网路安全管理及防火墙73P.ppt

《网路安全管理及防火墙73P.ppt》由会员分享，可在线阅读，更多相关《网路安全管理及防火墙73P.ppt（73页珍藏版）》请在金锄头文库上搜索。

1、 網路安全管理及防火牆網路安全管理及防火牆 摘要摘要n n本章探討網際網路的安全問題，包括安全的作業系統、IP與電子郵件等主題。並介紹網路防火牆的基本概念與安全防火牆的組成元件，說明封包過濾器（Packet Filter）和應用閘道（Application Gateway）等技術。7/24/20242目錄目錄n n5.15.1網際網路安全網際網路安全網際網路安全網際網路安全n n5.25.2安全的作業系統安全的作業系統安全的作業系統安全的作業系統n n5.35.3安全的安全的安全的安全的IPIPn n5.45.4安全的電子郵件安全的電子郵件安全的電子郵件安全的電子郵件n n5.55.5安全的網

2、際網路服務安全的網際網路服務安全的網際網路服務安全的網際網路服務n n5.65.6防火牆防火牆防火牆防火牆n n5.75.7代理服務的建置代理服務的建置代理服務的建置代理服務的建置n n5.85.8防火牆的代價防火牆的代價防火牆的代價防火牆的代價n n5.95.9建立安全的防火牆建立安全的防火牆建立安全的防火牆建立安全的防火牆7/24/202435.1網際網路安全網際網路安全n n連結上網際網路對資訊的存取有無數的優點，但是對於低安全考量的主機，冒然連上網際網路就不一定是好處了，將未妥善保護的私有網路暴露於公眾網路上，所引發的安全威脅是難以預測的。 7/24/202445.1.1TCP/IP通

3、訊協定通訊協定7/24/20245Cont.n n一、應用層（一、應用層（Application LayerApplication Layer） 是一些高層協定組成，直接支援使用者溝通介面，或是一些高層協定組成，直接支援使用者溝通介面，或者提供應用程式間溝通的協定者提供應用程式間溝通的協定 。n n二、傳輸層（二、傳輸層（Transport LayerTransport Layer）由由傳傳輸輸控控制制協協定定（Transmission Transmission Control Control ProtocolProtocol，簡簡稱稱TCPTCP）、使使用用者者資資料料流流協協定定（User

4、 User Datagram Datagram ProtocolProtocol，簡簡稱稱UDPUDP）組組成成，提提供供主主機機間間的的資資料料傳傳送送服服務務，並並且且確定資料已被送達並接收。確定資料已被送達並接收。1. 1.TCPTCP：此協定適用於可信賴及無錯誤的傳輸環境，應用彼此此協定適用於可信賴及無錯誤的傳輸環境，應用彼此之間的訊息傳送。之間的訊息傳送。 2. 2.UDPUDP：是一種非連結是一種非連結(Connectionless)(Connectionless)協定，在沒有額外的流量協定，在沒有額外的流量控制、可靠性控制、可靠性(Reliability)(Reliability

5、)及錯誤回復的考量下，允許基本的及錯誤回復的考量下，允許基本的資料交換。資料交換。 7/24/20246Cont.n n三、網際層（Internet Layer） 網際層由網際網路協定（網際層由網際網路協定（Internet ProtocolInternet Protocol，簡簡稱稱IPIP）和網際網路控制訊息協定和網際網路控制訊息協定（Internet Internet Control Message ProtocolControl Message Protocol，簡稱簡稱ICMPICMP）組成，組成，負責安排資料封包的傳送，讓每一個封包都能負責安排資料封包的傳送，讓每一個封包都能順利傳

