第五章网路安全实务与应用.ppt

免費防毒軟體大放送 在「史萊姆的第一個家」 .tw/ 收錄許多實用的軟體資訊及下載路徑，並以完整分類的方式，簡介了各種軟體的優劣，以防毒軟體為例，在這個網站中可以找到許多實用的防毒軟體，有的完全免費，有的個人版免費但商業版需要收費，每套防毒軟體都有其特殊的防禦能力。 5-4 電腦防毒措施 不隨意下載檔案 病毒程式可能藏身於一般程式中，使用者透過FTP 或網頁將含有病毒的程式下載到電腦中，並且執行該程式，結果就會導致電腦系統及其它程式感染病毒。因此對於來路不明的程式不要隨意下載或開啟，以免遭受病毒的侵害。 不使用不明的儲存媒體 如果各位使用來路不明的儲存媒體（軟式磁碟、用CD-R 系統製作的CD、高容量軟式磁碟等），病毒可能藏在磁片的開機區或藏在磁片上的可執行檔，也會將病毒感染到使用者電腦中的檔案或程式。 續下頁 不透過電子郵件附加檔案傳遞 有些電腦病毒會藏身於電子郵件的附加檔案中，並且使用聳動、吸引人的標題來引誘使用者點選郵件，並開啟附加檔案。 藏有病毒的附加檔案看起來可能僅是一般的文件檔案，例如Word 文件檔，但實際上此份文件中卻是包含了「巨集病毒」。 由於e-mail 病毒使得使用者可能自中毒的訊息感染病毒，為了避免電子郵件病毒，應該設定電子郵件程式不要收由HTML 格式所編碼的信件，除非知道送件者，否則避免打開附件檔案。 續下頁 安裝防毒軟體 安裝防毒軟體，並養成時常更新病毒碼與定期掃毒的習慣。這個動作相當的重要，防毒軟體雖然無法防堵所有的病毒，但是它可以為您建立起一道最基本的防線，在最低的限度上，至少可以少受一些舊病毒的侵擾。 5-5 防火牆簡介 認識防火牆 主要是用於保護由許多計算機所組成的大型網路。 建立防火牆的主要目的是，保護屬於我們自己的網路不受來網路上的攻擊。 我們所要防備的是外部網路，因為可能會有人從外部網路對我們發起攻擊。所以我們需要在內部網路，與不安全的非信任網路之間築起一道防火牆。 防火牆運作原理 防火牆實際上代表了一個網路的存取原則。 每個防火牆都代表一個單一進入點，所有進入網路的存取行為都會被檢查、並賦予授權及認證。 防火牆會根據於一套設定好的規則來過濾可疑的網路存取行為，並發出警告。意即確定那些類型的資訊封包可以進出防火牆，而什麼類型的資訊封包則不能通過防火牆。 5-6 防火牆的分類 封包過濾型 封包過濾型防火牆會檢查所有收到封包內的來源IP 位置，並依照系統管理者事先設定好的規則加以過濾。 若封包內的來源IP 在過濾規則內為禁止存取的話，則防火牆便會將所有來自這個IP 位置的封包丟棄。 種封包過濾型的防火牆，大部份都是由路由器來擔任。例如路由器可以阻擋除了電子郵件之外的任何封包。同時還可以阻擋通往和來自可疑位置以及來自特定用戶的流量。 代理伺服器型 又稱為「應用層閘道防火牆」 Application Gateway Firewall ，它的安全性比封包過瀘型來的高，但只適用於特定的網路服務存取，例如HTTP、FTP 或是Telnet 等等。事實上，此類型的防火牆就是透過代理伺服器來進行存取管制。 代理伺服器是客戶端與伺服端之間的一個中介服務者。當代理伺服器收到客戶端A 對某網站B的連線要求時，代理伺服器會先判斷該要求是否符合規則。若通過判斷，則伺服器便會去站台B 將資料取回，並傳回客戶端A。 續下頁 軟體防火牆 軟體防火牆所採用的技術與封包過濾型如出一轍，但它包括了來源IP 位置限制，與連接埠號限制等功能。例如Windows 7 本身也有內建防火牆功能，如下所示： 5-7 資料加密簡介 對稱鍵值加密系統 又稱為「單一鍵值加密系統」（Single Key Encryption）或「秘密金鑰系統」 Secret Key 。這種加密系統的運作方式，是由資料傳送者利用「秘密金鑰」（Secret Key）將文件加密，使文件成為一堆的亂碼後，再加以傳送。 而接收者收到這個經過加密的密文後，再使用相同的「秘密金鑰」，將文件還原成原來的模樣。因為如果使用者B能用這一組密碼解開文件，那麼就能確定這份文件是由使用者A 加密後傳送過去，如下圖所示： 續下頁 這種加密系統的運作方式較為單純，因此不論在加密及解密上的處理速度都相當快速。常見的對稱鍵值加密系統演算法有DES Data Encryption Standard，資料加密標準 、Triple DES、IDEA International Data Encryption Algorithm，國際資料加密演算法 等。 非對稱鍵值加密系統 也是金融界應用上最安全的加密系統，或稱為「雙鍵加密系統」 Double key Encryption 。 此種加密系統主要的運作方式，是以兩把不同的金鑰（Key）來對文件進行加/ 解密。例如使用者A 要傳送一份新的文件給