1、7-1,電子商務安全,委辦單位:教育部顧問室資通安全聯盟 執行單位:國立台灣科技大學管理學院,1-2,課程模組大綱(一),基礎篇 Module 1:電子商務概論 Module 2:電子商務安全技術篇 Module 3:密碼學演算法 Module 4:數位憑證 Module 5:網路與網站安全 Module 6:交易安全 Module 7:系統安全 Module 8:IC卡安全,1-3,課程模組大綱(二),應用與法律篇 Module 9:實務應用案例-電子付款 Module 10:實務應用案例-網路銀行 Module 11:電子商務相關法規進階篇 Module 12:行動商務安全 Module
2、13:電子金融安全控管機制 Module 14:營運安全管理,1-4,1-4,Module 5:網路與網站安全,7-5,學習目的,本模組主要講述有關網路安全基本知識,培養同學對網路安全中身分識別、個體鑑別與金鑰交換協定、 IPSec、防火牆、IDS與IPS等議題的完整概念。此外,針對網站安全,亦將就伺服器安全、網頁安全、隱私保護等方面說明。文中均會針對各項議題提供簡單清晰的基礎概念,提供予初學者的入門知識。,1-6,Module 5:網路與網站安全,Module 5-1:網路安全5-1-1:身分識別5-1-2:個體鑑別與金鑰交換5-1-3:IPSec5-1-4:防火牆5-1-5:IDS與IPS
3、 Module 5-2:網站安全5-2-1:伺服器安全5-2-2:網頁安全5-2-3:隱私保護,1-7,1-7,Module 5-1-1:身分識別,1-8,身分識別,基於使用者知識 只有使用者知道的特定訊息,例如通行碼(password) 、口令、江湖切口等 基於使用者持有物 特殊且很難複製的身分識別物件,例如鑰匙、權杖、Token 卡、 IC卡等 基於使用者生理特徵 使用者獨有且與生俱來的生理特質,例如指紋、掌紋、視網膜紋路等 一個身分識別系統必須結合上述至少兩種方法以上才能達到實務應用之安全需求,1-9,身分識別例子通行碼,通行碼的產生 亂數產生器產生:安全性高但不容易記憶 使用者自行選取
4、:方便性高但容易遭受猜測或破解 通行碼的長度 建議以4至8個字元英數混合為原則 用於安全性要求較高之系統則通行碼長度愈長愈好 通行碼的週期 每隔固定時間週期或有破解之虞時須強制更換 具重要或敏感性質之系統應針對不同的時段設定多重通行碼或單次通行碼(one-time pad passwords) 通行碼的傳遞 應以密文或加密過的形式傳送,以確保其機密性 利用機密分割(knowledge split)的策略,並以不同性質的通訊管道進行傳遞,以分散被截取的風險,1-10,通行碼驗證協定,交談式(interactive)或動態式通行碼 運用於高通訊效率或安全需求較高的系統 利用詰問-回應(challe
5、nge-response)方式或零知識證明(zero-knowledge proofs)協定完成秘密參數確認 多次的詰問-回應方式可以達到強化系統安全性的目的,但需要花費較長的登入與驗證時間 非交談式(non-interactive)或固定式通行碼 運用於中央式的電腦系統及遠端登入的網路系統 可以有效降低使用者與系統連線的通訊成本 可以搭配使用IC卡來增加安全性,1-11,身分識別例子掌形與指紋辨識,http:/perso.orange.fr/fingerchip/biometrics/types/fingerprint.htm,1-12,身分識別例子臉部辨識,http:/ 5-1-2:鑑別與
6、金鑰交換協定,資料來源:台灣科技大學資訊管理所吳宗成教授之密碼學課程教材,1-15,個體鑑別協定(entity authentication),個體定義 終端設備、個人電腦、IC卡、使用者、機構等通稱 鑑別演算法執行方式 單向鑑別(one-way authentication) 某一個體向另一個體證明其身分 雙向鑑別(two-way authentication) 通訊個體彼此證明身分 三向鑑別(three-way authentication) 需在仲裁者或公正第三者的見證之下, 通訊個體彼此證明身分,並存下可供日後解決糾紛的證據,1-16,金鑰交換協定,可交換金鑰之類別 主金鑰(maste
7、r key):長期 公鑰與私鑰對可作為衍生金鑰(derivation key)的母體 密鑰用於儲存加解密 非主金鑰(non-master key)或衍生金鑰:短期 公鑰與私鑰對屬於衍生金鑰,用於個體鑑別、安全通信協定 交談金鑰(session key) 用於傳輸訊息的加解密 所需密碼機制及演算法 對稱式加解密演算法(可保護欲交換金鑰的機密性) 數位簽章演算法或單向湊函數(可證明欲交換金鑰的完整性) 個體鑑別協定(金鑰交換者可彼此鑑別身分) 整合式協定:個體鑑別協定+金鑰交換協定(ISO 9798),1-17,Module 5-1-3:IP安全機制,本模組內容係引用教育部顧問室資通安全聯盟網路安