6、送到達目的端主機。順利傳送到達目的端主機。 n n四、網路介面層（Network Interface Layer）網網路路介介面面層層負負責責提提供供實實質質網網路路媒媒體體的的驅驅動動程程式式，定義如何使用網路實體來傳送資料。定義如何使用網路實體來傳送資料。7/24/202475.1.2利用利用TCP/IP傳送訊息傳送訊息n nTCP負責將訊息切割成適合傳送的小塊資料包（Datagram），在遠端主機重新按順序組合起資料包，並且要負責重送遺失的資料包。 n nIP負責為資料包找到一條可達接收端主機的適當路徑。 7/24/20248一、一、TCP資料頭格式資料頭格式7/24/20249二、二、

7、IP資料頭格式資料頭格式7/24/202410三、三、Ethernet資料頭格式7/24/2024115.1.3網際網路服務與協定網際網路服務與協定n nSMTPSMTP：簡易電子郵件傳輸協定，用於電子郵件的發送和接收。簡易電子郵件傳輸協定，用於電子郵件的發送和接收。n nTELNETTELNET：遠遠端端(Remote)(Remote)登登入入協協定定，用用於於連連接接並並登登入入遠遠端端主主機機系系統統，讓使用者可由遠端登入網路的主機，使用其資源。讓使用者可由遠端登入網路的主機，使用其資源。n nFTPFTP：檔案傳輸協定，用來處理網路上檔案的傳送和儲存，檔案傳輸協定，用來處理網路上檔案的

8、傳送和儲存，使用者透過使用者透過FTPFTP可在網路上的兩部主機間進行檔案傳輸。可在網路上的兩部主機間進行檔案傳輸。 7/24/202412Cont.n nDNS：網網域域名名稱稱伺伺服服器器，提提供供給給TELNETTELNET、FTPFTP與與其其它服務使用，將主機名稱轉換成它服務使用，將主機名稱轉換成IPIP位址。位址。n nSNMP：簡簡易易網網路路管管理理協協定定，使使用用者者透透過過SNMPSNMP可可管管理理網路上的主機系統。網路上的主機系統。7/24/202413Cont.n n以資訊為基礎的服務 1. 1.GopherGopher 2. 2.WAISWAIS 3. 3.WWW

9、/HTTPWWW/HTTP n n以遠端程序呼叫（Remote Procedure Call）為基礎的服務 1. 1.NFSNFS 2. 2.NISNIS 7/24/2024145.1.4網際網路安全架構網際網路安全架構 7/24/2024155.2安全的作業系統安全的作業系統n n本節將探討作業系統（Operating System）在網路安全中扮演的角色及其重要性。網路安全是植基於安全的作業系統上，不安全的作業系統可能將系統內部的資源暴露給侵入者，或提供蓄意破壞者入侵的管道。任何用來保護網路安全的方法，多少都會用到作業系統提供的各種服務。7/24/2024165.2.1美國受信賴電腦系統評

10、量標準美國受信賴電腦系統評量標準n nTCSEC將電腦系統的安全性由高而低劃分為A、B、C、D四大等級，並且較高等級的安全範疇涵蓋較低等級的安全範疇，每一等級的系統有不同的安全條件、基準、規則必須要滿足。 7/24/2024175.2.1.1評量基準評量基準n nTCSEC的評量基準分成四大類：1. 1.安全性策略安全性策略（Security PolicySecurity Policy）：）： 2. 2.帳戶辨識記錄能力帳戶辨識記錄能力（AccountabilityAccountability）：）： 3. 3.可靠度（可靠度（AssuranceAssurance）：）： 4. 4.說明文件說

11、明文件（DocumentationDocumentation）：）： 7/24/2024185.2.1.2安全等級安全等級n nTCSEC將電腦系統的安全性由高而低劃分為A、B、C、D四大等級： 等級：可驗證之保護等級：可驗證之保護( (Verified Protection)Verified Protection)。 等級：強制式保護等級：強制式保護(Mandatory Protection)(Mandatory Protection)。 等級：自定式保護等級：自定式保護(Discretionary Protection)(Discretionary Protection)。 等級：最低保護

