建置安全的网路环境.pptVIP

FireWall 防火牆 建置安全的網路環境 * * 第13組 資料收集：　　　 葉正宏投影片製作及解說 劉名建美工及投影片放映 林宜靜 在電腦資訊時代來臨之初，當電腦環境的應用還在所謂孤軍奮鬥的單機作業情況底下，很少有人想過遠在天涯海角另外一端的電腦會對自己的工作產生怎樣的影響。然而，在1988年的秋天，一位美國康乃爾大學學生Robert T. Morris, Jr在網際網路上啟動了第一隻Internet Worm，其橫掃網路的破壞威力粉碎了許多人對網際網路的美夢與憧憬，但也提醒了許多人重新評估網際網路所帶來的風險與安全性。 網路的威力在現在的資訊爆炸時代裡的確是無遠弗藉，無人可擋的。從早期利用電子郵件迅速交換資訊起，到現在無論是交易、娛樂、行銷、教育，甚至是目前炙手可熱的E-Commerce，已經與我們的日常生活息息相關，無人可置之度外。所以，唯有運用網路的效率與便捷，才能在本世紀掌握致勝的關鍵。 在網路上曾流傳著這麼一句話 “If you can access them, they can access you too!”，這代表的是網路的便利，也是網路的風險。網路所帶來的遠景是深深地吸引著許多人，但是稍一不慎就可能要付出極大的代價卻也造成不少人裹足不前，心存觀望。就像憂鬱的王子哈姆雷特所想的 “ To be or not to be”。 ??????????????????????????? 在前一陣子中美一片 “駭” 來 “駭” 去聲中，網路安全的話題又被炒熱了起來。正所謂 “水能載舟，亦能覆舟”，網路的效率與威力是我們想擁有的，但是網路的不安全性就是我們極力想避免的狀況。如何避免？那就是網路安全政策的制定。如何落實？就要從人為的管理面、整 體的網路架構與網路安全產品的規劃與搭配著手才行。本篇簡報的目的即是希望藉由一步步的導引，協助大家建立一個基本的安全網路環境。讓大家可以明瞭網路環境並非如洪水猛獸般險惡，建構一個安全的網路環境也不是難事。 甚麼是防火牆 防火牆，顧名思義就是建築在企業內部網路與外部網路連接處的一道檢查關卡，用以保護企業內部網路不受外界不明人士或非信任網域的騷擾與破壞。這是防火牆在網路安全上的第一個概念。第二個概念就是所謂管理面的需求。由於現在的工作形態皆大量的倚賴網路，造成網路的負荷日益增加。因此，若不對網路資源加以妥善規劃與控管，則毫無節制的網路遊盪勢必拖垮整體企業網路的使用頻寬，浪費網路的資源 。所以 ，防火牆已從單一的安全概念擴展到與管理面結合的整體性服務功能。 以目前一般的認知裡，防火牆概略可分為 封包過濾型 與 Proxy 兩種，這兩種功能究竟有何差異，該如何取捨呢？我們可先從OSI(Open System Interconnection)的七個Layers來看起：從圖中可以看出Packet Filtering的機制是介在Network Layer與Data-Link Layer 之間，而Proxy是處在Application Layer的地位。因為所有網路行為的發生皆是從Network Layer開始，把Packer Filtering Module放在較底層的位置，才 能對進出的封包達到過濾與控管的目的。Proxy Module是處在Application Layer的地位，影響所及，是只能對應用層的東西做所謂的Content Filtering，但是對Application Layer以下的狀態卻只能用鞭長莫及來形容。 所以從安全性與管理面來說，Packet Filtering能做直接第一手的掌控，而Proxy是送到較上層做其他應用程式的管理動作。再就效率性而言，直接跑到三樓處理事情與跑到七樓，在速度上是有一定的差異的。所以Proxy的功能並不能直接等於防火牆，但是在某些事情的處理上，有Proxy 的幫忙卻能相得益彰，例如大家最熟悉的病毒掃瞄動作、不當網站的過濾與應用程式使用的詳細記錄…等，這是都要借助Proxy的幫助才能達成的。有了這樣的概念後，我們就可以開始來架構企業網路的第一道牆了。 代理(proxy)伺服器兩個 網路介面連接兩段網路，故又 名雙窟閘道器(dual-homed gateway)，它也具過濾封包的 功能，只是不同於封包過濾器在網際網路層進行，應用閘道器的連線過濾動作發生在程序應用層，故能提供較細緻、較智慧的安全管制。代理(proxy)伺服器的特性是不允許封包直接由其網際網路層流經，其接受遠端主機的連線與否的規則在程序應用層制定，因此，用戶若欲通過代理(proxy)伺服器，得先出示其識別碼及密碼進行登入，待登