网路安全技术面防范

,按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,*,*,07 網路安全技術面防範,1,網路安全,網路安全只是資訊安全的一小部分,網路安全,目的：,希望藉由適當的防護與管理，讓網路環境變得更安全,相較於資訊安全的,全方位,，網路安全利用,一些技術,來加強網路環境的安全性,技術：,防火牆,入侵偵測系統,弱點掃描器,虛擬私有網路,密碼學,防毒軟體,備份軟體,備援機制,等,2,網路的方便與危機,3,恆網,的威脅,行動通訊與無線網路的技術越加成熟,恆網時代（Evernet Era）,的來臨,趨勢大師納斯漢：網際網路時代結束，恆網時代開跑,恆網,：,任何人在任何時間、任何地點、以任何方式連接到網路環境的技術,網際網路通訊的極致發揮，某種物品就能迅速上網,安全的隱憂,4,網路安全策略,安全的網路環境：,需要的是一套完善且持續運作的安全機制,包含管理面及技術面,常用的安全技術：,入侵偵測系統,（,IDS,：,Intrusion Detection System,）,弱點掃描器,虛擬私人網路,防毒軟體,備份程式,備援機制,防火牆,5,入侵偵測系統,（,Intrusion Detection System,IDS,）,ISS公司的RealSecure及BlackICE,6,弱點掃描器,（Vulnerability Scanner）,NetIQ：Security Analyzer，GFI：LANguard Network Security Scanner，SAINT：SAINT，微軟平台：EnterpriseInspector,7,虛擬私人網路,（Virtual Private Network，VPN）,虛擬區域網路,：,透過網路管理者將區域網路作,邏輯分組,，不受限於使用者的主機所在位址,因應企業全球化佈局，但TCP/IP為明碼，有安全上顧忌：,解決方案一：,數據專線方式,跨國專線費用高且需投入相當的設備、人力維護,解決方案二：,虛擬,私人,網路,（,VPN,）,兼顧安全及成本,讓公共網路變成像是內部專線網路,整合包括X.25、Frame Relay、ATM、INTERNET,利用,通道法（Tunneling）,將公共網路或廣域網路的連接方式，轉換成具,加密,、,身份辨認,以及,存取控制功能,的網路,8,虛擬私人網路運作圖,9,防毒軟體,防毒軟體的功能,偵測並且防止惡性程式感染電腦系統,針對已經遭受感染的程式進行清除或隔離,檢查的機制：,即時,手動,排程,偵測方式：,比對,常見產品：,PC-cillin,Norton AntiVirus,10,備份程式,需要備份的,資,資料：,作業系統,應用程式,使用者資料,決定檔案是,否,否備份的依,據,據為檔案記錄（archive）屬性,資料備份的,方,方法：,一般（Normal）,：,：,完整備份（Fullbackup）,增量（Incremental）,：,：,備份記錄屬,性,性被啟動的檔案,備份完成後,，,，清除檔案記,錄,錄屬性,差異（Differential,）,）：,備份記錄屬,性,性被啟動的檔案,備份完成後,，,，不清除檔案,記,記錄屬性,累加方式做,備,備份,11,備份時程,12,三種備份方,式,式的比較,13,備援機制,備援機制的,主,主要功能,：,電腦系統出,現,現問題的同,時,時可以繼續,維,維持系統的,正,正常運,，,以提高電腦,系,系統的可用,度,度,平時,，,可以做到負載平衡,系統發生問,題,題時，透過,備,備援系統達,到,到容錯,備援機制兩,個,個層面：,元件備援,：,熱抽拔,（hotplug）,磁碟裝置,電腦系統本,身,身,：,叢集（Cluster,）,）,多部電腦所,組,組成的虛擬,機,機器,14,磁碟裝置容,錯,錯,（RedundantArray ofIndependent Disks,RAID）,1987年,柏,柏克萊大學,加,加州分校,目的：,增加磁碟系,統,統的穩定性,及,及效率,RAID,分,分6個等級,：,：RAID 0 RAID5,較常見：,RAID0,RAID1,RAID5,RAID在,處,處理資料時,，,，需要額外,的,的計算,除RAID1 不需,額,額外的計算,，,，可用軟體,達,達成,其餘RAID建議由專,屬,屬硬體來提,供,供功能,15,RAID0,由至少二顆,硬,硬碟所組成,的,的磁碟陣列,每一顆硬碟,的,的大小都需,要,要相同,stripe：,資料被寫入,時,時切割成大小,相,相同的區塊，稱之。