網路規劃與管理技術第 九章 防火牆規劃與管理     下一頁

第九章 防火牆規劃與管理

 

9-1 網路安全簡介

內容:

9-1-1 私有網路安全建置

私有網路』(Private Network)係指一般區域性網路,其範圍可能是組織單位、公司行號、學校、乃至個人的網路系統;應用範圍則涵蓋電子化辦公室、電子化生產系統、行銷系統、或某種特殊目的所構成的網路。基本上,私有網路是組織內獨立網路系統,所傳輸訊息亦較屬機密性,大多不希望讓外人窺視。隨著組織營運規模的擴充,大多需要與外部其他公司資訊系統互相通訊,因此獨立性的私有網路已漸不符所需。更進一步,也許需要提供內部訊息讓其他相關行業存取,或透過網路從事商業性行為,如此一來,內部機密性訊息可能暴露到組織外。

公眾網路』(Public Network)提供許多私有網路之間的溝通橋樑,其構成可區分為兩大部份,一者是建設基礎線路的電信公司,稱之為『網路服務提供者』(Network Service Provider, NSP),譬如,中華電信公司、速博公司等等。另一者是提供網路服務的公司,稱之為『網際網路服務提供者』(Internet Service Provider, ISP),譬如,HiNetTANetSeedNet等等。NSP 公司主要提供數據傳輸專線、ADSL 連線、或國際衛星線路,經由這些連線可以擴展到任何地區,亦稱為『廣域網路』(Wide Area Network, WAN)。ISP 公司向 NSP 公司承租各種傳輸線路,將各地區網路結合一個穩定性較高的網路系統,並提供各種網路服務,如網頁空間、郵件系統、主機代理等服務。因此,習慣上將 ISP 所建構的網路稱為『大都會網路』MAN)。一般私有網路公司可向 NSP 公司承租線路,加入 ISP 網路下的成員,再透過 ISP 網路連接之後,即可將訊息傳送到全世界任何角落上。由此可見,Internet 網路是由獨立性的私有網路與公眾網路所構成,然而公眾網路是結合全球各地的 ISP NSP 網路而成。圖 9-1 Internet 網路系統的概念圖,其中 MNT P ISP 所建構的大都會網路,至於 ISP 網路之間則透過 NSP 公司的數據傳輸線路來相互連接;私有網路可以向 NSP 公司承租專線或 ADSL 連線,連接到 ISP 公司的網路上,成為 ISP 網路下的成員。因此,私有網路透過公眾網路連接之後,便可通行於全世界。

 

9-1 私有網路與公眾網路

如何確保私有網路的安全?可由『點』與『線』兩個方向來思考。『點』表示確保某一區域性私有網路的安全;『線』表示如何透過公眾網路結合多個私有網路,並確保之間通訊的安全。前者大多仰賴一個『防火牆』(Firewall作為私有網路與公眾網路之間的隔離措施,它可以是一部主機電腦或一套網路設施;後者須建立一套『虛擬私有網路』(Virtual Private Network, VPN),本章與下一章將分別介紹其網路規劃與建置。

9-1-2 防火牆簡介

(A) 何謂防火牆

何謂『防火牆』(Firewall 這是初學者最迫切想知道的答案,如果從字面來解釋,好像是防止火災氾濫,建構一道堅固如銅牆鐵壁般的隔離措施。其實這樣解釋並不能完全表現出防火牆的功能,倒比較像古代的護城牆。護城牆保護著城內的居民免受外敵侵犯(如秦始皇所建的萬里長城),它除了阻擋外敵侵犯外,還必須維持城內和城外居民進出暢通,因此必須設有進出城門。有了城牆與城門之後,如何管制人民的進出?如何限制城內外人民的通訊方式?如何防範敵人偽裝混入城內從事破壞的工作?如何偵測出偽裝入城的敵人?以及如何恢復入侵敵人的破壞?以上等等便是『防火牆』所涵蓋的安全措施。

簡單的說,防火牆好比是城門的防護措施,如果防護太過嚴密(甚至關閉城門),便會失去建構網路的目的;但過於鬆散,易使內部資料暴露於外人之手,其間實難取捨。一般就安全措施的鬆緊度而言,主要依照私有網路的『安全政策』(Security Policy而定,並沒有一定的標準。

 

9-2 防火牆的功能

(B) 防火牆措施

為了管制封包進出,一般建構防火牆有以下三大措施:

1.      『封包過濾』(Packet Filter):依照封包的型態或內容來過濾它是否可以進出私有網路。過濾封包並不能保證完全防止入侵,許多入侵者都會偽造封包來矇騙封包過濾器。再者,過濾封包的原則也很容易產生漏洞,讓入侵者有機可乘。

2.      『代理機制』(Proxy Firewall):進入或外出的封包並不直接通過防火牆,而是由某一個代理伺服器(Proxy Server)來完成客戶端的要求,再轉傳給客戶端。代理程式可以檢視封包內的『內容』(Content),並決定是否給予轉送(過濾功能)。

3.      『網路位址轉譯』(Network Address Translation, NAT:其功能是隱藏內部網路位址。將內部私有網路位址轉譯到外部的合法位址,便可隱藏內部伺服器的真正位址,免除成為外部攻擊者的攻擊目標。

雖然 NAT 位址轉譯著重於隱藏內部網路,對於管制封包進出功能還是需仰賴封包過濾器與代理機制,如圖 9-3 所示。

 

9-3 封包過濾/代理功能

翻轉工作室:粘添壽

 

網路規劃與管理技術:

 

 

翻轉電子書系列: