資訊安全課程與實驗-回網路教學平台.pptVIP

* 資訊安全概論與實務 第三篇 縱深防禦 * 資訊安全概論與實務 第三篇 縱深防禦 * 資訊安全概論與實務 第三篇 縱深防禦 * 資訊安全概論與實務 第三篇 縱深防禦 Information Security Course and Laboratories (ISCAL) * 資訊安全概論與實務 第三篇 縱深防禦 * 資訊安全概論與實務 第三篇 縱深防禦 * 資訊安全概論與實務 第三篇 縱深防禦 * 資訊安全概論與實務 第三篇 縱深防禦 第九章 防火牆的功用是保護一個網點 (site)，使它在 TCP/IP 上的弱點不會遭人利用。另外它可以區隔安全性或安全需求不同的區域，例如網站伺服器和它的資料庫 (對外) 與組織內部資訊系統 (不對外) 之間就可以用防火牆做區隔，也可以用防火牆來區隔組織內不同的部門。 防火牆的種類很多，從簡單地過濾 IP 封包的邊界路由器 (boundary routers)，到較複雜可以過濾資訊內容的產品，不一而足。選擇防火牆的考慮因素包括：網點的大小、資訊流量的大小、系統與資料的敏感性、以及組織所需要的應用。 防火牆的功能差別很大，即使同一類型的產品也有很大的功能與價格的落差。通常我們會在組織網路的邊界使用具備進出控制能力的路由器；然後在路由器的後方裝置功能較複雜的防火牆。 許多相關的元件可以組織成一個防火牆環境，例如： 一個網點架設邊界路由器，以較簡單的方式過濾並阻擋不受歡迎的資訊流入，過濾的方法可能只是拒絕某些 IP 位址傳送過來的所有封包。 路由器的後方裝置防火牆，可以做封包內容的過濾。 為了提供安全的遠端存取，防火牆可能與 VPN 整合，使資訊流可以加密的方式上網際網路。另外有 IDS 連接受保護的網路。 防火牆環境應小心設計，一方面要對組織提供適當的保護，另一方面應避免過於複雜而難以管理。 防火牆本身也可能是受攻擊的目標，因此要正確的設定並下載需要的補丁。組織應該加強防禦縱深 (defense in depth)，網路可以使用多層不同形態的防火牆與其它安全系統。 最基本的防火牆是封包過濾器 (packet filter)，它可被視為一個能針對系統位址做存取控制的路由器。 單純的封包過濾器運作在 L3 (網路層)，因此存取控制是依據以下的封包資訊： 封包的來源 IP 位址，例如 。 封包的目的地 IP 位址，例如 。 資訊流的類型，通常是指來源與目的地系統之間的網路通訊協定，通常 L3 使用 IP 而 L2 使用 Ethernet。 可能包含一些 L4 的訊息，像是來源與目的地的連接埠。例如 HTTP 使用 TCP:80 埠。 可能包含來源與目的地路由器的介面訊息。 實體層 資料連結層 網路層 傳輸層 會談層 展現層 應用層 狀態檢查防火牆 (stateful inspection firewalls) 是一個封包過濾器再加上對 L4 (傳輸層) 的瞭解。 當系統與遠端建立 TCP 會談時，會建立一個連接埠來接收遠端系統端傳回的訊息；這個連接埠的編號會大於 1023 (這個編號以內為特殊用途埠)。 封包過濾防火牆必須允許所有外部傳給連接埠編號大於 1023 的封包，因為它們可能都是目的地系統回覆的封包。然而開放這麼多連接埠造成巨大的風險，駭客可能使用各種技術攻擊這些開放區域。 狀態檢查防火牆彌補這個弱點，它以一個狀態表 (state table) 追蹤那些連接埠被打開，而不是一直維持全開的狀態。 實體層 資料連結層 網路層 傳輸層 會談層 展現層 應用層 前述封包過濾防火牆永遠允許目的埠大於 1023的外向內連結，但狀態檢查防火牆會檢查狀態表，例如發現 00 開啟 1030 埠， 01 開啟 1033 埠，03 開啟 3321 埠；其它都沒有開。這時若有外部系統要連結不屬於以上的連接埠，就會被拒絕。 由此可知，狀態檢查防火牆比單純的封包過濾要安全，因為它能靠狀態的記憶來判斷是否允許存取，而不只依據靜態的規則。 來源位址 來源埠 目的位址 目的埠 動作 說明 1 任何 任何 1023 允許 允許回覆的 TCP 連結內網 應用代理閘道防火牆 (application-proxy gateway firewalls) 是較先進的防火牆，結合了較低層級的存取控制與較高層級 (L7) 的功能。 應用代理閘道防火牆可被視為私人網路與任何其它網路的中間人，它接到外部網路的請求之後，依據一些預定的原則做判斷該轉送這個請求或是拒絕。代理人防火牆將所有進出的封包都做加工處理，包括隱藏IP位址。 除了依據規則做存取控制外，應用代理閘道防火牆可以要求網路使用者做身分認證。 實體層 資料連結層 網路層 傳輸層 會談層 展現層 應用層 邊界路由器 (封包過濾) 連結到 ISP 外部 DMZ 網路 內部 DMZ 網路