12、等級：最低保護(Minimal Protection)(Minimal Protection)。 7/24/2024195.2.2歐洲資訊技術安全評量標準歐洲資訊技術安全評量標準n n歐洲共同體在1991年出版資訊技術安全評量標準（Information Technology Security Evaluation Criteria，簡稱ITSEC） n nITSEC也規範七個安全等級，大致分別對應到TCSEC的七個等級（A、B3、B2、B1、C2、C1及D）。 7/24/2024205.3安全的安全的IPn n從網路安全的觀點來考量，從網路安全的觀點來考量，IPIP協定並不保證資料協定並不保

13、證資料封包的來源位址的確實性，因為來源位址可能已封包的來源位址的確實性，因為來源位址可能已在傳輸過程中被路徑上的中間節點篡改，或者原在傳輸過程中被路徑上的中間節點篡改，或者原始主機並未填入正確的始主機並未填入正確的IPIP位址。位址。 n n常常見見的的攻攻擊擊方方式式是是：企企圖圖攻攻擊擊的的主主機機可可能能冒冒用用某某一一合合法法主主機機的的位位址址來來傳傳輸輸資資料料，藉藉以以誤誤導導目目的的地地主主機機。這這類類型型的的攻攻擊擊稱稱為為來來源源位位址址欺欺騙騙攻攻擊擊（Source Address Spoofing AttackSource Address Spoofing Attac

14、k）。）。7/24/202421Cont.n nIP層 的 網 路 安 全 技 術 ， 包 括 IP AH (Authentication Header)及IP ESP (Encapsulating Secure Payload)等方法。IP AHIP AH：n n確保資料的真確性確保資料的真確性（IntegrityIntegrity）和鑑別和鑑別（AuthenticationAuthentication），），但無法作到資料保密。但無法作到資料保密。 IP ESPIP ESP：n n可確保資料的隱密性可確保資料的隱密性（ConfidentialityConfidentiality）、）、真確

15、性和真確性和鑑別性。鑑別性。 7/24/2024225.3.1安全聯合安全聯合（Security Association）n n安全聯合負責協調兩個通訊實體之間所使用的安全機制，每一安全聯合會有一個安全參數索引（Secure Parameter Index，簡稱SPI）與目的地位址，可用來識別其唯一性。 7/24/202423Cont.n n一般而言，安全聯合包括下列重要資訊。 1. 1.用用來來提提供供IP IP AHAH鑑鑑別別的的鑑鑑別別演演算算法法與與模模式式，以以及及鑑鑑別演算法的金鑰。別演算法的金鑰。2. 2.用用來來提提供供IP IP ESPESP的的加加密密演演算算法法、模模式

16、式與與加加密密金金鑰鑰，以及與加密演算法有關的相關資訊。以及與加密演算法有關的相關資訊。3. 3.金鑰與安全聯合的生命週期。金鑰與安全聯合的生命週期。4. 4.安全聯合的來源位址。安全聯合的來源位址。5. 5.隱隱密密性性資資料料的的敏敏感感程程度度（極極機機密密、機機密密、非非機機密密等）。等）。7/24/2024245.3.2IP AH方法方法n nIP AH方法讓兩個或多個支援IP AH的主機與閘道（Gateway）之間的安全有保障。在此閘道是指介於可信賴的私有網路與不可信賴的公眾網路之間的設備及軟體，用來提供通訊的管道。n n雖然IP AH可確保資料的真確性並提供鑑別，但卻無法作到資料

17、保密。 7/24/2024255.3.3IP ESP方法方法n nIP ESP方法可確保資料的隱密性，並可選擇附加資料真確性與資料鑑別性等更功能。 n n如圖6.4所示IP ESP技術是將大部份的ESP資料加密，然後在加密過的資料前加上一明文的資料頭I，此資料頭I是用來決定資料封包在網路上的傳遞路徑。7/24/202426Cont.7/24/202427Cont.n n一般IP ESP協定的運作可分成兩種模式：1. 1.隧道式（隧道式（Tunnel-modeTunnel-mode）2. 2.運輸式運輸式（Transport-modeTransport-mode）7/24/2024285.4安全

