网路安全的探讨与防范.ppt

網路安全的探討及防範 精誠資訊 錢宜中Maxc@.tw 內容大綱 網路安全的範圍---防火牆 主動偵測網路入侵事件---入侵偵測系統 防範網路駭客攻擊---弱點評估 網路安全的範圍---防火牆 網路安全的範圍---防火牆 防火牆的世代種類 封包過濾防火牆－Packet filtering Firewall 代理伺服器（應用層）防火牆－Proxy （Application Layer）Firewall 狀態檢驗式防火牆－Stateful Inspection Firewall 防火牆的世代種類 封包過濾防火牆 防火牆的世代種類 封包過濾防火牆優點 1.?便宜 2. 快速 封包過濾防火牆缺點 1.僅能取得部分封包header的資訊進行檢驗 2.網路層以上各層的資訊無法檢查 3.管理資訊的能力有限 4.不易設定、監控、及管理 5.紀錄及警示的機制不強 防火牆的世代種類 封包過濾防火牆範例 防火牆的世代種類 代理伺服器（應用層）防火牆 防火牆的世代種類 代理伺服器（應用層）防火牆優點 1.安全性佳 2.可完全檢驗至應用層的資訊 防火牆的世代種類 代理伺服器（應用層）防火牆缺點(1) 1.提供額外的通訊協定或網路服務檢查處理的延展性很差 2.因為將封包拆解檢驗至第7層，至檢查效能不佳 3.大部分代理伺服器防火牆無法檢查UDP、RPC、或其他一些網路服務 4.大部分代理伺服器防火牆不具透通性 防火牆的世代種類 代理伺服器（應用層）防火牆缺點(2) 5.取得太多不需要的資訊 6.效能成本太高 7.連線成本加倍 防火牆的世代種類 狀態檢驗式防火牆 防火牆的架構 閘道器 防火牆的架構 兩個網段建置架構（Internal and External） 防火牆的架構 兩個網段建置架構優點 建置容易，架構簡單 內部網段機器與對外服務伺服器間的連線不會受到防火牆干擾 防火牆若因故障或維護而停止服務時，內部網段機器仍可與對外服務伺服器進行連線 防火牆負載較小 防火牆的架構 三個網段建置架構（Internal 、DMZ and External） 防火牆的架構 三個網段建置架構優點(1) 安全，因對外服務伺服器是允許外部直接進行連線，一旦對外服務伺服器因系統漏洞遭駭客或病毒攻擊，防火牆可阻絕利用對外服務伺服器為跳板對內部網段機器進行的攻擊 可利用防火牆有效控制內部網段機器與對外服務伺服器間的連線，僅開放特定必要的通訊協定至特定對外服務伺服器，而非讓內部網段機器與任意對外服務伺服器進行任意連線 防火牆的架構 三個網段建置架構優點(2) 內部網段機器受到病毒感染時，可將災害控制而不易影響對外服務伺服器，對外服務伺服器仍可正常對外服務 在允許外部連線使用對外服務伺服器時，不影響內部網段機器安全 利用防火牆阻絕兩個網段間大量無意義的廣播封包 安全政策（Security Policy） 最重要需嚴謹考慮 考慮問題 網路架構裡有那些網路設備？ 那些網路服務是允許經由防火牆出入的？ 有那些使用者在我的網路內？又分別使用何種認證方式？擁有何種權限？ 安全政策（Security Policy） 安全政策的制定種類 內定值是‘拒絕’ 內定值是‘允許’ 安全政策（Security Policy） 安全政策的調校 需先對整個網路環境有完整的了解認識，才能設定出完善的安全政策 化繁為簡，降低系統效能浪費 將檢查流量愈大的封包種類的規則放在愈優先檢查的位置 防火牆的進階功能 網址轉換（NAT） 認證 虛擬私人網路（VPN） 叢集負載平衡等功能 防範入侵和蠕蟲攻擊 …… Questions? 主動偵測網路入侵事件---入侵偵測系統 建置架構 Sniffer模式 --使用網路交換器 --使用網路集線器 --使用 Tap In-Line模式 建置架構 Sniffer模式 --使用網路交換器 建置架構 Sniffer模式 --使用網路集線器 建置架構 Sniffer模式 --使用Tap 建置架構 Sniffer模式 --使用Tap 建置架構 Sniffer模式 --使用Tap 建置架構 In-Line模式 偵測運作原理 特徵比對（signature match） 通訊協定異常偵測 偵測運作原理 特徵比對（signature match） 偵測運作原理 通訊協定異常偵測 入侵偵測系統的類型 網路型(Network-Based) 主機型(Host-Based) 入侵偵測系統的類型 網路型(Network-Based) 入侵偵測系統的類型 主機型(Host-Ba