网路安全-技术面防范

107網路安全－技術面防範2網路安全網路安全只是資訊安全的一小部分網路安全目的：希望藉由適當的防護與管理，讓網路環境變得更安全相較於資訊安全的全方位，網路安全利用一些技術來加強網路環境的安全性技術：防火牆入侵偵測系統弱點掃描器虛擬私有網路密碼學防毒軟體備份軟體備援機制等3網路的方便與危機4恆網的威脅行動通訊與無線網路的技術越加成熟恆網時代（EvernetEra）的來臨趨勢大師納斯漢：「網際網路時代結束，恆網時代開跑」恆網：任何人在任何時間、任何地點、以任何方式連接到網路環境的技術網際網路通訊的極致發揮，某種物品就能迅速上網安全的隱憂5網路安全策略安全的網路環境：需要的是一套完善且持續運作的安全機制包含管理面及技術面常用的安全技術：入侵偵測系統（IDS：IntrusionDetectionSystem）弱點掃描器虛擬私人網路防毒軟體備份程式備援機制防火牆6入侵偵測系統（IntrusionDetectionSystem,IDS）ISS公司的RealSecure及BlackICE7弱點掃描器（VulnerabilityScanner）NetIQ：SecurityAnalyzer，GFI：LANguardNetworkSecurityScanner，SAINT：SAINT，微軟平台：EnterpriseInspector8虛擬私人網路（VirtualPrivateNetwork，VPN）虛擬區域網路：透過網路管理者將區域網路作邏輯分組，不受限於使用者的主機所在位址因應企業全球化佈局，但TCP/IP為明碼，有安全上顧忌：解決方案一：數據專線方式跨國專線費用高且需投入相當的設備、人力維護解決方案二：虛擬私人網路（VPN）兼顧安全及成本讓公共網路變成像是內部專線網路整合包括X.25、FrameRelay、ATM、INTERNET利用通道法（Tunneling）將公共網路或廣域網路的連接方式，轉換成具加密、身份辨認以及存取控制功能的網路9虛擬私人網路運作圖10防毒軟體防毒軟體的功能偵測並且防止惡性程式感染電腦系統針對已經遭受感染的程式進行清除或隔離檢查的機制：即時手動排程偵測方式：比對常見產品：PC-cillinNortonAntiVirus11備份程式需要備份的資料：作業系統應用程式使用者資料決定檔案是否備份的依據為檔案記錄（archive）屬性資料備份的方法：一般（Normal）：完整備份（Fullbackup）增量（Incremental）：備份記錄屬性被啟動的檔案備份完成後，清除檔案記錄屬性差異（Differential）：備份記錄屬性被啟動的檔案備份完成後，不清除檔案記錄屬性累加方式做備份12備份時程13三種備份方式的比較14備援機制備援機制的主要功能：電腦系統出現問題的同時可以繼續維持系統的正常運，以提高電腦系統的可用度平時，可以做到負載平衡系統發生問題時，透過備援系統達到容錯備援機制兩個層面：元件備援：熱抽拔（hotplug）磁碟裝置電腦系統本身：叢集（Cluster）多部電腦所組成的虛擬機器15磁碟裝置容錯（RedundantArrayofIndependentDisks,RAID）1987年柏克萊大學加州分校目的：增加磁碟系統的穩定性及效率RAID分6個等級：RAID0~RAID5較常見：RAID0RAID1RAID5RAID在處理資料時，需要額外的計算除RAID1不需額外的計算，可用軟體達成其餘RAID建議由專屬硬體來提供功能16RAID0由至少二顆硬碟所組成的磁碟陣列每一顆硬碟的大小都需要相同stripe：資料被寫入時切割成大小相同的區塊，稱之。資料並同時寫入，儲存至每一個磁碟中優點：存取效率極為優異缺點：不支援容錯特性：Providesdatastripingbutnoredundancyimprovesperformancebutdoesnotdeliverfaulttolerance17RAID1（磁碟鏡射，mirror）由二顆硬碟所組成，且硬碟的大小都需要相同資料的寫入：一樣的資料同時寫入二顆硬碟中優點：容錯；缺點：成本高18RAID5由至少三顆硬碟所組成的磁碟陣列每一顆硬碟的大小都需要相同stripe（等量磁碟）：資料被寫入時切割成大小相同的區塊，稱之。並計算出該資料的同位元值資料與同位元值寫入至不同的磁碟中，達到容錯優點：允許一個硬碟的故障缺點：寫入資料效能較差空間使用率：(n-1)/n*100%n:硬碟數量-1:存放Parity的一顆硬碟19電腦系統的負載平衡及容錯叢集（Cluster）：由多部電腦所組成的虛擬機器每一部實體的電腦被稱為一個節點平時服務的提供可以由某一個節點負責該節點發生問題時，其他的節點則會接手發生問題節點的工作可以分為網路及系統二種層面20網路叢集網路叢集：多個節點共用相同的IP位址來達成前提：每個節點都可提供相同的服務例如：Windows2000advancedserver的NLB(networkloadbalancing)技術21系統叢集系統叢集：多個節點來提供相同的應用程式服務，如資料