防火墙技术探讨.pptVIP

如何測試防火牆 建立測試計畫 發動模擬攻擊 檢視結果 修正問題 如何測試防火牆使用工具軟體 網路流量產生器 網路監視器 埠掃描工具 弱點掃描工具 結論 企業的需求 軟體/硬體 作業系統平台(Windows/Unix/Linux) 效率 成本 管理的便利性 * 防火墙技术探讨 唐任威 恒逸信息教育训练处 如何選擇防火牆 封包篩選型 應用程式篩選型 如何選擇防火牆網路架構 標準架構 3-Home架構 多層次架構 如何建置防火牆系統 講座大綱(一) 如何定義存取的原則以限制未經授權的使用者存取您的網路 如何管理防火牆的日誌以了解防火牆保護企業網路的作為 如何掌握防火牆的運作異常現象，用最安全的機制保護您的網路 講座大綱(二) Mobile用戶 Internet用戶 企業網路的現況 Internet 企業網路 企業分公司 商業夥伴 危機四伏 常見的威脅 粗心大意或不滿的員工 社交工程攻擊(Social Engineering) 揚名攻擊 惡性程式(Malware) 電腦病毒、電腦蠕蟲、特洛伊木馬、惡作劇程式 惡性的商業競爭 電腦駭客(Hacker) 常見的威脅(2)埠掃描 埠掃描 (Port Scanning) Web Server Attacker Port Scan Port Service 20?… closed 21?… FTP 22?… closed 23?… closed 24?… closed 25?… SMTP 常見的威脅(3)阻斷服務攻擊 阻斷服務攻擊(Denial of Service Attacks) 磁碟空間(Disk Space) 網路頻寬(Bandwidth) 緩衝區(Buffers) 中央處理器使用量(CPU Cycles Usage) 安全的建議 妥善的建置 完善的管理 持續的稽核 安全的環境 建置 管理 稽核 防火牆的功能 網路流量篩選(Packet Filter) 過濾未經授權的網路流量 資料內容篩選(Application Filter) 網路位置轉譯(NAT、PAT) 解決IP位址不足的問題 保護內部網路位址配置 隱藏網際網路服務的真實位址 如何選擇防火牆防火牆技術的種類 封包篩選(Packet Filter) 靜態(Static) 檢查來源端與目的端的網路位址及埠號 動態(Dynamic or Stateful Inspection) 檢查來源端與目的端的網路位址、埠號及連線狀態 應用層級篩選(Application Filter) 檢查資料內容 自由擴充功能 封包篩選(Packet Filter) IP封包 目的端位址 來源端位址 目的端埠號 來源端埠號 資料 TCP/UDP封包 動態篩選與靜態篩選的差異性TCP連線的建立與停止 SYN=1 SYN=1,ACK=1 ACK=1 ACK=1 FIN=1,ACK=1 ACK=1 FIN=1,ACK=1 TCP連線的結束 TCP連線的建立 動態篩選與靜態篩選的差異性埠掃描的方式 – SYN與FIN的掃描 防火牆 內部網路 攻擊者 Internet 應用程式篩選(Application Filter) Application Filter TCP/UDP IP TCP/UDP IP 如何利用Windows Server 2003路由及遠端存取服務的設定靜態封包篩選 Mail Server (SMTP、POP3) Windows Server 2003路由及遠端存取伺服器 ICMP Type 8 Other SMTP、POP3 Client 20 1. 2. 3. 如何選擇防火牆的網路架構 防禦主機架構(Bastion Host) 3-Homed架構 多層次架構(Multi-Layered) 防禦主機架構(Bastion Host) 基本防護 管理容易 成本低 防火牆 內部網路 Internet 3-Homed架構 管理容易 相對安全 內部網路 Internet 非軍事管制區 DMZ Perimeter Network 防火牆 多層次架構(Multi-Layered) 管理具彈性 安全性較佳 成本較高 外部防火牆 內部防火牆 Internet 內部網路 非軍事管制區 DMZ Perimeter Network 各式防火牆架構的比較 防禦主機 3-Homed 多層次 安全性 低 中 高 管理的便利性 最容易 容易 較具彈性 成本 低 中 高 防火牆的建置 了解企業的需求 選擇適當的防火牆產品 決定網路架構 安裝防火牆 設定防火牆 開始 完成 測試防火牆 設定防火牆的技巧 路由(Routing) 封包過濾(Packet Filtering) 網路位址轉譯(NAT、P