18、的電子郵件安全的電子郵件n n電子郵件是網際網路最普遍的應用之一，為了確保通訊安全，電子郵件應用應考量保護其內容的安全性與提供訊息鑑別的功能。 7/24/2024295.4.1電子郵件的安全需求電子郵件的安全需求n n一般電子郵件的安全必須考量下列的安全需求：1. 1. 隱密性隱密性（ConfidentialityConfidentiality）2. 2. 資料來源鑑別資料來源鑑別（Data Origin AuthenticationData Origin Authentication）3. 3. 訊息真確性訊息真確性（Message IntegrityMessage Integrity）4.

19、 4. 不可否認不可否認性（性（NonrepudiationNonrepudiation）7/24/2024305.4.2PEMPEM郵件技術郵件技術n nPEM是一種應用廣泛的電子郵件安全防護標準，規範訊息來源鑑別、真確性與加解密的過程，一般與簡易電子郵件傳輸協定（SMTP）結合使用。 7/24/202431Cont.(訊息型式訊息型式)n n因應各種電子郵件的安全需求，PEM採用訊息真確性查核（Message Integrity Check，簡稱）技術並提供三種不同的訊息型式：1. 1.MIC-ClearMIC-Clear： 2. 2.MIC-OnlyMIC-Only： 3. 3.MIC-

20、EncryptedMIC-Encrypted： 7/24/202432Cont.n nPEM訊息處理包括下列四個步驟： 1. 1.標準化標準化（CanonicalizationCanonicalization） 2. 2.訊息真確性及數位簽章，訊息真確性及數位簽章，PEMPEM規範使用規範使用RSARSA與與MD2MD2或或MD5MD5作為訊息真確性的演算法。作為訊息真確性的演算法。3. 3.加密；採用加密；採用CBCCBC模式的模式的DESDES加密演算法。加密演算法。 4. 4.傳送編碼，傳送編碼，PEMPEM將訊息轉換成將訊息轉換成6 6位元的文字編碼模位元的文字編碼模式，此種編碼和式，

21、此種編碼和SMTPSMTP的標準化格式相容。的標準化格式相容。 7/24/202433Cont.(訊息傳送步驟訊息傳送步驟) )n nPEMPEM訊息處理包括下列四個步驟：訊息處理包括下列四個步驟： 1. 1.標準化標準化（CanonicalizationCanonicalization） 2. 2.訊息真確性及數位簽章訊息真確性及數位簽章n nPEMPEM規範使用規範使用RSARSA與與MD2MD2或或MD5MD5作為訊息真確性的演算法。作為訊息真確性的演算法。3. 3.加密加密：n n採用採用CBCCBC模式的模式的DESDES加密演算法。加密演算法。4. 4.傳送編碼傳送編碼n nPEM

22、PEM將訊息轉換成將訊息轉換成6 6位元的文字編碼模式，此種編碼位元的文字編碼模式，此種編碼和和SMTPSMTP的標準化格式相容。的標準化格式相容。 7/24/202434Cont.(接收接收PEM訊息訊息) ) n n接收接收PEMPEM訊息時的處理步驟如下：訊息時的處理步驟如下： 1. 1.編碼轉換編碼轉換檢查訊息型式，如果訊息型式檢查訊息型式，如果訊息型式是是MIC-EncryptedMIC-Encrypted（或（或MIC-MIC-OnlyOnly）則先將則先將6 6位元的編碼轉換成位元的編碼轉換成8 8位元的密文（或標準格式的位元的密文（或標準格式的明文）。明文）。2. 2.解密解密

