搜索
FireWall防火牆建置安全的網路環境第13組資料收集:38856037葉正宏投影片製作及解說:38856012劉名建美工及投影片放映:38856005林宜靜在電腦資訊時代來臨之初,當電腦環境的應用還在所謂孤軍奮鬥的單機作業情況底下,很少有人想過遠在天涯海角另外一端的電腦會對自己的工作產生怎樣的影響。然而,在1988年的秋天,一位美國康乃爾大學學生RobertT.Morris,Jr在網際網路上啟動了第一隻InternetWorm,其橫掃網路的破壞威力粉碎了許多人對網際網路的美夢與憧憬,但也提醒了許多人重新評估網際網路所帶來的風險與安全性。網路的威力在現在的資訊爆炸時代裡的確是無遠弗藉,無人可擋的。從早期利用電子郵件迅速交換資訊起,到現在無論是交易、娛樂、行銷、教育,甚至是目前炙手可熱的E-Commerce,已經與我們的日常生活息息相關,無人可置之度外。所以,唯有運用網路的效率與便捷,才能在本世紀掌握致勝的關鍵。在網路上曾流傳著這麼一句話“Ifyoucanaccessthem,theycanaccessyoutoo!”,這代表的是網路的便利,也是網路的風險。網路所帶來的遠景是深深地吸引著許多人,但是稍一不慎就可能要付出極大的代價卻也造成不少人裹足不前,心存觀望。就像憂鬱的王子哈姆雷特所想的“Tobeornottobe”。在前一陣子中美一片“駭”來“駭”去聲中,網路安全的話題又被炒熱了起來。正所謂“水能載舟,亦能覆舟”,網路的效率與威力是我們想擁有的,但是網路的不安全性就是我們極力想避免的狀況。如何避免?那就是網路安全政策的制定。如何落實?就要從人為的管理面、整體的網路架構與網路安全產品的規劃與搭配著手才行。本篇簡報的目的即是希望藉由一步步的導引,協助大家建立一個基本的安全網路環境。讓大家可以明瞭網路環境並非如洪水猛獸般險惡,建構一個安全的網路環境也不是難事。甚麼是防火牆防火牆,顧名思義就是建築在企業內部網路與外部網路連接處的一道檢查關卡,用以保護企業內部網路不受外界不明人士或非信任網域的騷擾與破壞。這是防火牆在網路安全上的第一個概念。第二個概念就是所謂管理面的需求。由於現在的工作形態皆大量的倚賴網路,造成網路的負荷日益增加。因此,若不對網路資源加以妥善規劃與控管,則毫無節制的網路遊盪勢必拖垮整體企業網路的使用頻寬,浪費網路的資源。所以,防火牆已從單一的安全概念擴展到與管理面結合的整體性服務功能。以目前一般的認知裡,防火牆概略可分為封包過濾型與Proxy兩種,這兩種功能究竟有何差異,該如何取捨呢?我們可先從OSI(OpenSystemInterconnection)的七個Layers來看起:從圖中可以看出PacketFiltering的機制是介在NetworkLayer與Data-LinkLayer之間,而Proxy是處在ApplicationLayer的地位。因為所有網路行為的發生皆是從NetworkLayer開始,把PackerFilteringModule放在較底層的位置,才能對進出的封包達到過濾與控管的目的。ProxyModule是處在ApplicationLayer的地位,影響所及,是只能對應用層的東西做所謂的ContentFiltering,但是對ApplicationLayer以下的狀態卻只能用鞭長莫及來形容。所以從安全性與管理面來說,PacketFiltering能做直接第一手的掌控,而Proxy是送到較上層做其他應用程式的管理動作。再就效率性而言,直接跑到三樓處理事情與跑到七樓,在速度上是有一定的差異的。