,資料並同時,寫,寫入，儲存,至,至每一個磁,碟,碟中,優點：存取,效,效率極為優,異,異,缺點：不支援容錯,特性：,Provides,data,striping,butno redundancy,improves performancebutdoesnot deliver fault tolerance,16,RAID1（磁碟鏡,射,射,，,mirror）,由二顆硬碟,所,所組成，且,硬,硬碟的大小,都,都需要相同,資料的寫入,：,：一樣的資料,同,同時寫入二,顆,顆硬碟中,優點：容錯；缺點：成本高,17,RAID5,由至少三顆硬,碟,碟所組成的磁,碟,碟陣列,每一顆硬碟,的,的大小都需,要,要相同,stripe（等量磁,碟,碟）：,資料被寫入,時,時切割成大,小,小相同的區,塊,塊，稱之。,並計算出該,資,資料的同位元值,資料與同位元值寫入至不同的磁碟中，達到容,錯,錯,優點：允許一個硬,碟,碟的故障,缺點：寫入,資,資料效能較,差,差,空間使用率,：,：,(n-1)/n*100%,n:硬碟數,量,量,-1:存,放,放Parity的一顆,硬,硬碟,18,電腦系統的負載平衡及,容,容錯,叢集（Cluster,）,）：,由多部電腦所組成的虛擬機器,每一部實體,的,的電腦被稱,為,為一個節點,平時服務的,提,提供可以由,某,某一個節點,負,負責,該節點發生,問,問題時，其,他,他的節點則,會,會接手發生,問,問題節點的,工,工作,可以分為,網路及系統二種層面,19,網路叢集,網路叢集：,多個節點共用相同的IP位址來達成,前提：每個節點都可提供相同的服務,例如：Windows2000advancedserver 的NLB,(networkloadbalancing),技術,20,系統叢集,系統叢集：,多個節點來,提,提供相同的應用,程,程式服務，如資料庫,或,或電子郵件,服,服務,前提：每個,節,節點利用共同儲存裝,置,置（Share Storage,）,）來共用使,用,用者資料,錯誤移轉（FailOver）,：,：,提供服務節,點,點出問題時,，,，系統將工,作,作轉移到另,一,一節點繼續,運,運作，稱之,目的：,提升系統可用度,例如：Windows2000advancedserver 的Cluster Service,21,防火牆原理,防火牆機制,：,：,對外連線的咽喉點(ChokePoint)架設防火牆,機,機制，過濾,可,可能危害內,部,部網路的封,包,包,防火牆能夠,根,根據經由該,點,點進出的封包加以分析,使用服務的,種,種類、來源,與,與目的地位,址,址、控制使,用,用者存取權,以,以及進出封,包,包的內容,22,個人防火牆,防,防護記錄,23,防火牆概念,圖,圖,24,防火牆的功,能,能,一般正常的,封,封包傳遞,條件式的過,濾,濾封包傳遞,保護企業的,內,內部網路,控管企業使,用,用者的網際,網,網路資源存,取,取,25,防火牆一,般,般正常的封,包,包傳遞,26,防火牆條,件,件式的過濾,封,封包傳遞,27,防火牆保,護,護企業的內,部,部網路,28,防火牆,控,控管企業使,用,用者的網際,網,網路資源存,取,取,29,防火牆的種,類,類,依層級不同,：,：,封包過濾型,防,防火牆（,網路層級,）,Packet FilterFirewall,應用層級過,濾,濾型防火牆,Application