八)、	第四階段IP位址正規化               65
(九)、	標示IP位址的網路防火牆模型圖       66
(十)、	案例一網路防火牆規劃建議           68
第二節	案例討論二                         69
(一)、	基本資料說明                       69
(二)、	第三階段正規化                     78
(三)、	第三階段IP位址正規化               79
(四)、	第四階段IP位址正規化               80
(五)、	案例二政策檢視結果                 81
第三節	案例三討論                         82
(一)、	基本資料說明                       82
(二)、	第一階段正規化                     84
(三)、	第二階段正規化                     85
(四)、	第三階段正規化                     87
(五)、	第四階段正規化                     88
(六)、	網路防火牆模型圖                   88
(七)、	案例三網路防火牆規劃建議           91
第柒章  結論與未來研究                      92
參考文獻                                    94

圖目錄
圖2-1  封包過濾機制                          5
圖2-2  代理服務機制                          7
圖2-3  雙介面主機網路防火牆架構圖            8
圖2-4  屏蔽式主機網路防火牆架構圖            9
圖2-5  屏蔽式子網路防火牆架構圖             10
圖3-1　網路防火牆抽象模型示意圖             14
圖4-1  網路防火牆模型圖圖例                 36
圖4-2  網路防火牆政策關聯圖範例             38
圖4-3  網路防火牆通用模型圖範例             38
圖4-4  網路實體二元關係圖                   39
圖4-5  網路防火牆雙二元關係圖               39
圖5-1  網路防火牆政策正規化系統功能架構圖   41
圖5-2  系統架構圖                           46
圖5-3  網路防火牆政策正規化系統流程圖       48
圖5-4  第一階段正規化細部系統流程圖         49
圖5-5  第二階段正規化細部系統流程圖         50
圖5-6  第三階段正規化細部系統流程圖         51
圖5-7  第四階段正規化細部系統流程圖         51
圖5-8  第三階段IP位址正規化細部系統流程圖   52
圖5-9  第四階段IP位址正規化細部系統流程圖   52
圖6-1  案例一網路拓樸圖                     59
圖6-2  案例一網路防火牆政策關聯圖           64
圖6-3  案例一網路防火牆通用模型圖           64
圖6-4  案例一標示IP位址的網路防火牆政策關聯圖 67
圖6-5  案例一標示IP位址的網路防火牆通用模型圖 68
圖6-6  案例二網路拓樸圖                       70
圖6-7  A防火牆過濾規則                        71
圖6-8  B防火牆過濾規則                        71
圖6-9  C防火牆過濾規則                        72
圖6-10  檔案伺服器防火牆過濾規則              73
圖6-11  總經理電腦防火牆過濾規則              74
圖6-12  案例一案例二第三階段IP位址網路防火牆政策對應關係圖81
圖6-13  案例一案例二第四階段IP位址網路防火牆政策對應關係圖81
圖6-14  案例三網路防火牆政策關聯圖           90
圖6-15  案例三網路防火牆政策關聯圖           91
 
表目錄
表4-1　正規化前的安全政策範例表              18
表4-2  網路實體基本資料範例表                23
表4-3  網路服務與通訊埠資料對照範例表        23
表4-4  網路通訊埠基本資料範例表              23
表4-5  第一階段網路防火牆政策範例表          24
表4-6　第二階段網路防火牆政策範例表          25
表4-7　第三階段網路防火牆政策範例表          27
表4-8　第四階段網路防火牆政策範例表          29
表4-9　第三階段IP位址網路防火牆政策範例表    31
表4-10　第四階段IP位址網路防火牆政策範例表   33
表5-1  網路服務與通訊埠資料對照表            53
表5-2  網路通訊埠基本資料表                  54
表6-1　案例一第一階段網路防火牆政策表        60
表6-2  案例一第二階段網路防火牆政策表        61
表6-3  案例一第三階段網路防火牆政策表        62
表6-4  案例一第四階段網路防火牆政策表        63
表6-5  案例一第三階段IP位址網路防火牆政策表  65
表6-6  案例一第四階段IP位址網路防火牆政策表  66
表6-7  案例二網路防火牆政策表                75
表6-8  案例二第三階段網路防火牆政策表        78
表6-9  案例二第三階段IP位址網路防火牆政策表  79
表6-10  案例二第四階段IP位址網路防火牆政策表 80
表6-11  案例三第一階段網路防火牆政策表       85
表6-12  案例三第二階段網路防火牆政策表       86
表6-13  案例三第三階段網路防火牆政策表       87
表6-14  案例三第四階段網路防火牆政策表       89

