資訊與網路安全技術 第一章 安全性資訊系統簡介  上一頁     

 

1-6 網路的安全性

內容:

  • 1-6-1 防火牆與入侵偵測

  • 1-6-2 虛擬私有網路架構

開放式網際網路有其方便性,但也存在許多危險性,任何人都可以利用它來傳輸訊息,並利用它來接收訊息。本質上,網際網路是不安全的,更何況它是屬於國際性的網路環境,攻擊者或竊取者也許會躲在世界上任何一個角落,要去挖掘它或防範它實非易事。

在廣泛的不安全網路上,欲分割或隔離某一領域內私有網路,並能使其具有安全性功能,可由三個方面來思考。第一個思考方向的『防火牆』(Firewall機制,是屬於『點』的安全考量,亦即某一地區網路安全性而言;然而第二思考方向是『虛擬私有網路』(Virtual Private Network, VPN,是屬於『線』的安全考量,乃透過網際網路結合多地區網路的安全考量,最後,再結合『入侵偵測系統』(Intrusion Detection System, IDS)。以下分別介紹這些安全機制。

1-6-1 防火牆與入侵偵測

簡單的說,『防火牆』(Firewall是將不安全性網路與安全性網路之間隔開的一道防護牆;但它絕不是『鐵幕』政策,而必須保持合法性的進出。所謂不安全性的網路,意指允許各方人士任意進出與存取的網路。若我們限制某些訊息的進出,成為可預期掌握及控制的網路,便可稱之為安全性網路。換言之,城牆將包圍著居住的人民,保護居民不受城外盜匪或它國軍隊侵犯,即是將不安全環境裡建構一個安全性較高的居住環境。防火牆即是如同城牆的城門一樣,一方面保持居民進出的方便性,一方面保護居民的安全性,如圖 1-13 所示。

1-13 防火牆架構圖

實現防火牆有:封包過濾器、代理器與網路位址轉譯等三種主要機制,本書第十三章將介紹其原理與製作方法。不幸有攻擊者突破防火牆防範,成功入侵私有網路時,吾人還是需要『入侵偵測』設備將其找出來,以維持私有網路的安全性,第十四章將告訴您偵測方法。

1-6-2 虛擬私有網路架構

當組織單位(或公司行號)分散在各地時,如何將各地區網路結合成一個完整的應用環境,的確是讓許多從事網路工作者頭痛的問題。早期幾乎都向中華電信公司承租專線來連結,但專線價格昂貴並且限制連線範圍。譬如,高雄與台北之間連線採用專線,價錢已非常昂貴,何況是國際間網路承租專線,實非一般單位所能承擔。話說回來,若能利用便宜的網際網路架設私有網路,實在非常方便,其費用無關地理環境。而『虛擬私有網路』(Virtual Private Network, VPN就在此種需求下被發展出來,如圖 1-14 所示。

1-14 虛擬私有網路架構

然而,私有網路內傳輸的資料多半屬於機密性的,如果沒有經過特殊處理便將資料放在網際網路上傳輸,公司內部的資料便會流露於外。又依照 TCP/IP 協定,封包在網際網路上傳送時,必須經過多個路由器的轉送才會到達目的地;當路由器收到一個 IP 封包時,必須拆解才知道應該往何路徑轉送,因此,封包內訊息將被一覽無遺。如何在不安全的網路連線下,建立成『安全性通道』,本書利用第十五、十六與十七章等三個章節,介紹其相關技術與建構方法。

1-7 結論

我們利用這一章將本書的內容作一個簡單的描述,讓讀者可以儘快進入網路安全的領域裡;許多讀者開始研習網路安全時容易被密碼學所擊垮,到底密碼學祇不過是網路安全的一個重要工具而已,因此,本書儘量簡化密碼學的介紹,以更廣闊的空間來介紹其它技術,如果讀者欲更進一步的研究密碼學的話,請另外參考其它書籍 [1, 6, 10, 82, 135, 136]

 

主講人:粘添壽博士

 

資訊與網路安全技術