Transcript 與防火牆的差異
第十講資訊安全與法律 什麼是防火牆?什麼是入侵偵測系統?兩者 有何不同?(20 分) 電腦愈進步,科技犯罪愈先進與猖狂 防火牆 防火牆 1. (英文:firewall)是一項協助確保資訊安全的裝置 2.會依照特定的規則,允許或是限制傳輸的資料通過 3.可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。 4.防火牆是同時運作於網路層及應用層 防火牆 特性簡介 防火牆最基本的功能就是控制在電腦網路中,不同信任程度區域間 傳送的資料流。例如網際網路是不可信任的區域,而內部網路是高 度信任的區域。以避免安全策略中禁止的一些通訊,與建築中的防 火牆功能相似。它有控制資訊基本的任務在不同信任的區域。 典 型信任的區域包括網際網路(一個沒有信任的區域) 和一個內部網路 (一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的 信任區域通過安全政策的執行和連通性模型之間根據最少特權原則。 資訊安全管理人員常用的軟體,可用以掃瞄所管理的電腦設備是否 存在有安全上的漏洞,如果有的話,資訊安全管理人員可以馬上進 行修補 防火牆 特性簡介 例如:TCP/IP Port 135~139是 Microsoft Windows 的【網路上的 芳鄰】所使用的。如果電腦有使用【網路上的芳鄰】的【分享資料 夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的 【分享資料夾】公開到Internet,供不特定的任何人有機會瀏覽目 錄內的檔案。且早期版本的Windows有【網路上的芳鄰】系統溢位 的無密碼保護的漏洞(這裡是指【分享資料夾】有設密碼,但可經 由此系統漏洞,達到無須密碼便能瀏覽資料夾的需求)。 防火牆 種類 個人防火牆,通常是在一部電腦上具有封包過濾功能的軟體,如 ZoneAlarm及Windows XP SP2後內建的防火牆程式。而專用的防 火牆通常做成網路設備,或是擁有2個以上網路介面的電腦。以作 用的TCP/IP堆疊區分,主要分為網路層防火牆和應用層防火牆兩 種,但也有些防火牆是同時運作於網路層及應用層。 防火牆 網路層 網路層防火牆可視為一種 IP 封包過濾器,運作在底層的TCP/IP協 定堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通 過,其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定 義或修改,不過某些防火牆設備可能只能套用內建的規則。 我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符 合任何一項「否定規則」就予以放行。現在的作業系統及網路設備 大多已內建防火牆功能。 較新的防火牆能利用封包的多樣屬性來進行過濾,例如:來源 IP 位址、來源埠號、目的 IP 位址或埠號、服務類型(如 WWW 或是 FTP)。也能經由通訊協定、TTL 值、來源的網域名稱或網段...等屬 性來進行過濾。 防火牆 應用層 應用層防火牆是在TCP/IP堆疊的「應用層」上運作,使用瀏覽器 時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應 用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的 封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全 阻絕外部的資料流進到受保護的機器裡。 防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦 蠕蟲或是木馬程式的快速蔓延。不過就實作而言,這個方法既煩且 雜(因軟體種類極其繁多),所以大部份的防火牆都不會考慮以這 種方法設計。 XML防火牆是一種新型態的應用層防火牆。 防火牆 與防火牆的差異 使用防火牆及認證系統作為過濾辨識來君身份,它們的作用如同入門 與磚牆一般,只可以將不懷好意的訪客拒於門牆之外,但卻無法看到 入內訪客的蹤跡。因此缺乏對網路通訊的監視。企業即便已經有了防 火牆,仍不可忽視隱藏在合法的存取動作中的惡意意圖。一般防火牆 幾乎都不能對這些動作進行處理或是分析,因為防火牆的工作就是進 行授權誰可以進出,授權之後的動作,不是防火牆主要的管控對象。 非法入侵偵測系統稱之為Intrusion Detection System(簡稱IDS),主要功 能在針對可疑的活動進行分析以及偵測,無論是來自於內部員工的存 取動作(沒有經過防火牆)、透過遠端存取機制,甚至是允許外界對 WWW Server的存取等,這些存取動作在防火牆看來都是「合法的存取 動作」,但是若有人在這些合法的存取動作間夾帶攻擊意圖,一般防 火牆幾乎都不能對這些動作進行處理或是分析。 因此不同於防火牆或是存取控制機制所採取的「檢查是否合法,然後 決定是否授權」的思考模式,入侵偵測系統採取的是「分析每一個發 生事件(無論是合法或是非法)底層所顯示的行為模式,並根據這些行 為模式判斷是否為入侵事件」的思考模式。 