8、全課程教材之Module 10-IP安全機制,1-18,學習目的,IP安全機制(IPSec,IP Security)旨在提供網路通訊間的安全性。早期的安全性都是建立網路結構的應用層(Application Layer)中,IPSec則是在第三層即網路層利用穿隧(Tunneling)、加解密(Encryption & Decryption)、密鑰管理(Key management)、使用者與設備身份認證技術(Authentication)建立起虛擬私有網路(VPN)的方式提供給遠端使用者做安全連線。 本課程模組主要針對IPSec安全機制及特性、主要架構及金鑰建置與管理作深入解說,使學生能充分了解
9、與應用。,1-19,Module 5-1-3:IP安全機制,Module 5-1-3-1: IP安全機制簡介(*) Module 5-1-3-2: IP安全定義(*) Module 5-1-3-3: IP安全機制架構(*) Module 5-1-3-4: IPSec的金鑰交換(*) Module 5-1-3-5: IPSec的協定(*) Module 5-1-3-6: IPSec的應用(*) Module 5-1-3-7: IPSec的限制(*) Module 5-1-3-8: L2TP/IPSec介紹(*),* 初級(basic):基礎性教材內容 *中級(moderate):教師依據學生的吸
10、收情況,選擇性介紹本節的內容 *高級(advanced):適用於深入研究的內容,1-20,Module 5-1-3-1:IP安全機制簡介(*),1-21,IP安全機制(IPSec,IP Security)用途 IPSec技術 IPSec優點 IPSec的安全服務,IP安全機制簡介,1-22,Module 5-1-3-2:IPSec(IP Security )定義(*),1-23,IPSec(IP Security )定義,IPSec是VPN的一種由IETF(Internet Engineering Task Force)所定義,主要目的提供TCP/IP網路層中(OSI第三層)端點對端點的安全通
11、訊保密機制,在IP網路上透過安全的私密通信來確保傳送、接收資料的: 驗證(Authentication) 保密(Confidentiality) 完整(Integrity) 存取控制(Access Control),1-24,IPSec(IP Security )定義,IPSec 為第三層的穿隧技術,不僅符合現行之IPv4環境,同時也是IPv6的標準,而PPTP與L2TP則均為第二層的穿隧技術,適合在有IP/IPX/AppleTalk等多種協定的環境下使用,IPSec 、PPTP、L2TP三者之比較 參考表1,1-25,表1 網路安全通訊協定差異,1-26,表1 網路安全通訊協定差異(續),1
12、-27,表1 網路安全通訊協定差異(續),1-28,表1 網路安全通訊協定差異(續),附註:IETF制訂中(WIP,WORK IN PROGCESS) 資料來源:修改自Microsoft TechNet,受到保護的MS私密性網路存取:虛擬私人 網路和Intranet安全。,1-29,Module 5-1-3-3:IP安全機制架構 (*),1-30,資料來源:摘自Microsoft TechNet網站,安全的多層式部署。,IP安全機制架構,1-31,資料來源:修改自楊慶隆,IPSec機制探討。,1-32,IPSec的運作方式,資料來源:摘自Microsoft TechNet,網路基礎結構。,1-
13、33,IPSec的運作方式,IPSec的運作需先經過下列二個步驟: 1.初始化二個端點必須建立安全聯結SA(Security Associations) ,此步驟對於如何使用IPSec的方式達成共識,例如選擇何種安全功能、決定加密的演算法、使用金鑰的原則等 2.金鑰交換利用非對稱加密法,讓二個端點各自擁有相同的秘鑰(Secret Key,專指對稱式加密法所用的金鑰),1-34,IPSec的使用模式,傳輸模式(Transport mode) 僅加密或認證上層協定的資料,例如在區域網路中的兩台電腦A與B,可直接建立連線(不必經由路由器或防火牆),且A與B具有處理IPSec封包的能力時,則可使用IP
14、Sec的傳輸模式 通道模式(Tunnel mode) IPSec會加密或認證整個封包,並在最外面再加上一個新的IP表頭,當IPSec連線兩端的電腦有一端或兩端不具處理IPSec封包能力,而必須透過具有IPSec能力的路由器或防火牆來代為處理IPSec封包時,即必須使用通道模式,1-35,資料來源:摘自林宸堂,IPSec VPN的難題:Firewall與NAT的配置。,傳輸模式及通道模式,1-36,傳輸模式(Transport mode),資料來源:摘自Microsoft TechNet,How To:使用 IPSec 提供二個伺服器之間 的安全通訊。,1-37,通道模式(Tunnel mode
