网路安全技术面防范.pptVIP

防火牆的種類 依層級不同： 封包過濾型防火牆（網路層級）－Packet Filter Firewall 應用層級過濾型防火牆－Application Filter Firewall Application Layer Network Layer Data-Link Layer Firewall and Proxy Server Screening Router and Packet Filter * 第三十页，共四十三页。 網路層級防火牆概念圖 封包過濾器 (Packet Filter) ： 對進入封包的標頭 (header)部分進行檢查 建構在網路層級，不會對傳輸資料的內容進行偵測 * 第三十一页，共四十三页。 * * 07 網路安全－技術面防範 * 第一页，共四十三页。 網路安全 網路安全只是資訊安全的一小部分 網路安全目的： 希望藉由適當的防護與管理，讓網路環境變得更安全 相較於資訊安全的全方位，網路安全利用一些技術來加強網路環境的安全性 技術： 防火牆 入侵偵測系統 弱點掃描器 虛擬私有網路 密碼學 防毒軟體 備份軟體 備援機制等 * 第二页，共四十三页。 網路的方便與危機 * 第三页，共四十三页。 恆網的威脅 行動通訊與無線網路的技術越加成熟 恆網時代（Evernet Era）的來臨 趨勢大師納斯漢：「網際網路時代結束，恆網時代開跑」 恆網： 任何人在任何時間、任何地點、以任何方式連接到網路環境的技術 網際網路通訊的極致發揮，某種物品就能迅速上網 安全的隱憂 * 第四页，共四十三页。 網路安全策略 安全的網路環境： 需要的是一套完善且持續運作的安全機制 包含管理面及技術面 常用的安全技術： 入侵偵測系統（IDS：Intrusion Detection System） 弱點掃描器 虛擬私人網路 防毒軟體 備份程式 備援機制 防火牆 * 第五页，共四十三页。 入侵偵測系統（Intrusion Detection System ,IDS） ISS公司的RealSecure及BlackICE * 第六页，共四十三页。 弱點掃描器（Vulnerability Scanner） NetIQ：Security Analyzer，GFI ：LANguard Network Security Scanner，SAINT： SAINT，微軟平台：EnterpriseInspector * 第七页，共四十三页。 虛擬私人網路（Virtual Private Network，VPN） 虛擬區域網路： 透過網路管理者將區域網路作邏輯分組，不受限於使用者的主機所在位址 因應企業全球化佈局，但TCP/IP為明碼，有安全上顧忌： 解決方案一：數據專線方式 跨國專線費用高且需投入相當的設備、人力維護 解決方案二：虛擬私人網路（VPN） 兼顧安全及成本 讓公共網路變成像是內部專線網路 整合包括X.25、Frame Relay、ATM、INTERNET 利用通道法（Tunneling）將公共網路或廣域網路的連接方式，轉換成具加密、身份辨認以及存取控制功能的網路 * 第八页，共四十三页。 虛擬私人網路運作圖 * 第九页，共四十三页。 防毒軟體 防毒軟體的功能 偵測並且防止惡性程式感染電腦系統 針對已經遭受感染的程式進行清除或隔離 檢查的機制： 即時 手動 排程 偵測方式： 比對 常見產品： PC-cillin Norton AntiVirus * 第十页，共四十三页。 備份程式 需要備份的資料： 作業系統 應用程式 使用者資料 決定檔案是否備份的依據為檔案記錄（archive）屬性 資料備份的方法： 一般（Normal）： 完整備份（Full backup） 增量（Incremental）： 備份記錄屬性被啟動的檔案 備份完成後，清除檔案記錄屬性 差異（Differential）： 備份記錄屬性被啟動的檔案 備份完成後，不清除檔案記錄屬性 累加方式做備份 * 第十一页，共四十三页。 備份時程 * 第十二页，共四十三页。 三種備份方式的比較 * 第十三页，共四十三页。 備援機制 備援機制的主要功能： 電腦系統出現問題的同時可以繼續維持系統的正常運，以提高電腦系統的可用度 平時，可以做到負載平衡 系統發生問題時，透過備援系統達到容錯 備援機制兩個層面： 元件備援： 熱抽拔（hot plug） 磁碟裝置 電腦系統本身： 叢集（Cluster） 多部電腦所組成的虛擬機器 * 第十四页，共四十三页。 磁碟裝置容錯（Redundant Array of Independent Disks, RAID） 1987年柏克萊大學加州分校 目的： 增加磁碟系統的穩定性及效率 RAID 分6個等級： RAID 0 ~ RAID 5 較常見： RAID 0