庫或電子郵件服務前提：每個節點利用共同儲存裝置（ShareStorage）來共用使用者資料錯誤移轉（FailOver）：提供服務節點出問題時，系統將工作轉移到另一節點繼續運作，稱之目的：提升系統可用度例如：Windows2000advancedserver的ClusterService22防火牆原理防火牆機制：對外連線的咽喉點(ChokePoint)架設防火牆機制，過濾可能危害內部網路的封包防火牆能夠根據經由該點進出的封包加以分析使用服務的種類、來源與目的地位址、控制使用者存取權以及進出封包的內容23個人防火牆防護記錄24防火牆概念圖25防火牆的功能一般正常的封包傳遞條件式的過濾封包傳遞保護企業的內部網路控管企業使用者的網際網路資源存取26防火牆－一般正常的封包傳遞27防火牆－條件式的過濾封包傳遞28防火牆－保護企業的內部網路29防火牆－控管企業使用者的網際網路資源存取30防火牆的種類依層級不同：1.封包過濾型防火牆（網路層級）－PacketFilterFirewall2.應用層級過濾型防火牆－ApplicationFilterFirewallApplicationLayerNetworkLayerData-LinkLayerFirewallandProxyServerScreeningRouterandPacketFilter31網路層級防火牆概念圖封包過濾器(PacketFilter)：對進入封包的標頭(header)部分進行檢查建構在網路層級，不會對傳輸資料的內容進行偵測32封包過濾型防火牆33靜態與動態封包過濾技術靜態封包過濾(StaticPacketFilter)：限定封包只能從哪裡來（來源端IP位址的檢查）以及到哪裡去（目的地端IP位址的檢查），使用什麼樣的通訊協定（目的地端服務連接埠的檢查）可判斷TCP封包方向性動態封包過濾(DynamicPacketFilter)：又稱狀態檢查（StatefulInspection）在原先靜態封包過濾器加上一個連線狀態記錄器34應用層級閘道器(Application-levelGateway)應用層級過濾型防火牆特性：將封包分析的工作提升至應用層級來處理，可以提供更為詳細的安全檢驗可視為一台代理伺服器(ProxyServer)內部網路的使用者必須透過該代理伺服器的協助才能與外部主機溝通外部主機並不能直接看到真正的內部使用者，而是只能看到這台代理伺服器。代理伺服器有隱藏內部網路的功能防止網際網路的惡意人士嘗試去瞭解公司內部網路的資訊偵測入侵行為：禁止執行DNS區域移轉（Zonetransfer）技術去複製DNS區域資料（Zonedata）35應用層級過濾型防火牆概念圖36應用層級過濾型防火牆－優點及注意事項優點：不變動網路架構下擴充防火牆使用的注意事項：雖提供較為完善的安全防護，但效率明顯較差處理較多安全項目代理伺服器必須在內部與外部網路溝通上面花一些時間進行轉換的工作應用程式若未被代理伺服器支援，這些網路服務將無法使用一般可與代理伺服器溝通的網路應用程式，如瀏覽器是最普遍的，其內建便具有支援代理伺服器的存取其他程式如FTP、Telnet等，也必須要能提供溝通的能力才行37防火牆的網路架構1.防禦主機架構2.3-Homed架構3.多層次架構（Multi-Layered）38防禦主機架構兩片網路卡：1.對內網路卡：屏障網路（screenednetwork）2.對外網路卡：公眾網路特性：成本低、管理易393-Homed架構三片網路卡：1.對內：企業內部網路2.對外：公眾網路3.連接至非軍事管制區（DemilitarizedZone，DMZ），又稱週邊地帶（Perimeternetwork）用戶存取的資源，如：Web主機、FTP主機、電子郵件主機特性：安全性較防禦主機架構好管理便利40多層次架構（Multi-Layered）利用多部防火牆所組成的防禦架構常見的基本架構：由兩部防火牆組成（多會選擇不同產品）外部防火牆的外部網路卡：公眾網路內部防火牆的內部網路卡：企業內部外部防火牆的內部網路卡及內部防火牆的外部網路卡非軍事管制區（DMZ）特性：安全性較高管理彈性41防火牆的限制1.防火牆無法辨識資料的真正來源：防火牆只負責管制封包的流向，外界假造的封包無法分辨解決：密碼技術中的認證2.防火牆不提供加密保護的功能：防火牆無法達到連線保密：防火牆與外界的公眾網路連結，連線資料可能遭受竊聽解決：透過其他機制，如VPN或IPSec等來加強保密3.防火牆無法防範來自內部網路的侵害4.咽喉點(ChokePoint)成為網路交通的瓶頸：防火牆統籌了內部與外部資料流通的工作5.駭客攻擊的標的：防火牆負責所有內部網路安全的警衛對防火牆系統的安全更加要嚴格把關42如何選擇適當的防火牆1.是否可以提供適當的保護？2.可否滿足現在及將來的需求？3.該產品的穩定性如何？4.是否容易設定、方便管理及簡單維護？5.執行運作的效率是好？是壞？6.是否提供額外的功能？如虛擬私人網路（VPN）、IDS7.功能價值比：這個防火牆究竟值不值得花這麼多錢去買