建置安全的网路环境

《建置安全的网路环境》由会员分享，可在线阅读，更多相关《建置安全的网路环境（19页珍藏版）》请在装配图网上搜索。

1、FireWall 防火牆防火牆建置安全的網路環境建置安全的網路環境第第13組組資料收集：38856037 葉正宏投影片製作及解說：38856012 劉名建美工及投影片放映：38856005 林宜靜在電腦資訊時代來臨之初，當電腦環境的應用還在所謂孤軍奮鬥的單機作業情況底下，很少有人想過遠在天涯海角另外一端的電腦會對自己的工作產生怎樣的影響。然而，在1988年的秋天，一位美國康乃爾大學學生Robert T.Morris,Jr在網際網路上啟動了第一隻Internet Worm，其橫掃網路的破壞威力粉碎了許多人對網際網路的美夢與憧憬，但也提醒了許多人重新評估網際網路所帶來的風險與安全性。網路的威力在現

2、在的資訊爆炸時代裡的確是無遠弗藉，無人可擋的。從早期利用電子郵件迅速交換資訊起，到現在無論是交易、娛樂、行銷、教育，甚至是目前炙手可熱的E-Commerce，已經與我們的日常生活息息相關，無人可置之度外。所以，唯有運用網路的效率與便捷，才能在本世紀掌握致勝的關鍵。在網路上曾流傳著這麼一句話“If you can access them,they can access you too!”，這代表的是網路的便利，也是網路的風險。網路所帶來的遠景是深深地吸引著許多人，但是稍一不慎就可能要付出極大的代價卻也造成不少人裹足不前，心存觀望。就像憂鬱的王子哈姆雷特所想的“To be or not to be

3、”。在前一陣子中美一片“駭”來“駭”去聲中，網路安全的話題又被炒熱了起來。正所謂“水能載舟，亦能覆舟”，網路的效率與威力是我們想擁有的，但是網路的不安全性就是我們極力想避免的狀況。如何避免？那就是網路安全政策的制定。如何落實？就要從人為的管理面、整 體的網路架構與網路安全產品的規劃與搭配著手才行。本篇簡報的目的即是希望藉由一步步的導引，協助大家建立一個基本的安全網路環境。讓大家可以明瞭網路環境並非如洪水猛獸般險惡，建構一個安全的網路環境也不是難事。甚麼是防火牆甚麼是防火牆防火牆，顧名思義就是建築在企業內部網路與外部網路連接處的一道檢查關卡，用以保護企業內部網路不受外界不明人士或非信任網域的騷擾

4、與破壞。這是防火牆在網路安全上的第一個概念。第二個概念就是所謂管理面的需求。由於現在的工作形態皆大量的倚賴網路，造成網路的負荷日益增加。因此，若不對網路資源加以妥善規劃與控管，則毫無節制的網路遊盪勢必拖垮整體企業網路的使用頻寬，浪費網路的資源。所以，防火牆已從單一的安全概念擴展到與管理面結合的整體性服務功能。以目前一般的認知裡，防火牆概略可分為 封包過濾型 與 Proxy 兩種，這兩種功能究竟有何差異，該如何取捨呢？我們可先從OSI(Open System Interconnection)的七個Layers來看起：從圖中可以看出Packet Filtering的機制是介在Network Lay

5、er與Data-Link Layer 之間，而Proxy是處在Application Layer的地位。因為所有網路行為的發生皆是從Network Layer開始，把Packer Filtering Module放在較底層的位置，才 能對進出的封包達到過濾與控管的目的。Proxy Module是處在Application Layer的地位，影響所及，是只能對應用層的東西做所謂的Content Filtering，但是對Application Layer以下的狀態卻只能用鞭長莫及來形容。所以從安全性與管理面來說，Packet Filtering能做直接第一手的掌控，而Proxy是送到較上層做其他

6、應用程式的管理動作。再就效率性而言，直接跑到三樓處理事情與跑到七樓，在速度上是有一定的差異的。所以Proxy的功能並不能直接等於防火牆，但是在某些事情的處理上，有Proxy 的幫忙卻能相得益彰，例如大家最熟悉的病毒掃瞄動作、不當網站的過濾與應用程式使用的詳細記錄等，這是都要借助Proxy的幫助才能達成的。有了這樣的概念後，我們就可以開始來架構企業網路的第一道牆了。代理(proxy)伺服器兩個 網路介面連接兩段網路，故又 名雙窟閘道器(dual-homed gateway)，它也具過濾封包的 功能，只是不同於封包過濾器在網際網路層進行，應用閘道器的連線過濾動作發生在程序應用層，故能提供較細緻、較