所以Proxy的功能並不能直接等於防火牆,但是在某些事情的處理上,有Proxy的幫忙卻能相得益彰,例如大家最熟悉的病毒掃瞄動作、不當網站的過濾與應用程式使用的詳細記錄…等,這是都要借助Proxy的幫助才能達成的。有了這樣的概念後,我們就可以開始來架構企業網路的第一道牆了。代理(proxy)伺服器兩個網路介面連接兩段網路,故又名雙窟閘道器(dual-homedgateway),它也具過濾封包的功能,只是不同於封包過濾器在網際網路層進行,應用閘道器的連線過濾動作發生在程序應用層,故能提供較細緻、較智慧的安全管制。代理(proxy)伺服器的特性是不允許封包直接由其網際網路層流經,其接受遠端主機的連線與否的規則在程序應用層制定,因此,用戶若欲通過代理(proxy)伺服器,得先出示其識別碼及密碼進行登入,待登入之後,再透過該閘道器與外界連線,由外而內亦同,代理(proxy)伺服器也被稱作應用閘道器。代理伺服器(ProxyServer)過濾封包是防火牆的基本功能,有些路由器、作業系統(如WindowsNT)甚至伺服程式(如、FTP等)也具有此功能,封包過濾器通常針對IP封包的表頭欄位與管理者制定的規則進行過濾,這些欄位主要為:•封包型別(PacketType),IP、UDP、ICMP、或TCP。•來源主機之IP位址•目標主機之IP位址•來源TCP/UDP埠號碼•目標TCP/UDP埠號碼由封包型別及來源TCP/UDP埠號碼可決定該封包的服務種類,例如,若封包型別為TCP、埠號碼為23,此為TELNET服務,若封包型別為TCP、埠號碼為25,此為SMTP服務,若封包型別為UDP、埠號碼為42,此為名稱服務,管理者可利用防火牆控制封包可從何處來、可經過哪些管道、可至哪些主機,防火牆即根據這些規則決定封包的放行與否。封包過濾器(PacketFilter)攻擊者一定要知道被攻擊者的罩門所在才能發動攻勢,一擊奏效。而被攻擊者通常都是暴露了某些弱點才會招來致命的吸引力,在網路的環境中亦是如此。目前的網路環境所使用的通訊協定都是以TCP/IP為主,TCP/IP的罩門通常就是我們所稱的埠號碼。一台電腦沒有提供任何服務,就相當於是處在一個四面皆是銅牆鐵壁的房間裡,當每啟動一個服務就等於在牆上開了一扇窗或一道門,埠號碼就是這些門與窗戶。如此一來,讓人破窗或破門而入的機會便大大地增加了。現在常見的網路攻擊型態大致上可分為下列幾種:1.PortScanning--攻擊前準備動作2.PasswordCracking--密碼破解3.DoS(DenialofService)--癱瘓主機系統4.TrojanHorse--先滲透後破壞架設防火牆的目的就是希望能把上述各種攻擊手段所帶來的破壞與風險阻絕於防火牆之外。故不論是管理的目的或是安全的目的,妥善的網路規劃與防火牆的架設才能達到事半功倍的效果,也才能符合每一個企業網路的需求與期望。網路的弱點防火牆網路規劃防火牆的網路架設是有彈性而非一成不變的,是可以根據每個企業的特性與安全政策來建置這樣的網路檢查哨,我們以下圖來加以說明:在圖中的例子,防火牆是採用三片網路卡的架構,這樣的運用之下將網路區隔成了三個網段:1.S1:為防火牆與Router之間的網段2.S2:俗稱的DMZ網段3.S3:一般辦公區域的Intranet網段就整體來說,防火牆是在企業內部網路與網際網路之間形成一個咽喉點(ChokePoint),來達到落實安全政策的目的,因此防火牆的位置就落在與Router同處一地的S1網段,並藉由防火牆的分割,將S2與S3網段獨立於防火牆的保護之內。再來看看S2網段,此網段一般稱之為DMZ(De-MilitarizeZone),這個非軍事區的原意本來是為了要區隔提供公眾服務的伺服器與Intranet網段之用。