18.第18章.pptVIP

第十八章 防火牆與入侵偵測 第十八章 防火牆與入侵偵測 本章介紹網路安全第一道防線─防火牆─的相關背景知識。防火牆是網路安全重要元件，本章儘量使用非技術性說明防火牆之相關知識，包含防火牆與入侵偵測相關基本概念，其涵蓋內容是資訊、科技、或管理學門皆應具備之知識。本章並包含防火牆管理、入侵偵測系統基本原理等，使讀者增強網路安全基本觀念。 防火牆簡介 防火牆分類 防火牆原理 防火牆設置類型 防火牆管理 入侵偵測系統 18.1 防火牆簡介 防火牆是協助網路安全的一種裝置，其設置可以是單機硬體形式，也可以是軟體形式。防火牆管制與過濾通過網路的封包，以確保系統之安全。透過防火牆以建構可信賴的企業內部網路環境，防火牆通常建置於網際網路與企業網路之間 (如圖 18-1)。 18.1 防火牆簡介 防火牆之建置可以防衛內部電腦，避免被駭客利用作為攻擊跳板，可以拒絕不必要的網路連線，以提升區域網路之安全。 防火牆可以是軟體形式或硬體形式，各有優缺點。軟體式防火牆架設具有彈性，可以架設多樣式平台，擴充亦具有彈性，成本較低。硬體式防火牆成本較高，防護效能好。 防火牆應具備基本功能，包含：網路存取控管與安全稽核等功能。網路控管功能─對網路封包或應用系統，依照防火牆規則，控管其許可、拒絕、或轉送等功能。安全稽核功能─對於網路通訊之發生時間、事件、存取資料等事項加以紀錄。 18.2 防火牆分類 防火牆依照其網路功能，可分為過濾型防火牆與代理型防火牆 (參考圖 18-2)。過濾型防火牆又可分為網路層防火牆與應用層防火牆。網路層防火牆與應用層防火牆這兩種類型之功能可能重疊，但兩種功能並無衝突，有些防火牆同時具備兩種防火牆之功能。 18.2 防火牆分類 網路層防火牆之封包過濾技術，最早被作為防火牆基本技術之一。封包過濾技術，檢查每一個封包的來源 IP、來源埠號或目的 IP ，如果符合信賴標準則予以放行，否則阻擋其進入。應用層防火牆可以檢查與攔截應用程式之封包，可以防範電腦蠕蟲或是木馬程式的蔓延。 代理型防火牆，當內部電腦需要請求外部資源時，外部資料首先傳給代理型防火牆，代理型防火牆可以將資料置入快取區域。將來如有相同請求指令，可以透過代理型防火牆從快取區域，直接傳回給使用者。 18.2 防火牆分類 過濾型防火牆與代理型防火牆各有優缺點，如下表 18-1所示。 18.3 防火牆原理 過濾型網路防火牆原理，至少過濾四項網路封包參數，來源端之 IP 位址、目的端的 IP 位址、來源端之 TCP/UDP 埠、與目的端之 TCP/UDP 埠，並依照防火牆之設定規則，拒絕或接受封包。 網際網路被視為不可信賴的網路，因此當外來資料封包請求存取企業網路(可信賴網路)時，由個人電腦送出的資料封包，其來源端之 IP 位址、目的端的 IP 位址、來源端之 TCP/UDP 埠、與目的端之 TCP/UDP 埠，與資料封裝成資料封包，防火牆可依據原先設定之規則，判斷並拒絕或接受該資料封包 ( 如圖 18-3 ) 。 18.3 防火牆原理 18.3 防火牆原理 應用層防火牆是針對每一個應用系統協定以過濾封包 ( 如圖 18-4 )。應用系統協定有 HTTP、FTP、SMTP 等協定，防火牆分別依據這些協定，設定管理規則。 防火牆可以讓來自於網際網路的某一個來源 IP 使用 HTTP 協定以存取內部某一伺服器，同時也可以拒絕它使用 Telnet 協定存取該伺服器。 18.3 防火牆原理 代理型防火牆一般稱為代理伺服器 ( Proxy Server )，又稱為應用層閘道器。代理伺服器代理資料請求端，對伺服器存取資料，再傳給資料請求端。 如圖 18-5所示，由企業內部網路的個人電腦，存取網際網路的伺服器，例如企業內部員工在企業內部網路，欲存取外部的網頁，透過代理伺服器的作業流程：(1)先將封包送至代理伺服器，(2)代理伺服器將資料傳送至外部伺服器，(3)伺服器傳回資料給代理伺服器，(4)代理伺服器將資料傳給資料請求端。 18.3 防火牆原理 使用Windows 作業系統之瀏覽器 ( Microsoft Internet Explorer )，設定代理伺服器的步驟為： IE - 工具 - 網際網路選項 - 連線 - 區域網路設定。如圖 18-6 所示， 01 即是代理伺服器之位址，代理使用者存取資料。 18.3 防火牆原理 由於企業內部為了隱藏內部網路的位址資訊，以及IPv4 之位址已不敷使用，企業內部都採用網路位址轉譯 ( Network Address Translation ) 技術，以增加網路可用的位址數目。 大部分防火牆皆有建置NAT 功能。如圖 18-7 所示，防火牆具有 NAT 功能，對外的 IP 位址是 10，而內部的真正 IP 位址是從 0 ~0，其對外的 IP 位址皆是