7、智慧的安全管制。代理(proxy)伺服器的特性是不允許封包直接由其網際網路層流經，其接受遠端主機的連線與否的規則在程序應用層制定，因此，用戶若欲通過代理(proxy)伺服器，得先出示其識別碼及密碼進行登入，待登入之後，再透過該閘道器與外界連線，由外而內亦同，代理(proxy)伺服器也被稱作應用閘道器。代理伺服器代理伺服器(Proxy Server)封包過濾器封包過濾器(Packet Filter)攻擊者一定要知道被攻擊者的罩門所在才能發動攻勢，一擊奏效。而被攻擊者通常都是暴露了某些弱點才會招來致命的吸引力，在網路的環境中亦是如此。目前的網路環境所使用的通訊協定都是以TCP/IP為主，TCP/I

8、P的罩門通常就是我們所稱的 埠號碼。一台電腦沒有提供任何服務，就相當於是處在一個四面皆是銅牆鐵壁的房間裡，當每啟動一個服務就等於在牆上開了一扇窗或一道門，埠號碼就是這些門與窗戶。如此一來，讓人破窗或破門而入的機會便大大地增加了。現在常見的網路攻擊型態大致上可分為下列幾種：1.Port Scanning-攻擊前準備動作 2.Password Cracking-密碼破解 3.DoS(Denial of Service)-癱瘓主機系統 4.Trojan Horse-先滲透後破壞架設防火牆的目的就是希望能把上述各種攻擊手段所帶來的破壞與風險阻絕於防火牆之外。故不論是管理的目的或是安全的目的，妥善的網路

9、規劃與防火牆的架設才能達到事半功倍的效果，也才能符合每一個企業網路的需求與期望。網路的弱點網路的弱點防火牆網路規劃防火牆網路規劃防火牆的網路架設是有彈性而非一成不變的，是可以根據每個企業的特性與安全政策來建置這樣的網路檢查哨，我們以下圖來加以說明：在圖中的例子，防火牆是採用三片網路卡的架構，這樣的運用之下將網路區隔成了三個網段：1.S1：為防火牆與Router之間的網段 2.S2：俗稱的DMZ網段 3.S3：一般辦公區域的Intranet網段 就整體來說，防火牆是在企業內部網路與網際網路之間形成一個咽喉點(Choke Point)，來達到落實安全政策的目的，因此防火牆的位置就落在與Router

10、同處一地的 S1網段，並藉由防火牆的分割，將S2與S3網段獨立於防火牆的保護之內。再來看看S2網段，此網段一般稱之為 DMZ(De-Militarize Zone)，這個非軍事區的原意本來是為了要區隔提供公眾服務的伺服器與Intranet網段之用。因為若是把提供Mail、Web Services等Servers放在與Intranet同一網段內，則第一個可能會由於Web Site的Hit Rate太高或Mail Server使用率很頻繁，造成Intranet整個網路的擁塞，影響到一般使用者的正常工作。第二則是安全的考量，假如將Web、Mail Servers與Intranet架設在一起，由於是提

11、供公眾服務的性質，因此所顯現出來的 弱點或許就會比較多一些。若是其中一台Server被駭客入侵，那麼這名駭客就有可能透過被入侵的Server在Intranet裡來去自如，橫行無阻。所以將這類公眾服務的伺服器與Intranet區分開來，就可避免Intranet的寶貴資料受到危害。防火牆與網路架構防火牆與網路架構但是在彈性規劃的考量下，我們並不一定要局限在 DMZ 這個名詞的泥淖中。如圖中所示，假如我們有一個重要的資料庫需要保護，若是將此資料庫與Intranet擺在同一個網段中，那麼能保障資料庫裡的資料安全就只有這台機器本身的使用者名稱與密碼而已，這樣的防衛是非常薄弱的，如果有人探聽或是用密碼破解

12、工具解析出某使用者在該資料庫的密碼，那麼他對這台伺服器豈不是可以長驅直入了嗎？所以若是能把該機器放置在S2網段裡，除了本身既有的認證機制外，又多了防火牆的過濾與控管，使得不是人人都可以輕易地靠近它，這樣的雙重保障下更能符合企業的安全需求。網路區段網路區段另外一種常見的網路架構如另外一種常見的網路架構如下下圖：圖：由於網路的快速有效率，許多企業已逐漸採用圖中的架構，將企業集團的每一份子納入了網網相扣的網路世界中，藉以提高工作效率，促進資訊快速流通。但是隨之而來的也是一連串管理與安全的問題。圖中防火牆將企業網路分割成S1與S2兩個網段，其中R1所擺的位置即決定了該企業對分公司網路的控管方式。若是將