23、 如果訊息型式如果訊息型式是是MIC-EncryptedMIC-Encrypted則將加密的訊息解密。則將加密的訊息解密。 3. 3.訊息真確性及來源的訊息真確性及來源的鑑別鑑別 訊息真確性及來源的訊息真確性及來源的鑑別鑑別。若訊息型式是。若訊息型式是MIC-ClearMIC-Clear或或MIC-MIC-OnlyOnly，則使用則使用MICMIC與數位簽章演算法，進行與數位簽章演算法，進行訊息來源鑑別及訊息來源鑑別及真真確性檢查。確性檢查。 4. 4.格式轉換格式轉換 將訊息格式轉換成與收方主機相容的格式。將訊息格式轉換成與收方主機相容的格式。 7/24/202435Cont.7/24/20

24、24365.4.3PGPPGP郵件技術郵件技術n nPGP是1991年Philip Zimmermann設計，以公開金鑰演算法為基礎所發展出來的電子郵件傳送工具。 n n此方法結合傳統對稱式與公開金鑰密碼演算法，應用下列技術提供電子郵件安全服務。7/24/202437Cont.1. 1.隱密性：隱密性： n n採採用用CBCCBC模模式式的的IDEAIDEA加加密密演演算算法法將將要要傳傳送送的的資資料料加加密密，在在此此IDEAIDEA金鑰長度是金鑰長度是128128位元。位元。2. 2.金鑰管理金鑰管理 ：n n應用應用RSARSA長度長度384384、512512或或10241024位元

25、的金鑰管理技術，來對隨機位元的金鑰管理技術，來對隨機選取的交談金鑰（選取的交談金鑰（Session KeySession Key）加密。加密。 3. 3.訊息真確性及數位簽章：訊息真確性及數位簽章：n nPGPPGP使用使用RSARSA與與MD5MD5作為判斷訊息真確與鑑別安全的演算法。作為判斷訊息真確與鑑別安全的演算法。4. 4.壓縮：壓縮：n n訊息在加密前先用訊息在加密前先用ZIP 2.0ZIP 2.0壓縮，可減少資料量和明文資料的壓縮，可減少資料量和明文資料的重複重複性（性（RedundanciesRedundancies），），以提高破密的困難度。以提高破密的困難度。 7/24/20

26、24385.5安全的網際網路服務安全的網際網路服務n n網際網路服務與應用軟體的安全，可透過呼叫通用安全服務之應用程式介面（Generic Security Service Application Program Interface，簡稱GSSAPI）所提供的服務來達到安全需求。 7/24/202439Cont.n nGSSAPI的概念 19931993被提出來的，被提出來的，GSSAPIGSSAPI是一般用途的應用介是一般用途的應用介面，網際服務或應用軟體可透過面，網際服務或應用軟體可透過GSSAPIGSSAPI呼叫安呼叫安全服務，然後全服務，然後GSSAPIGSSAPI將應用軟體的安全需求

27、交將應用軟體的安全需求交由底層的服務程式負責處理及回應，最後由底層的服務程式負責處理及回應，最後GSSAPIGSSAPI再將處理結果傳回。再將處理結果傳回。 7/24/202440Cont.n nGSSAPI的使用 GSSAPIGSSAPI的使用方式描述於圖的使用方式描述於圖6.66.6，假設位於客，假設位於客戶端的應用程式戶端的應用程式C C欲將訊息加密傳送給伺服器欲將訊息加密傳送給伺服器端的應用程式端的應用程式S S，可由下列步驟完成：可由下列步驟完成： 7/24/202441Cont.7/24/202442Cont.Step1Step1：n n客客戶戶端端的的應應用用程程式式C C透透過

28、過GSSAPIGSSAPI發發出出訊訊息息加加密密的的需需求求，呼呼叫叫客客戶端主機所對應的加密程式處理。戶端主機所對應的加密程式處理。Step2Step2：n n安全服務程式回傳加密的訊息給應用程式安全服務程式回傳加密的訊息給應用程式C C。Step3Step3：n n應用程式應用程式C C將加密的訊息傳送給伺服器端的應用程式將加密的訊息傳送給伺服器端的應用程式S S。Step4Step4：n n伺伺服服器器端端的的應應用用程程式式S S透透過過GSSAPIGSSAPI發發出出訊訊息息解解密密的的需需求求，呼呼叫叫伺服器端主機所對應的解密程式處理。伺服器端主機所對應的解密程式處理。Step5