FilterFirewall,Application Layer,Network Layer,Data-Link Layer,Firewall and Proxy Server,Screening Router,and Packet Filter,30,網路層級防,火,火牆概念圖,封包過濾器(Packet Filter)：,對進入封包,的,的標頭(header)部分進行,檢,檢查,建構在網路,層,層級，不會,對,對傳輸資料,的,的內容進行,偵,偵測,31,封包過濾型,防,防火牆,32,靜態與動態,封,封包過濾技,術,術,靜態封包過,濾,濾(StaticPacket Filter),：,：,限定封包只,能,能從哪裡來,（,（來源端IP位址的檢,查,查）以及到,哪,哪裡去（目,的,的地端IP,位,位址的檢查,）,），使用什,麼,麼樣的通訊,協,協定（目的,地,地端服務連,接,接埠的檢查,）,）,可判斷TCP,封,封包方向性,動態封包過,濾,濾(DynamicPacket Filter),：,：,又稱狀態檢查（Stateful Inspection）,在原先靜態,封,封包過濾器,加,加上一個連線狀態記,錄,錄器,33,應用層級閘,道,道器(Application-level Gateway),應用層級過,濾,濾型防火牆,特,特性：,將封包分析,的,的工作提升至應用,層,層級來處理，可,以,以提供更為,詳,詳細的安全,檢,檢驗,可視為一台代理伺服器(Proxy Server),內部網路的,使,使用者必須,透,透過該代理,伺,伺服器的協,助,助才能與外,部,部主機溝通,外部主機並,不,不能直接看,到,到真正的內,部,部使用者，,而,而是只能看,到,到這台代理,伺,伺服器。,代理伺服器,有,有隱藏內部網,路,路的功能,防止網際網,路,路的惡意人,士,士嘗試去瞭,解,解公司內部,網,網路的資訊,偵測入侵行,為,為：,禁止執行DNS區域,移,移轉（Zone transfer）技術去複製DNS區域,資,資料（Zone data）,34,應用層級過,濾,濾型防火牆,概,概念圖,35,應用層級過,濾,濾型防火牆,優點及注,意,意事項,優點：,不變動網路,架,架構下擴充,防,防火牆,使用的注意,事,事項：,雖提供較為完善的,安,安全防護，但效率明顯較,差,差,處理較多安,全,全項目,代理伺服器,必,必須在內部,與,與外部網路,溝,溝通上面花,一,一些時間進,行,行轉換的工,作,作,應用程式若,未,未被代理伺,服,服器支援，,這,這些網路服,務,務將無法使,用,用,一般可與代,理,理伺服器溝,通,通的網路應,用,用程式，如,瀏,瀏覽器是最,普,普遍的，其,內,內建便具有,支,支援代理伺,服,服器的存取,其他程式如FTP、Telnet 等，也,必,必須要能提,供,供溝通的能,力,力才行,36,防火牆的網,路,路架構,防禦主機架,構,構,3-Homed 架構,多層次架構,（,（Multi-Layered）,37,防禦主機架,構,構,兩片網路卡：,對內,網路卡,：屏障網路,（screenednetwork）,對外,網路卡,：公眾網路,特性：成本,低,低、管理易,38,3-Homed架構,三片網路卡：,對內：企業內部網,路,路,對外：公眾,網,網路,連接至非軍事管制,區,區（Demilitarized Zone，DMZ），又稱週邊地帶（Perimeternetwork）,用戶存取的,資,資源，如：Web主機,、,、FTP主,機,機、電子郵,件,件主機,特性：,安全性較防,禦,禦主機架構,好,好,管理便利,39,多層次架構,（,（Multi-Layered）,利用多部防火牆所組成的防,禦,禦架構,常見的基本,架,架構：,由兩部防火,牆,牆組成（多,會,會選擇不同產品）,外部防火牆,的,的外部網路,卡,卡：,公眾網路,內部防火牆,的,的內部網路,卡,卡：,企業內部,外部防火牆,的,的內部網路,卡,卡及內部防,火,火牆的外部,網,網路卡,非軍事