15、):,資料來源:摘自楊慶隆,IPSec機制探討。,1-38,Module 5-1-3-4: IPSec的金鑰交換(*),1-39,IPSec的金鑰交換,運用IPSec 的實體兩端必須使用一組相對的加密與解密金鑰才能正常運作,金鑰交換協定即負責建立實體兩端的安全聯結與交換金鑰。,1-40,建立安全聯結(Security Association,SA),定義聯結的相關訊息參數 安全聯結的特質,1-41,安全聯結中三個最重要的參數,1.SPI安全係數索引。2.安全協定ID。3.IP目的位址。,1-41,1-42,金鑰管理,在建立連線及後續的加密傳輸過程中,若反覆使用同一把秘鑰較容易被破解,為提高安全
16、性秘鑰每隔一段時間便會重新建立,這種秘鑰就稱為階段金鑰或工作金鑰(Session Key) ,所以安全聯結會定時重新協調,而運作所需之金鑰管控及傳送,則必須要有管理的機制,1-43,IP安全金鑰管理目前主要的規範,SKIP(Simple Key-management for IP) ISAKMP/Oakley/IKE(Internet Security Association Key Management Protocol /Oakley/Internet Key Exchange) IBM的標準密鑰管理協議(MKMP) Phil Karn的Photuris密鑰管理協議 Hugo Krawcz
17、ik的安全密鑰交換機制(SKEME),1-44,SKIP Diffie-Hellman金鑰交換法,雙方先以非對稱式加密法來交換彼此的公鑰 再以對方的公鑰與自己的私鑰,運算求得一把共同的秘鑰 利用秘鑰以對稱式加密法,來進行加密或認證的動作,1-45,資料來源:摘自楊慶隆,IPSec機制探討。,1-46,ISAKMP(RFC 2408),定義訊息詳細的格式,規範安全聯結SA的建立步驟。定義一組金鑰交換時所用的IP資料封包格式與封包處理程序及原則。定義可以適用在不同的金鑰交換演算法中。須配合一套安全保密定義系統DOI (Domain of Interpretation)實作。,1-47,Oakley
18、(RFC 2412),為一組擷取Deffie-Hellman演算法精神的金鑰交換演算法,可適用在IPSec與其它安全保密通訊系統,演算法本身沒有定義金鑰或金鑰交換訊息本身的格式,只定義必需的基本資料、交換模式與其交換步驟,包含:是否使用AH,是否使用 ESP,AH採用哪一種演算法,ESP 採用哪一種演算法等。僅規定金鑰交換的方法,1-48,Oakley與Diffie-Hellman比較,1.使用cookies的機制用來避免 clogging attack 2.允許交換金匙的雙方協調使用一個群組的參數,可以指定不同的Diffie-Hellman中的共同參數 3.採用nonce的機制來避免重複攻擊
19、 (replay-attack)。 4.允許交換Diffie-Hellman的公開金鑰 5.對於要交換金鑰的雙方可以做身份驗 證,避免man-in-the-middle-attack,1-49,Oakley的三個Mode,Oakley提供3個Mode來建立ISAKMP SA Main modeISAKMP phase 1的模式 Aggressive mode 另一種ISAKMP phase 1的模式較簡單、 快速、無身分鑑別(identity) Quick mode ISAKMP phase 2的模式,1-50,Phase 1(Main Mode),資料來源:摘自Abhishek Singh,
20、Demystifying IPSec VPNs。,1-51,Phase 1(Aggressive Mode),資料來源:摘自Abhishek Singh,Demystifying IPSec VPNs。,1-52,Phase 2(Quick Mode),資料來源:摘自Abhishek Singh,Demystifying IPSec VPNs。,1-53,IKE(RFC 2049) IKE為IETF定義的金鑰交換通訊協定,此種通訊協定實作OAKLEY演算法的三種模式,並採用ISAKMP所定義的資料封包交換格式與封包處理程序及原則。,資料來源:摘自HP Technical documentati
21、on,Internet Key Exchange (IKE)。,1-54,IKE的兩個階段(Phase) Phase 1 通訊雙方建立起一個安全通道來得到ISAKMP SA。Phase 2 通訊雙方在協商(negotiate)後建立一個有一般目的(general-purpose)的或新的SA(假設已存在一個SA) 。,1-55,Module 5-1-3-5:IPSec的協定(*),1-56,AH認證表頭(Authentication Header) 提供封包鑑別的功能,確保IP封包的 完整性(在傳送途中未曾遭篡改)。 確認IP封包發送者的身份,IP,AH,TCP,GET /,簽 章,IPSec