29、Step5：n n安全服務程式進行訊息解密，並將明文訊息回傳給應用程式安全服務程式進行訊息解密，並將明文訊息回傳給應用程式S S。7/24/2024435.6防火牆防火牆n n防火牆是用來加強兩個網路間存取控制的安全機制，它負責檢查所有通過兩網路間的資料流，並且只允許已授權的資料流通過，藉由防火牆的隔離，以減少系統受到侵入而造成內部資源受到損害的風險。 7/24/2024445.6.1為何需要防火牆系統為何需要防火牆系統n nIP層的通訊安全可經由安全的IP來達到，而使用者之間的通訊也可透過安全的電子郵件技術來保障。但是這些技術皆無法使私有網路內部的資源免於來自網際網路的威脅，除非將私有網路與

30、網際網路完成隔絕，兩者之間互不通訊，才能確保安全。7/24/202445Cont.n n當當私私有有網網路路想想要要加加入入網網際際網網路路時時，必必須須考考量量以以下風險：下風險：1. 1.資訊的保全：資訊的保全： 2. 2.資源的使用：資源的使用： 3. 3.信譽的維持：信譽的維持：n n建置防火牆的目的，就是要在私有網路與網際建置防火牆的目的，就是要在私有網路與網際網路之間建立一個安全的通訊管道，在內部資網路之間建立一個安全的通訊管道，在內部資源的存取可控制與掌握的情況下，讓網內用戶源的存取可控制與掌握的情況下，讓網內用戶也可以方便地使用網際網路所提供的服務。也可以方便地使用網際網路所提

31、供的服務。 7/24/202446Cont.n n如圖6.7所示，防火牆的使用是在私有網路（可信賴的安全網路）和網際網路（不可靠的網路環境）之間建立一道安全屏障，以阻隔外來電腦駭客的侵擾，而內部人士仍然可以對外取得整體的服務。 7/24/202447Cont.7/24/202448Cont.n n一般防火牆是主要由下列的元件組成：1. 1.網路策略（網路策略（Network PolicyNetwork Policy）2. 2.進進 階階 的的 鑑鑑 別別 機機 制制 （ Advance Advance Authentication Authentication MechanismsMechan

32、isms）3. 3.封包過濾（封包過濾（Packet FilteringPacket Filtering）4. 4.應用閘道應用閘道（Application GatewaysApplication Gateways） 7/24/2024495.6.2網路策略網路策略n n網路策略會直接影響到防火牆系統的設計、安置及使用，此策略大致上可分成兩個層次： 服務存取策略（高階策略）服務存取策略（高階策略）防火牆設計策略（低階策略）防火牆設計策略（低階策略）7/24/2024505.6.2.1服務存取策略服務存取策略n n服務存取策略著眼於如何避免網際網路的安全威脅與駭客的入侵，在基於確保內部網路安全的

33、前提下，規範適當的存取策略，以提供安全的網際服務。 7/24/2024515.6.2.2防火牆設計策略防火牆設計策略n n一般的防火牆的實作，採用下列兩種設計策略之一：1. 1.除除非非明明確確地地不不允允許許之之外外准准許許任任何何服服務務。內內定定允允許許所所有有的的服服務務皆皆可可進進入入內內部部網網路路，只只排排除除存存取取策策略略被標示為不允許的服務。被標示為不允許的服務。2. 2.除除非非明明確確地地准准許許之之外外拒拒絕絕任任何何服服務務。內內定定拒拒絕絕所所有有進進入入內內部部網網路路的的服服務務，只只允允許許存存取取策策略略被被標標示示為允許的服務。為允許的服務。7/24/2

