小黃老師嘿技術

不管是正在準備網路證照考試（如 CCNA、Security+），還是剛接手公司網路管理的 IT 新手，防火牆（Firewall）的設定邏輯往往是讓人最頭痛的第一關。

這篇文章將用最白話的方式，為大家拆解防火牆最核心的兩個維度：一是決定「誰能進出」的規則邏輯（正面表列 vs 負面表列），二是決定「防火牆怎麼擺放」的部署架構（通透式模式）。搞懂這些，你的資安觀念就及格了一半！

一、防火牆的規則邏輯：該擋誰？該讓誰過？

在設定防火牆規則（Policy）時，我們必須先決定一個「預設態度」，這就是正面表列與負面表列的差別。

2-1. 什麼是正面表列 (Positive List / Whitelist)？

核心概念：預設拒絕 (Default Deny)

所謂的正面表列，意思就是「除了我允許的好人之外，其他通通不准進來」。在防火牆的設定中，預設狀態是將所有流量阻擋（Deny All），管理者必須一條一條輸入「允許」的規則。

• 比喻：就像是一場「極度私密的私人派對」，門口的保鑣手上有著名單，只有名字在名單上的人才能進場，其他路人不管是不是壞人，一律擋在門外。
• 優點：安全性最高！這也是目前資安界推崇零信任 (Zero Trust) 架構的基礎，因為未知的威脅通常不在允許名單內，自然會被擋下。

2-2. 什麼是負面表列 (Negative List / Blacklist)？

核心概念：預設允許 (Default Allow)

負面表列則是相反，意思是「除了已知的壞人之外，其他通通放行」。防火牆預設大門敞開，只針對被列入黑名單的 IP 或服務進行封鎖。

• 比喻：就像是「開放式的觀光夜市」，所有人都可以自由進出，警察只會攔下被通緝的犯人或明顯在搗亂的人。
• 缺點：安全性較低。如果駭客使用了一個「新的 IP」或「沒被列入黑名單」的攻擊手法，防火牆就會因為沒有規則而讓他通過。

二、重點比較：正面表列 vs 負面表列差異表

為了讓大家一目了然，我整理了這張 SEO 精選摘要表格，建議網管人員收藏：

比較項目	正面表列 (Whitelist)	負面表列 (Blacklist)
預設狀態	全部阻擋 (Deny All)	全部允許 (Allow All)
管理邏輯	只放行好人	只阻擋壞人
安全性	高 (未知威脅進不來)	低 (未知威脅防不住)
管理難度	較高 (需清楚所有正常流量)	較低 (只需擋掉已知攻擊)

三、防火牆的部署架構：通透式模式是什麼？

聊完了規則，接下來要談的是「防火牆在網路中的存在形式」。除了常見的路由模式（Routing Mode，防火牆當路由器用），還有一種很特殊的模式叫做通透式。

4-1. 通透式模式 (Transparent Mode / Bridge Mode) 定義

通透式模式，顧名思義就是讓防火牆像「透明」的一樣。在這種模式下，防火牆通常運作在 OSI 模型的第二層（資料連結層 Layer 2），就像是一個橋接器（Bridge）。

關鍵特徵：防火牆本身不需要設定對外服務的 IP 位址，網路流量經過它時會被檢查，但發送端和接收端完全「感覺不到」中間有一台防火牆存在。

4-2. 為什麼要用通透式？優點分析

• 隨插即用，不改架構：這是最大優勢！如果你想在既有的公司網路中「多加一層防護」，但不想更改原本路由器（Router）的設定，也不想重新規劃 IP，通透式防火牆直接串接上去即可運作。
• 隱密性高：因為防火牆沒有 IP（或 IP 不對外公開），駭客很難直接針對防火牆設備本身進行掃描或攻擊（DDoS），相對更安全。

四、實務建議：我該如何選擇？

身為一名教學者，綜合以上的分析，我給予以下建議：

1. 在規則設定上：請堅持用「正面表列」
雖然剛開始設定時很痛苦，必須一一盤點公司到底有哪些服務要開通，一旦設定漏了，使用者就會哀號連不到。但長痛不如短痛，正面表列才能確保你的網路環境符合最小權限原則，真正擋住勒索病毒等未知威脅。

2. 在架構選擇上：視環境而定
如果是新建立的網路環境，建議直接用路由模式，讓防火牆兼具路由功能，架構最單純。如果是舊網路要強化資安，且不能斷線太久、不能改 IP，那麼通透式模式就是你的救星。

五、常見問題 FAQ

Q1: 通透式防火牆真的完全不用設定 IP 嗎？
A: 為了讓管理者能登入後台進行設定，通常還是會設定一個「管理用 IP」 (Management IP)，但這個 IP 不會參與網路流量的轉發，僅供管理使用。

Q2: 學校或企業內部通常是用哪種表列？
A: 為了資安考量，絕大多數正式的企業環境與校園骨幹網路，都會採用正面表列（預設 Deny）。

---