防火牆 代理服務 代理服務(Proxy)設備(可能是一台專屬的硬體,或只是普通電 腦上的一套軟體)也能像應用程式一樣回應輸入封包(例如連線要 求),同時封鎖其他的封包,達到類似於防火牆的效果。 代理會使從外部網路竄改一個內部系統更加困難,且只要對於代理 有良好的設定,即使內部系統出現問題也不一定會造成安全上的漏 洞。相反地,入侵者也許劫持一個公開可及的系統和使用它作為代 理人為他們自己的目的;代理人偽裝作為那個系統對其它內部機器。 當對內部網址空間的用途加強安全,破壞狂也許仍然使用方法譬如 IP欺騙(IP spoofing)試圖通過小包對目標網路。 防火牆經常有網路網址轉換(NAT) 的功能,並且主機被保護在防火 牆之後共同地使用所謂的「私人網址空間」,定義在RFC 1918。 防火牆的適當的配置要求技巧和智慧,它要求管理員對網路協議和 電腦安全有深入的了解,因小差錯可使防火牆不能作為安全工具。 入侵偵測系統 Intrusion Detection System(簡稱IDS) 防毒 軟體 PKI 生物 辨識 種類 入侵者 加密 入侵偵測系統 與防火牆的差異 使用防火牆及認證系統作為過濾辨識來君身份,它們的作用如同入門 與磚牆一般,只可以將不懷好意的訪客拒於門牆之外,但卻無法看到 入內訪客的蹤跡。因此缺乏對網路通訊的監視。企業即便已經有了防 火牆,仍不可忽視隱藏在合法的存取動作中的惡意意圖。一般防火牆 幾乎都不能對這些動作進行處理或是分析,因為防火牆的工作就是進 行授權誰可以進出,授權之後的動作,不是防火牆主要的管控對象。 非法入侵偵測系統稱之為Intrusion Detection System(簡稱IDS),主要功 能在針對可疑的活動進行分析以及偵測,無論是來自於內部員工的存 取動作(沒有經過防火牆)、透過遠端存取機制,甚至是允許外界對 WWW Server的存取等,這些存取動作在防火牆看來都是「合法的存取 動作」,但是若有人在這些合法的存取動作間夾帶攻擊意圖,一般防 火牆幾乎都不能對這些動作進行處理或是分析。 因此不同於防火牆或是存取控制機制所採取的「檢查是否合法,然後 決定是否授權」的思考模式,入侵偵測系統採取的是「分析每一個發 生事件(無論是合法或是非法)底層所顯示的行為模式,並根據這些行 為模式判斷是否為入侵事件」的思考模式。 入侵偵測系統 入侵者,小心 使用防火牆及認證系統作為過濾辨識來君身份,它們的作用如同入門 與磚牆一般,只可以將不懷好意的訪客拒於門牆之外,但卻無法看到 入內訪客的蹤跡。因此缺乏對網路通訊的監視。企業即便已經有了防 火牆,仍不可忽視隱藏在合法的存取動作中的惡意意圖。一般防火牆 幾乎都不能對這些動作進行處理或是分析,因為防火牆的工作就是進 行授權誰可以進出,授權之後的動作,不是防火牆主要的管控對象。 非法入侵偵測系統稱之為Intrusion Detection System(簡稱IDS),主要功 能在針對可疑的活動進行分析以及偵測,無論是來自於內部員工的存 取動作(沒有經過防火牆)、透過遠端存取機制,甚至是允許外界對 WWW Server的存取等,這些存取動作在防火牆看來都是「合法的存取 動作」,但是若有人在這些合法的存取動作間夾帶攻擊意圖,一般防 火牆幾乎都不能對這些動作進行處理或是分析。 因此不同於防火牆或是存取控制機制所採取的「檢查是否合法,然後 決定是否授權」的思考模式,入侵偵測系統採取的是「分析每一個發 生事件(無論是合法或是非法)底層所顯示的行為模式,並根據這些行 為模式判斷是否為入侵事件」的思考模式。 入侵偵測系統 入侵者:人為的因素 測試作業 的不小心 工程人員 的誤動作 正常使用 曝露弱點 管理上的 疏忽 入侵偵測系統 入侵者:內部的潛在危機 心生不滿 的在識員 工 惡意的離 識員工 好奇與 惡作劇 疏忽怠職 入侵偵測系統 防毒軟體 電腦病毒是指任何非預期、刻意被寫作的惡意程式或傳 染性程式碼,會尋找宿主並依附、停留在受到感染的檔案 或磁碟中,並不斷使自己散播到各個有電腦的地方,進而 造成電腦的操作失靈、系統故障、甚至破壞磁碟中的貿料。 而防毒軟體就是一套可以偵測、清除、防堵病毒、甚至修 復受損電腦系統的軟體或系統。 入侵偵測系統 PKI/加密 包括:Encryption、數位憑證、網路存取控管&身分驗證、 儅案加密管理、Certification Server(CS)、CA憑證管理、 RA註冊管理、DS目錄伺服器、SS安控伺服器、加密運算 卡、讀卡機、智慧卡等等各式確保「私密性」、「完整 性」、「身分確認」及「不可否認性」網路安全四大要求 的軟硬體。 入侵偵測系統 生物辨識 利用生物特徵如:指紋、虹膜、聲紋、臉形等做為在網路 上身分辨識或身分認證的安全辨識產品。生物辨識利用個 人的生理特徵來作辨識,以確認使用者的身份,相較於傳 統輸入密碼的管理更加安全,不必記憶密碼,也不必攜帶 任何證明,並具有本人才能夠進行辨識的優點,將是解決 「誰」在網路另一端的最佳解決方案。而生物特徵辨識技 術進展的關鍵一步,將視該項技術的應用程式介面(APl)是 否能普及化以及在使用上能更為簡單。