34、024525.6.3進階的鑑別機制進階的鑑別機制n n在設計防火牆時可藉由進階鑑別測定的使用，對防火牆的交通作初步的過濾，來加強防火牆的安全，以及解決部分服務策略實作的問題。 7/24/202453Cont.n n如圖6.8所示，若使用具備進階鑑別機制的防火牆系統，則所有的網路交通如FTP或TELNET應用，必需先通過經鑑別過濾，才可直接進入內部網路。 7/24/2024545.6.4封包過濾封包過濾n n封封包包過過濾濾一一般般是是在在作作業業系系統統、選選徑徑器器（RouterRouter）、或或者者伺伺服服器器程程式式（如如WWWWWW、FTPFTP等等）上上設設計計一一過過濾濾器器，稱

35、稱作作封封包包過過濾濾器器，負負責責攔攔截截並並過過濾濾傳傳送於私有網路與公眾網路間的封包。送於私有網路與公眾網路間的封包。n nIPIP封包的資料頭包含下列重要欄位：封包的資料頭包含下列重要欄位： 1. 1.協定代碼（協定代碼（UDPUDP或或TCPTCP）2. 2.來源與目標主機之來源與目標主機之IPIP位址位址 3. 3.TCP/UDPTCP/UDP來源與目標埠號來源與目標埠號 4. 4.封包傳送方向（封包傳送方向（InboundInbound或或OutboundOutbound） 7/24/202455Cont.n n建建構構防防火火牆牆時時，就就可可利利用用這這欄欄位位如如IPIP位

36、位址址、埠埠號號以以及及應應用用的的類類型型來來規規範範網網路路的的存存取取。防防火火牆牆需需檢檢查查IPIP封封包包資資料料頭頭的的欄欄位位內內容容，視視其其是是否否滿滿足足管管理理者者所所訂訂的的存存取取規規則則，來來決決定定封包的放行與否。封包的放行與否。n n藉藉由由此此種種防防火火牆牆的的使使用用，可可以以限限制制封封包包的的來來源源、目目的的地地以以及可經過的管道。及可經過的管道。7/24/202456Cont.n n封包濾器就是利用過濾封包的方式來減少可能的危害，雖然封包濾器可用來隔絕外界的攻擊，不過它無法抵擋來自內部的可能攻擊。 7/24/2024575.6.5應用閘道應用閘道

37、n n防火牆採用封包過濾的最大優點是速度快、建置成本低並防火牆採用封包過濾的最大優點是速度快、建置成本低並具有完全通透性具有完全通透性( (Transparency)Transparency)。 n n為了補強封包過濾器的弱點，防火牆必須在為了補強封包過濾器的弱點，防火牆必須在IPIP層使用軟體層使用軟體應用（應用（Software ApplicationsSoftware Applications）對網路交通（服務要求）進對網路交通（服務要求）進行攔路檢查，通常透過代理（行攔路檢查，通常透過代理（ProxyProxy）服務來實現，代理服務來實現，代理伺服器伺服器（Proxy ServerPr

38、oxy Server）負責服務連結的過濾，以及資料的負責服務連結的過濾，以及資料的轉送。轉送。 n n所有進出私有網路的交通都必須行經代理伺服器，而執行所有進出私有網路的交通都必須行經代理伺服器，而執行這類程式的主機稱為應用閘道這類程式的主機稱為應用閘道（Application GatewayApplication Gateway）。）。 7/24/202458Cont.7/24/202459Cont.n n當一個用戶企圖連結進入此一私有網路時，必須當一個用戶企圖連結進入此一私有網路時，必須先連結上應用閘道，然後再到目的端主機，其步先連結上應用閘道，然後再到目的端主機，其步驟如下：驟如下： 1

