Transcript 網路安全-技術面防範
07 網路安全-技術面防範
1
網路安全
網路安全只是資訊安全的一小部分
網路安全目的:
希望藉由適當的防護與管理,讓網路環境變得更安全
相較於資訊安全的全方位,網路安全利用一些技術來加強網路環
境的安全性
技術:
防火牆
入侵偵測系統
弱點掃描器
虛擬私有網路
密碼學
防毒軟體
備份軟體
備援機制等
2
網路的方便與危機
3
恆網的威脅
行動通訊與無線網路的技術越加成熟
恆網時代(Evernet Era)的來臨
趨勢大師納斯漢:「網際網路時代結束,恆網時代
開跑」
恆網:
任何人在任何時間、任何地點、以任何方式連接
到網路環境的技術
網際網路通訊的極致發揮,某種物品就能迅速上
網
安全的隱憂
4
網路安全策略
安全的網路環境:
需要的是一套完善且持續運作的安全機制
包含管理面及技術面
常用的安全技術:
入侵偵測系統(IDS:Intrusion Detection System)
弱點掃描器
虛擬私人網路
防毒軟體
備份程式
備援機制
防火牆
5
入侵偵測系統
(Intrusion Detection System ,IDS)
ISS公司的RealSecure及BlackICE
6
弱點掃描器
(Vulnerability Scanner)
NetIQ:Security Analyzer,GFI :LANguard Network
Security Scanner,SAINT: SAINT,微軟平台:
EnterpriseInspector
7
虛擬私人網路
(Virtual Private Network,VPN)
虛擬區域網路:
透過網路管理者將區域網路作邏輯分組,不受限於使用者的
主機所在位址
因應企業全球化佈局,但TCP/IP為明碼,有安全上顧忌:
解決方案一:數據專線方式
跨國專線費用高且需投入相當的設備、人力維護
解決方案二:虛擬私人網路(VPN)
兼顧安全及成本
讓公共網路變成像是內部專線網路
整合包括X.25、Frame Relay、ATM、INTERNET
利用通道法(Tunneling)將公共網路或廣域網路的連接方
式,轉換成具加密、身份辨認以及存取控制功能的網路
8
虛擬私人網路運作圖
9
防毒軟體
防毒軟體的功能
檢查的機制:
即時
手動
排程
偵測方式:
偵測並且防止惡性程式感染電腦系統
針對已經遭受感染的程式進行清除或隔離
比對
常見產品:
PC-cillin
Norton AntiVirus
10
備份程式
需要備份的資料:
作業系統
應用程式
使用者資料
決定檔案是否備份的依據為檔案記錄(archive)屬性
資料備份的方法:
一般(Normal):
完整備份(Full backup)
增量(Incremental):
備份記錄屬性被啟動的檔案
備份完成後,清除檔案記錄屬性
差異(Differential):
備份記錄屬性被啟動的檔案
備份完成後,不清除檔案記錄屬性
累加方式做備份
11
備份時程
12
三種備份方式的比較
13
備援機制
備援機制的主要功能:
電腦系統出現問題的同時可以
繼續維持系統的正常運,以提
高電腦系統的可用度
平時,可以做到負載平衡
系統發生問題時,透過備援系
統達到容錯
備援機制兩個層面:
元件備援:
熱抽拔(hot plug)
磁碟裝置
電腦系統本身:
叢集(Cluster)
多部電腦所組成的虛擬機器
14
磁碟裝置容錯
(Redundant Array of Independent Disks, RAID)
1987年柏克萊大學加州分校
目的:
RAID 分6個等級: RAID 0 ~ RAID 5
增加磁碟系統的穩定性及效率
較常見:
RAID 0
RAID 1
RAID 5
RAID在處理資料時,需要額外的計算
除RAID 1 不需額外的計算,可用軟體達成
其餘RAID建議由專屬硬體來提供功能
15
RAID 0
由至少二顆硬碟所組成的磁碟陣列
每一顆硬碟的大小都需要相同
stripe:
資料被寫入時切割成大小相同的區塊,稱之。
資料並同時寫入,儲存至每一個磁碟中
優點:存取效率極為優異
缺點:不支援容錯
特性:
Provides data striping but no redundancy
improves performance but does not deliver fault tolerance
16
RAID 1(磁碟鏡射,mirror)
由二顆硬碟所組成,且硬碟的大小都需要相同
資料的寫入:一樣的資料同時寫入二顆硬碟中
優點:容錯; 缺點:成本高
17
RAID 5
由至少三顆硬碟所組成的磁碟
陣列
每一顆硬碟的大小都需要相同
stripe(等量磁碟):
資料被寫入時切割成大小相同
的區塊,稱之。
並計算出該資料的同位元值
資料與同位元值寫入至不同的
磁碟中,達到容錯
優點:允許一個硬碟的故障
缺點:寫入資料效能較差
空間使用率:
(n-1)/n*100%
n:硬碟數量
-1: 存放Parity的一顆硬碟
18
電腦系統的負載平衡及容錯
叢集(Cluster):
由多部電腦所組成的虛擬機器
每一部實體的電腦被稱為一個節點
平時服務的提供可以由某一個節點負責
該節點發生問題時,其他的節點則會接手發生問題
節點的工作
可以分為
網路及系統二種層面
19
網路叢集
網路叢集:
多個節點共用相同的
IP位址來達成
前提:每個節點都可
提供相同的服務
例如:Windows
2000 advanced
server 的NLB
( network load balancing )
技術
20
系統叢集
系統叢集:
多個節點來提供相同的應用程
式服務,如資料庫或電子郵件
服務
前提:每個節點利用共同儲存
裝置(Share Storage)來共
用使用者資料
錯誤移轉(Fail Over):
提供服務節點出問題時,
系統將工作轉移到另一節
點繼續運作,稱之
目的:
提升系統可用度
例如:Windows 2000
advanced server 的 Cluster
Service
21
防火牆原理
防火牆機制:
對外連線的咽喉點 (Choke Point) 架設防火牆機制,
過濾可能危害內部網路的封包
防火牆能夠根據經由該點進出的封包加以分析
使用服務的種類、來源與目的地位址、控制使用
者存取權以及進出封包的內容
22
個人防火牆防護記錄
23
防火牆概念圖
24
防火牆的功能
一般正常的封包傳遞
條件式的過濾封包傳遞
保護企業的內部網路
控管企業使用者的網際網路資源存取
25
防火牆-一般正常的封包傳遞
26
防火牆-條件式的過濾封包傳遞
27
防火牆-保護企業的內部網路
28
防火牆-
控管企業使用者的網際網路資源存取
29
防火牆的種類
依層級不同:
1.
