网路安全管理及防火墙.pptVIP

第五章網路安全管理及防火牆 摘要 本章探討網際網路的安全問題，包括安全的作業系統、IP與電子郵件等主題。並介紹網路防火牆的基本概念與安全防火牆的組成元件，說明封包過濾器（Packet Filter）和應用閘道（Application Gateway）等技術。 目錄 5.1　網際網路安全 5.2　安全的作業系統 5.3　安全的IP 5.4　安全的電子郵件 5.5　安全的網際網路服務 5.6　防火牆 5.7　代理服務的建置 5.8　防火牆的代價 5.9　建立安全的防火牆 5.1　網際網路安全 連結上網際網路對資訊的存取有無數的優點，但是對於低安全考量的主機，冒然連上網際網路就不一定是好處了，將未妥善保護的私有網路暴露於公眾網路上，所引發的安全威脅是難以預測的。 5.1.1　TCP/IP通訊協定 Cont.. 一、應用層（Application Layer） 是一些高層協定組成，直接支援使用者溝通介面，或者提供應用程式間溝通的協定 。 二、傳輸層（Transport Layer） 由傳輸控制協定（Transmission Control Protocol，簡稱TCP）、使用者資料流協定（User Datagram Protocol，簡稱UDP）組成，提供主機間的資料傳送服務，並且確定資料已被送達並接收。 TCP：此協定適用於可信賴及無錯誤的傳輸環境，應用彼此之間的訊息傳送。 UDP：是一種非連結(Connectionless)協定，在沒有額外的流量控制、可靠性(Reliability)及錯誤回復的考量下，允許基本的資料交換。 Cont.. 三、網際層（Internet Layer） 網際層由網際網路協定（Internet Protocol，簡稱IP）和網際網路控制訊息協定（Internet Control Message Protocol，簡稱ICMP）組成，負責安排資料封包的傳送，讓每一個封包都能順利傳送到達目的端主機。 四、網路介面層（Network Interface Layer） 網路介面層負責提供實質網路媒體的驅動程式，定義如何使用網路實體來傳送資料。 5.1.2　利用TCP/IP傳送訊息 TCP負責將訊息切割成適合傳送的小塊資料包（Datagram），在遠端主機重新按順序組合起資料包，並且要負責重送遺失的資料包。 IP負責為資料包找到一條可達接收端主機的適當路徑。 一、TCP資料頭格式 三、Ethernet資料頭格式 5.1.3　網際網路服務與協定 SMTP： 簡易電子郵件傳輸協定，用於電子郵件的發送和接收。 TELNET： 遠端(Remote)登入協定，用於連接並登入遠端主機系統，讓使用者可由遠端登入網路的主機，使用其資源。 FTP： 檔案傳輸協定，用來處理網路上檔案的傳送和儲存，使用者透過FTP可在網路上的兩部主機間進行檔案傳輸。 Cont.. DNS： 網域名稱伺服器，提供給TELNET、FTP與其它服務使用，將主機名稱轉換成IP位址。 SNMP： 簡易網路管理協定，使用者透過SNMP可管理網路上的主機系統。 Cont.. 以資訊為基礎的服務 Gopher WAIS WWW/HTTP 以遠端程序呼叫（Remote Procedure Call）為基礎的服務 NFS NIS 5.1.4　網際網路安全架構 5.2　安全的作業系統 本節將探討作業系統（Operating System）在網路安全中扮演的角色及其重要性。網路安全是植基於安全的作業系統上，不安全的作業系統可能將系統內部的資源暴露給侵入者，或提供蓄意破壞者入侵的管道。任何用來保護網路安全的方法，多少都會用到作業系統提供的各種服務。 5.2.1　美國受信賴電腦系統評量標準 TCSEC將電腦系統的安全性由高而低劃分為A、B、C、D四大等級，並且較高等級的安全範疇涵蓋較低等級的安全範疇，每一等級的系統有不同的安全條件、基準、規則必須要滿足。 　評量基準 TCSEC的評量基準分成四大類： 安全性策略（Security Policy）： 帳戶辨識記錄能力（Accountability）： 可靠度（Assurance）： 說明文件（Documentation）： 　安全等級 TCSEC將電腦系統的安全性由高而低劃分為A、B、C、D四大等級： Ａ等級：可驗證之保護(Verified Protection)。 Ｂ等級：強制式保護(Mandatory Protection)。 Ｃ等級：自定式保護(Discretionary Protection)。 Ｄ等級：最低保護(Minimal Protection)。 5.2.2　歐洲資訊技術安全評量標準 歐洲共同體在1991年出版資訊技術安全評量標準（Informa