网路安全-技术面防范

网路安全-技术面防范2024/3/30网路安全-技术面防范網路安全網路安全只是資訊安全的一小部分網路安全目的：希望藉由適當的防護與管理，讓網路環境變得更安全相較於資訊安全的全方位，網路安全利用一些技術來加強網路環境的安全性技術：防火牆入侵偵測系統弱點掃描器虛擬私有網路密碼學防毒軟體備份軟體備援機制等

2网路安全-技术面防范網路的方便與危機3网路安全-技术面防范恆網的威脅行動通訊與無線網路的技術越加成熟恆網時代（EvernetEra）的來臨趨勢大師納斯漢：「網際網路時代結束，恆網時代開跑」恆網：任何人在任何時間、任何地點、以任何方式連接到網路環境的技術網際網路通訊的極致發揮，某種物品就能迅速上網安全的隱憂4网路安全-技术面防范網路安全策略安全的網路環境：需要的是一套完善且持續運作的安全機制包含管理面及技術面常用的安全技術：入侵偵測系統（IDS：IntrusionDetectionSystem）弱點掃描器虛擬私人網路防毒軟體備份程式備援機制防火牆5网路安全-技术面防范入侵偵測系統

（IntrusionDetectionSystem,IDS）ISS公司的RealSecure及BlackICE

6网路安全-技术面防范弱點掃描器

（VulnerabilityScanner）NetIQ：SecurityAnalyzer，GFI：LANguardNetworkSecurityScanner，SAINT：SAINT，微軟平台：EnterpriseInspector7网路安全-技术面防范虛擬私人網路

（VirtualPrivateNetwork，VPN）虛擬區域網路：透過網路管理者將區域網路作邏輯分組，不受限於使用者的主機所在位址因應企業全球化佈局，但TCP/IP為明碼，有安全上顧忌：解決方案一：數據專線方式跨國專線費用高且需投入相當的設備、人力維護解決方案二：虛擬私人網路（VPN）兼顧安全及成本讓公共網路變成像是內部專線網路整合包括X.25、FrameRelay、ATM、INTERNET利用通道法（Tunneling）將公共網路或廣域網路的連接方式，轉換成具加密、身份辨認以及存取控制功能的網路8网路安全-技术面防范虛擬私人網路運作圖9网路安全-技术面防范防毒軟體防毒軟體的功能偵測並且防止惡性程式感染電腦系統針對已經遭受感染的程式進行清除或隔離檢查的機制：即時手動排程偵測方式：比對常見產品：PC-cillinNortonAntiVirus10网路安全-技术面防范備份程式需要備份的資料：作業系統應用程式使用者資料決定檔案是否備份的依據為檔案記錄（archive）屬性資料備份的方法：一般（Normal）：完整備份（Fullbackup）增量（Incremental）：備份記錄屬性被啟動的檔案備份完成後，清除檔案記錄屬性差異（Differential）：備份記錄屬性被啟動的檔案備份完成後，不清除檔案記錄屬性累加方式做備份11网路安全-技术面防范備份時程12网路安全-技术面防范三種備份方式的比較13网路安全-技术面防范備援機制備援機制的主要功能：電腦系統出現問題的同時可以繼續維持系統的正常運，以提高電腦系統的可用度平時，可以做到負載平衡系統發生問題時，透過備援系統達到容錯備援機制兩個層面：元件備援：熱抽拔（hotplug）磁碟裝置電腦系統本身：叢集（Cluster）多部電腦所組成的虛擬機器14网路安全-技术面防范磁碟裝置容錯

（RedundantArrayofIndependentDisks,RAID）1987年柏克萊大學加州分校目的：增加磁碟系統的穩定性及效率RAID分6個等級：RAID0~RAID5較常見：RAID0RAID1RAID5RAID在處理資料時，需要額外的計算除RAID1不需額外的計算，可用軟體達成其餘RAID建議由專屬硬體來提供功能15网路安全-技术面防范RAID0由至少二顆硬碟所組成的磁碟陣列每一顆硬碟的大小都需要相同stripe：資料被寫入時切割成大小相同的區塊，稱之。資料並同時寫入，儲存至每一個磁碟中優點：存取效率極為優異缺點：不支援容錯特性：Providesdatastripingbutnoredundancyimprovesperformancebutdoesnotdeliverfaulttolerance16网路安全-技术面防范RAID1（磁碟鏡射，mirror）由二顆硬碟所組成，且硬碟的大小都需要相同資料的寫入：一樣的資料同時寫入二顆硬碟中優點：容錯；缺點：成本高17网路安全-技术面防范RAID5由至少三顆硬碟所組成的磁碟陣列每一顆硬碟的大小都需要相同stripe（等量磁碟）：資料被寫入時切割成大小相同的區塊，稱之。並計算出該資料的同位元值資料與同位元值寫入至不同的磁碟中，達到容錯優點：允許一個硬碟的故障缺點：寫入資料效能較差空間使用率：(n-1)/n*100%n:硬碟數量-1:存放Parity的一顆硬碟18网路安全-技术面防范電腦系統的負載平衡及容錯叢集（Cluster）：由多部電腦所組成的虛擬機器每一部實體的電腦被稱為一個節點平時服務的提供可以由某一個節點負責該節點發生問題時，其他的節點則會接手發生問題節點的工作可以分為網路及系統二種層面19网路安全-技术面防范網路叢集網路叢集：多個節點共用相同的IP位址來達成前提：每個節點都可提供相同的服務例如：Windows2000advancedserver的NLB(networkloadbalancing)技術20网路安全-技术面防范系統叢集系統叢集：多個節點來提供相同的應用程式服務，如資料庫或電子郵件服務前提：每個節點利用共同儲存裝置（ShareStorage）來共用使用者資料錯誤移轉（FailOver）：提供服務節點出問題時，系統將工作轉移到另一節點繼續運作，稱之目的：提升系統可用度例如：Windows2000advancedserver的ClusterService21网路安全-技术面防范防火牆原理防火牆機制：對外連線的咽喉點(ChokePoint)架設防火牆機制，過濾可能危害內部網路的封包防火牆能夠根據經由該點進出的封包加以分析使用服務的種類、來源與目的地位址、控制使用者存取權以及進出封包的內容22网路安全-技术面防范個人防火牆防護記錄23网路安全-技术面防范防火牆概念圖24网路安全-技术面防范防火牆的功能一般正常的封包傳遞條件式的過濾封包傳遞保護企業的內部網路控管企業使用者的網際網路資源存取25网路安全-技术面防范防火牆－一般正常的封包傳遞26网路安全-技术面防范防火牆－條件式的過濾封包傳遞27网路安全-技术面防范防火牆－保護企業的內部網路28网路安全-技术面防范防火牆－