[1] Bellovin, Steven M. and Cheswick, William R., “Network firewalls,” IEEE Communications Magazine, Volume: 32 Issue: 9, Sept. 1994, pp. 50-57.
[2] British Standards Institution, “BS7799-1:2000/ BS ISO/IEC 17799:2000 Code of practice for information security management”, London, UK, 2000.
[3] British Standards Institution, “BS7799-2:2003 Specification for information Security Management Systems”, London, UK, 2003.
[4] Chapman, D. Brent, “Network (In) Security Through IP Packet Filtering,” Third USENIX UNIX Security Symposium, Baltimore, MD, Sept. 1992.
[5] Cheswick, William R., “The Design of a Secure Internet Gateway,” USENIX Summer Technical Conference Proceedings, Anaheim, California, USA, June 1990. pp233-238
[6] Cheswick, William R., Bellovin, Steven M., Rubin, Aviel D., “Firewalls and Internet Security: Repelling the Wily Hacker,” 2003, Addison-Wesley Professional.
[7] Cobb, S., ”Establishing firewall policy,” Southcon/96. Conference Record, Orlando, FL , USA, 25-27 June 1996, pp. 198-205.
[8] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Classless Inter-Domain Routing (CIDR): An Address Assignment and Aggregation Strategy", RFC 1519, BARRNet, cisco, Merit, and OARnet, September 1993.
[9] Gordon, Lawrence A., Loeb, Martin P., “2004 CSI/FBI Computer Crime and Security Survey,” 11, June, 2004, San Francisco, CA: Computer Security Institute.
[10] IANA, “Port Numbers”, http://www.iana.org/assignments/port-numbers, April 2005.
[11] IANA, “Protocol and Service Names”, http://www.iana.org/assignments/service-names, October 2004.
[12] J. Postel, “Internet Protocol”, IETF RFC-791, Information Sciences Institute, University of Southern California, Marina del Rey, September 1981.
[13] J. Postel, “Address Mappings”, IETF RFC-796, Information Sciences Institute, University of Southern California, Marina del Rey, September 1981.
[14] J. Reynolds, Ed., S. Ginoza, Ed., “Internet Official Protocol Standards”, IETF RFC-3700/STD-1, Internet Engineering Task Force, July 2004.
[15] J. Reynolds, Ed., “Assigned Numbers: RFC 1700 is Replaced by an On-line Database”, IETF RFC-3232, Internet Engineering Task Force, Marina del Rey, January 2002.
[16] J. Reynolds, J. Postel, “Assigned Numbers”, IETF RFC-1700/STD-2, Information Sciences Institute, University of Southern California, Marina del Rey, October 1994.
[17] Naur, Peter (ed.), “Revised Report on the Algorithmic Language ALGOL 60.,”  Communications of the ACM, Vol. 3 No.5, May 1960, pp. 299-314.
[18] Wack, John P., Carnahan, Lisa J., “Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls,”1995, NIST, Special Publication 800-10.
[19] 王旭譯，D. Brent Chapman, Elizabeth D. Zwicky著，「架設防火牆」，2002年5月第二版第四刷，台北，美商歐萊禮台灣分公司。
[20] 林宗柏，「防火牆應用之研究」，國立交通大學資訊工程學系碩士班，民國八十九年六月。
[21] 游啟勝，「合作式防火牆之設計與應用」，國立中央大學資訊管理學系碩士班，民國九十二年六月。