因為若是把提供Mail、WebServices等Servers放在與Intranet同一網段內,則第一個可能會由於WebSite的HitRate太高或MailServer使用率很頻繁,造成Intranet整個網路的擁塞,影響到一般使用者的正常工作。第二則是安全的考量,假如將Web、MailServers與Intranet架設在一起,由於是提供公眾服務的性質,因此所顯現出來的弱點或許就會比較多一些。若是其中一台Server被駭客入侵,那麼這名駭客就有可能透過被入侵的Server在Intranet裡來去自如,橫行無阻。所以將這類公眾服務的伺服器與Intranet區分開來,就可避免Intranet的寶貴資料受到危害。防火牆與網路架構但是在彈性規劃的考量下,我們並不一定要局限在DMZ這個名詞的泥淖中。如圖中所示,假如我們有一個重要的資料庫需要保護,若是將此資料庫與Intranet擺在同一個網段中,那麼能保障資料庫裡的資料安全就只有這台機器本身的使用者名稱與密碼而已,這樣的防衛是非常薄弱的,如果有人探聽或是用密碼破解工具解析出某使用者在該資料庫的密碼,那麼他對這台伺服器豈不是可以長驅直入了嗎?所以若是能把該機器放置在S2網段裡,除了本身既有的認證機制外,又多了防火牆的過濾與控管,使得不是人人都可以輕易地靠近它,這樣的雙重保障下更能符合企業的安全需求。網路區段另外一種常見的網路架構如下圖:由於網路的快速有效率,許多企業已逐漸採用圖中的架構,將企業集團的每一份子納入了網網相扣的網路世界中,藉以提高工作效率,促進資訊快速流通。但是隨之而來的也是一連串管理與安全的問題。圖中防火牆將企業網路分割成S1與S2兩個網段,其中R1所擺的位置即決定了該企業對分公司網路的控管方式。若是將R1擺在S1網段的位置,則表示分公司的網路使用者可自由透通網際網路,但是若想進入Intranet(S2)網段之中,則是需要防火牆同意才行。反之,若將R1擺在S2的位置上,則分公司的人在總公司的內部網路行走是不受約束的。若是想進入網際網路中,則分公司與總公司的使用者是同樣需經過防火牆的允許方得以連接上網際網路。如果有企業希望分公司網路無論是想透通網際網路或是進入總公司的網路裡,皆能有防火牆做篩選的動作,那該怎麼辦呢?請參考下圖。只要在防火牆上多一片網路卡,將R1的位置獨立於S1與S2網段之外,即可達成這樣的期望。防火牆建置與設定在經過企業需求與安全政策的考量之後,決定了防火牆的網路架構,再來就是要把期望付諸實現,開始建構企業的安全網路環境。假設現在某企業的防火牆架構如下圖:防火牆的網路環境設定,一般分為對網路本身的設定與防火牆軟體的設定。其中由於防火牆將網路切割成數個不同的網段,此時在網路設定上最重要的一項就是IPRouting的設定正確與否。只有正確的封包遶送才能將訊息傳送到對方的手上,所以,在架構防火牆之初,有必要先針對IPRouting的動作來做一番規劃與檢測。資訊安全不是只靠某些人或某些產品就可以達成目標的,是需要團體中的每一個人都有安全與保密的共識,方能維護企業在網路環境中的發展與成就。否則隨手一張便條紙寫上密碼然後黏貼在電腦螢幕邊,這樣的情況要能有資訊安全豈不是天方夜譚?然而資訊安全也並非是只有防火牆一樣東西而已,其他如C.A.(CertificateAuthority)、VPN(VirtualPrivateNetwork)….等等,都是構成資訊安全不可或缺的要素。若我們能先由建築一道堅固的城牆開始,相信其他的亦不遠矣。結語參考資料GenNet專家論壇