控管企業使用者的網際網路資源存取29网路安全-技术面防范防火牆的種類依層級不同：封包過濾型防火牆（網路層級）－PacketFilterFirewall應用層級過濾型防火牆－ApplicationFilterFirewallApplicationLayerNetworkLayerData-LinkLayerFirewallandProxyServerScreeningRouterandPacketFilter30网路安全-技术面防范網路層級防火牆概念圖封包過濾器(PacketFilter)：對進入封包的標頭(header)部分進行檢查建構在網路層級，不會對傳輸資料的內容進行偵測31网路安全-技术面防范封包過濾型防火牆32网路安全-技术面防范靜態與動態封包過濾技術

靜態封包過濾(StaticPacketFilter)：限定封包只能從哪裡來（來源端IP位址的檢查）以及到哪裡去（目的地端IP位址的檢查），使用什麼樣的通訊協定（目的地端服務連接埠的檢查）可判斷TCP封包方向性動態封包過濾(DynamicPacketFilter)：又稱狀態檢查（StatefulInspection）在原先靜態封包過濾器加上一個連線狀態記錄器33网路安全-技术面防范應用層級閘道器

(Application-levelGateway)應用層級過濾型防火牆特性：將封包分析的工作提升至應用層級來處理，可以提供更為詳細的安全檢驗可視為一台代理伺服器

(ProxyServer)內部網路的使用者必須透過該代理伺服器的協助才能與外部主機溝通外部主機並不能直接看到真正的內部使用者，而是只能看到這台代理伺服器。代理伺服器有隱藏內部網路的功能防止網際網路的惡意人士嘗試去瞭解公司內部網路的資訊偵測入侵行為：禁止執行DNS區域移轉（Zonetransfer）技術去複製DNS區域資料（Zonedata）34网路安全-技术面防范應用層級過濾型防火牆概念圖35网路安全-技术面防范應用層級過濾型防火牆

－優點及注意事項優點：不變動網路架構下擴充防火牆使用的注意事項：雖提供較為完善的安全防護，但效率明顯較差處理較多安全項目代理伺服器必須在內部與外部網路溝通上面花一些時間進行轉換的工作應用程式若未被代理伺服器支援，這些網路服務將無法使用一般可與代理伺服器溝通的網路應用程式，如瀏覽器是最普遍的，其內建便具有支援代理伺服器的存取其他程式如FTP、Telnet等，也必須要能提供溝通的能力才行36网路安全-技术面防范防火牆的網路架構防禦主機架構3-Homed架構多層次架構（Multi-Layered）37网路安全-技术面防范防禦主機架構兩片網路卡：對內網路卡：屏障網路（screenednetwork）對外網路卡：公眾網路特性：成本低、管理易38网路安全-技术面防范3-Homed架構三片網路卡：對內：企業內部網路對外：公眾網路連接至非軍事管制區（DemilitarizedZone，DMZ），又稱週邊地帶（Perimeternetwork）用戶存取的資源，如：Web主機、FTP主機、電子郵件主機特性：安全性較防禦主機架構好管理便利39网路安全-技术面防范多層次架構（Multi-Layered）利用多部防火牆所組成的防禦架構常見的基本架構：由兩部防火牆組成（多會選擇不同產品）外部防火牆的外部網路卡：公眾網路內部防火牆的內部網路卡：企業內部外部防火牆的內部網路卡及內部防火牆的外部網路卡非軍事管制區（DMZ）特性：安全性較高管理彈性40网路安全-技术面防范防火牆的限制防火牆無法辨識資料的真正來源：防火牆只負責管制封包的流向，外界假造的封包無法分辨解決：密碼技術中的認證防火牆不提供加密保護的功