39、. 1.歩驟歩驟1 1：用戶先：用戶先TELNETTELNET上應用閘道，並輸入想要登入的網內上應用閘道，並輸入想要登入的網內主機名稱。主機名稱。2. 2.步驟步驟2 2：應用閘道根據存取規則檢查用戶來源的：應用閘道根據存取規則檢查用戶來源的IPIP位址，決定位址，決定接受或拒絕此連結。接受或拒絕此連結。3. 3.步驟步驟3 3：對用戶的身份作進一步的身份鑑別（如用一次的通行：對用戶的身份作進一步的身份鑑別（如用一次的通行碼系統）。碼系統）。4. 4.步驟步驟4 4：代理伺服器建立應用閘道與網內主機之間的：代理伺服器建立應用閘道與網內主機之間的TELNETTELNET連結。連結。5. 5.步驟

40、步驟5 5：代理伺服器在此兩連結之間轉送資料。：代理伺服器在此兩連結之間轉送資料。6. 6.步驟步驟6 6：應用閘道記錄連結的相關資訊。：應用閘道記錄連結的相關資訊。 7/24/202460Cont.7/24/202461Cont.n n使用應用閘道來阻隔服務，不讓它們的網路交通直接進入網內主機的優點：1. 1.資訊隱藏（資訊隱藏（Information HidingInformation Hiding）2. 2.強固的鑑別強固的鑑別（Robust AuthenticationRobust Authentication）3. 3.成本效益高成本效益高（Cost-effectivenessCos

41、t-effectiveness）4. 4.較較 少少 複複 雜雜 的的 過過 濾濾 條條 件件 （ Less-complex Less-complex Filtering Filtering RulesRules）7/24/2024625.7代理服務的建置代理服務的建置n n通常實現代理服務的方式有：代理伺服器與Socks伺服器兩種，此節我們將進一步說明這兩種方式。7/24/2024635.7.1代理伺服器代理伺服器n n代理伺服器在實作上可經由下列兩種方式完成：1. 1.更改用戶程序更改用戶程序2. 2.更改防火牆軟體更改防火牆軟體7/24/2024645.7.2Socks伺服器伺服器n n

42、代理伺服器和Socks主要差異在於：代理伺服器調整用戶存取網際網路的方式，但不改變用戶端軟體。7/24/2024655.8.1防火牆的代價防火牆的代價n n建立防火牆系統的主要優點是：1. 1.保護易受侵害的網路服務保護易受侵害的網路服務2. 2.控制內部網站系統的存取控制內部網站系統的存取3. 3.集中的安全管理集中的安全管理4. 4.網路使用的統計與記錄網路使用的統計與記錄7/24/2024665.8.2防火牆的問題防火牆的問題n n使用防火牆可能需要付出下列負面的代價：1. 1.網路效率降低網路效率降低2. 2.孤注一擲孤注一擲3. 3.應用無法完全配合應用無法完全配合 7/24/202

43、4675.8.3防火牆之所不能防火牆之所不能n n內賊難防n n後門或地道n n電腦病毒7/24/2024685.9建立安全的防火牆建立安全的防火牆n n除了前面介紹過的封包過濾器與應用閘道等防火牆技術之外，為了提升網路安全與管理方便，通常會將網域名稱服務（DNS）與電子郵件的處理納入防火牆系統。n n包含DNS的防火牆系統，一方面可將私有網路內部主機的真實IP位址隱藏起來，避免暴露給網際網路的使用者，藉以降低IP位址被冒用的危險。另一方面可以解決內部網路IP位址不夠的問題。 7/24/2024695.9.1安全防火牆的架構安全防火牆的架構n n因此一個安全的防火牆系統，通常必須具備下列成員：電子郵件處理電子郵件處理網域名錄系統網域名錄系統應用閘道應用閘道封包過濾器封包過濾器安全作業系統安全作業系統n n其架構如圖5.14所示。 7/24/202470Cont.7/24/2024715.9.2防火牆的安全等級防火牆的安全等級n n一個防火牆系統的強固程度，隨其附加的安全措施越多其一個防火牆系統的強固程度，隨其附加的安全措施越多其安全性越高，但存取的限制也相對的增多，如圖安全性越高，但存取的限制也相對的增多，如圖6.156.15所描所描述述 。7/24/202472Q&A7/24/202473