13、R1擺在S1網段的位置，則表示分公司的網路使用者可自由透通網際網路，但是若想進入Intranet(S2)網段之中，則是需要防火牆同意才行。反之，若將 R1擺在S2的位置上，則分公司的人在總公司的內部網路行走是不受約束的。若是想進入網際網路中，則分公司與總公司的使用者是同樣需經過防火牆的允許方得以連接上網際網路。如果有企業希望分公司網路無論是想透通網際網路或是進入總公司的網路裡，皆能有防火牆做篩選的動作，那該怎麼辦呢？請參考下圖。只要在防火牆上多一片網路卡，將R1的位置獨立於 S1與S2網段之外，即可達成這樣的期望。防火牆建置與設定防火牆建置與設定在經過企業需求與安全政策的考量之後，決定了防火牆

14、的網路架構，再來就是要把期望付諸實現，開始建構企業的安全網路環境。假設現在某企業的防火牆架構如下圖：防火牆的網路環境設定，一般分為對網路本身的設定與防火牆軟體的設定。其中由於防火牆將網路切割成數個不同的網段，此時在網路設定上最重要的一項就是IP Routing 的設定正確與否。只有正確的封包遶送才能將訊息傳送到對方的手上，所以，在架構防火牆之初，有必要先針對IP Routing 的動作來做一番規劃與檢測。資訊安全不是只靠某些人或某些產品就可以達成目標的，是需要團體中的每一個人都有安全與保密的共識，方能維護企業在網路環境中的發展與成就。否則隨手一張便條紙寫上密碼然後黏貼在電腦螢幕邊，這樣的情況要

15、能有資訊安全豈不是天方夜譚？然而資訊安全也並非是只有防火牆一樣東西而已，其他如 C.A.(Certificate Authority)、VPN(Virtual Private Network).等等，都是構成資訊安全不可或缺的要素。若我們能先由建築一道堅固的城牆開始，相信其他的亦不遠矣。結語結語參考資料參考資料9、静夜四无邻，荒居旧业贫。22.7.2522.7.25Monday,July 25,202210、雨中黄叶树，灯下白头人。9:07:119:07:119:077/25/2022 9:07:11 AM11、以我独沈久，愧君相见频。22.7.259:07:119:07Jul-2225-Ju

16、l-2212、故人江海别，几度隔山川。9:07:119:07:119:07Monday,July 25,202213、乍见翻疑梦，相悲各问年。22.7.2522.7.259:07:119:07:11July 25,202214、他乡生白发，旧国见青山。2022年7月25日星期一上午9时7分11秒9:07:1122.7.2515、比不了得就不比，得不到的就不要。2022年7月上午9时7分22.7.259:07July 25,202216、行动出成果，工作出财富。2022年7月25日星期一9时07分11秒9:07:1125 July 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为

17、起点的射线向前。上午9时7分11秒上午9时7分9:07:1122.7.259、没有失败，只有暂时停止成功！。22.7.2522.7.25Monday,July 25,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。9:07:119:07:119:077/25/2022 9:07:11 AM11、成功就是日复一日那一点点小小努力的积累。22.7.259:07:119:07Jul-2225-Jul-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。9:07:119:07:119:07Monday,July 25,202213、不知香积寺，数里入云峰。22.7.252

18、2.7.259:07:119:07:11July 25,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月25日星期一上午9时7分11秒9:07:1122.7.2515、楚塞三湘接，荆门九派通。2022年7月上午9时7分22.7.259:07July 25,202216、少年十五二十时，步行夺得胡马骑。2022年7月25日星期一9时07分11秒9:07:1125 July 202217、空山新雨后，天气晚来秋。上午9时7分11秒上午9时7分9:07:1122.7.259、杨柳散和风，青山澹吾虑。22.7.2522.7.25Monday,July 25,202210、阅

19、读一切好书如同和过去最杰出的人谈话。9:07:119:07:119:077/25/2022 9:07:11 AM11、越是没有本领的就越加自命不凡。22.7.259:07:119:07Jul-2225-Jul-2212、越是无能的人，越喜欢挑剔别人的错儿。9:07:119:07:119:07Monday,July 25,202213、知人者智，自知者明。胜人者有力，自胜者强。22.7.2522.7.259:07:119:07:11July 25,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月25日星期一上午9时7分11秒9:07:1122.7.2515、最具挑战性

20、的挑战莫过于提升自我。2022年7月上午9时7分22.7.259:07July 25,202216、业余生活要有意义，不要越轨。2022年7月25日星期一9时07分11秒9:07:1125 July 202217、一个人即使已登上顶峰，也仍要自强不息。上午9时7分11秒上午9时7分9:07:1122.7.25MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