2.
封包過濾型防火牆(網路層級)-Packet Filter Firewall
應用層級過濾型防火牆-Application Filter Firewall
Application Layer
Firewall and Proxy Server
Network Layer
Screening Router
and Packet Filter
Data-Link Layer
30
網路層級防火牆概念圖
封包過濾器 (Packet Filter) :
對進入封包的標頭 (header)部分進行檢查
建構在網路層級,不會對傳輸資料的內容進行偵測
31
封包過濾型防火牆
32
靜態與動態封包過濾技術
靜態封包過濾 (Static Packet Filter) :
限定封包只能從哪裡來(來源端IP位址的檢查)以
及到哪裡去(目的地端IP位址的檢查),使用什麼
樣的通訊協定(目的地端服務連接埠的檢查)
可判斷TCP封包方向性
動態封包過濾 (Dynamic Packet Filter) :
又稱狀態檢查(Stateful Inspection)
在原先靜態封包過濾器加上一個連線狀態記錄器
33
應用層級閘道器
(Application-level Gateway)
應用層級過濾型防火牆特性:
將封包分析的工作提升至應用層級來處理,可以提供更為詳
細的安全檢驗
可視為一台代理伺服器 (Proxy Server)
內部網路的使用者必須透過該代理伺服器的協助才能與外
部主機溝通
外部主機並不能直接看到真正的內部使用者,而是只能看
到這台代理伺服器。
代理伺服器有隱藏內部網路的功能
防止網際網路的惡意人士嘗試去瞭解公司內部網路的資訊
偵測入侵行為:
禁止執行 DNS區域移轉(Zone transfer)技術去複製DNS區
域資料(Zone data)
34
應用層級過濾型防火牆概念圖
35
應用層級過濾型防火牆
-優點及注意事項
優點:
不變動網路架構下擴充防火牆
使用的注意事項:
雖提供較為完善的安全防護,但效率明顯較差
處理較多安全項目
代理伺服器必須在內部與外部網路溝通上面花一些時間進
行轉換的工作
應用程式若未被代理伺服器支援,這些網路服務將無法使用
一般可與代理伺服器溝通的網路應用程式,如瀏覽器是最
普遍的,其內建便具有支援代理伺服器的存取
其他程式如 FTP、Telnet 等,也必須要能提供溝通的能力
才行
36
防火牆的網路架構
1.
2.
3.
防禦主機架構
3-Homed 架構
多層次架構(Multi - Layered)
37
防禦主機架構
兩片網路卡:
1. 對內網路卡:屏障網路(screened network)
2. 對外網路卡:公眾網路
特性:成本低、管理易
38
3-Homed架構
三片網路卡:
1. 對內:企業內部網路
2. 對外:公眾網路
3. 連接至非軍事管制區
(Demilitarized Zone,
DMZ),又稱週邊地帶
(Perimeter network)
用戶存取的資源,如:
Web主機、FTP主機、
電子郵件主機
特性:
安全性較防禦主機架構好
管理便利
39
多層次架構(Multi - Layered)
利用多部防火牆所組成的防禦架構
常見的基本架構:
由兩部防火牆組成(多會選擇不同
產品)
外部防火牆的外部網路卡:
公眾網路
內部防火牆的內部網路卡:
企業內部
外部防火牆的內部網路卡及內
部防火牆的外部網路卡
非軍事管制區(DMZ)
特性:
安全性較高
管理彈性
40
防火牆的限制
1.
防火牆無法辨識資料的真正來源:
2.
防火牆不提供加密保護的功能:
3.
4.
防火牆無法達到連線保密:
防火牆與外界的公眾網路連結,連線資料可能遭受竊聽
解決: 透過其他機制,如 VPN 或 IPSec 等來加強保密
防火牆無法防範來自內部網路的侵害
咽喉點(Choke Point)成為網路交通的瓶頸:
5.
防火牆只負責管制封包的流向,外界假造的封包無法分辨
解決:密碼技術中的認證
防火牆統籌了內部與外部資料流通的工作
駭客攻擊的標的:
防火牆負責所有內部網路安全的警衛
對防火牆系統的安全更加要嚴格把關
41
如何選擇適當的防火牆
1.
2.
3.
4.
5.
6.
7.
是否可以提供適當的保護?
可否滿足現在及將來的需求?
該產品的穩定性如何?
是否容易設定、方便管理及簡單維護?
執行運作的效率是好?是壞?
是否提供額外的功能?如虛擬私人網路
(VPN)、IDS
功能價值比:
這個防火牆究竟值不值得花這麼多錢去買
42