22、的協定,1-57,AH標準(IP Protocol 33),新的 IP Header,原始 IP Header,AH Header,驗證(Authentication) / 完整(Integrity),1-58,AH封包格式,1-59,Next Header(8 bits) 定義AH後面資料的類型 Payload len(8 bits) 認證資料欄位的長度 RESERVED(16 bits) 保留位元,1-60,SPI (Security Parameter Index, 32 bits),指明通訊的兩端事先約定所採用的加 密或身分驗證之演算法與其他參數 識別碼、目的位址和轉換格式(此為AH
23、轉換)決定唯一一個安全參數組合SA(Security Association) Sequence Number Field(32 bits) 為嚴格遞增函數用來去除資料封包在傳遞時產生的錯誤以及防止重送攻擊 Authentication Data(任意長度),1-61,AH演算法,AH支援HMAC-MD5-96與HMAC-SHA-1-9兩種HMAC(雜湊訊息確認碼)演算法HMAC可視為雜湊函數與對稱式加密法的結合,雜湊函數運算速度較快,但較不安全;對稱式加密法運算較速度較慢,但較為安全,HMAC則兼具了雜湊函數與對稱式加密法的優點,運算速度較快,且安全性也很高,1-62,HMAC運作原理,1-
24、63,AH認證步驟,1.傳送端與接收端經由金鑰交換協定, 讓雙方各自有一把相同的工作金鑰 Ks。 2.傳送端利用Ks計算封包資料的ICV,然 後將ICV附在封包內的AH表頭中,一起 送給接收端。 3.接收端利用Ks計算封包資料的ICV, 然後與傳送端附在封包內的ICV相互 比對,若兩者不同代表這個封包有問 題,若兩者相同即完成封包確認,1-64,AH傳輸模式與通道模式,原始的IP標頭 (IP Header),IP裝載資料 (IP Payload),IP datagram AH-傳輸模式AH-通道模式,1-65,ESP驗證,ESP檔頭,ESP資料封裝加密(Encapsulating Securi
25、ty Payload) 主要提供加密的功能,可選擇性加上認證 鑑別功能。,IP,應用程式資料,ESP檔尾,簽 章,加 密,1-66,ESP標準: (IP Protocol 32),新的 IP Header,原始 IP Header,ESP Header,驗證(Authentication) / 完整(Integrity),加密(Encrypted),1-67,ESP封包格式,1-68,Security Parameters Index:用來識 別安全聯結。 Sequence Number(32個位元):IP封 包序號,可用來防止重送攻擊。 Payload Data(長度不定):指封包所 負載的
26、資料,內容包括上層協定的表 頭,以及實際要傳送的資料。,1-69, Padding(0至255個位元組):這個欄 位必須特殊,目的是為了將Payload Data補足一定的長度,以符合加密法 對區塊的要求。 Pad Length(8個位元):用來記載 padding的長度。,1-70, Next Header(8個位元):記載後續表 頭的類型。 Authentication Data(長度不定):用 來記載ICV。,1-71,ESP演算法,1.支援之加密(Encryption)演算法: AES/3DES/DES/RC5/IDEA/3IDEA /CAST等。 2.支援之雜湊(Hash)演算法:S
27、HA1/MD5等。,1-72,ESP認證步驟1.ESP可選擇性地加上認證功能,使用 時,ESP會先加密封包,再計算封包 的ICV。 2.然後在封包最後面加上一個認證欄 位,用來儲存ICV,也就是說ICV並 未加密。 3.接收端收到封包後,先進行比對ICV 值,確認無誤後再將封包解密。,1-73,ESP傳輸模式與通道模式,IP裝載資料 (IP Payload),原始的IP標頭 (IP Header),ESP標頭 (ESP Header),ESP Trailer,ESP 認証 (ESP Authentication),加密,認證,ESP-傳輸模式(只有一個IP標頭),ESP-通道模式(有兩個IP標
28、頭),IP裝載資料 (IP Payload),新的IP標頭 (New IP Header),ESP標頭 (ESP Header),ESP Trailer,ESP 認証 (ESP Auth.),加密,認證,原始的IP標頭 (IP Header),資料來源:摘自楊慶隆,IPSec機制探討。,1-74,AH及ESP的結合使用,IP裝載資料 (IP Payload),原始的IP標頭 (IP Header),AH,ESP Trailer,加密,先加密再認證,先認證再加密,IP裝載資料 (IP Payload),新的IP標頭 (New IP Header),ESP標頭 (ESP Header),ESP T
29、railer,原始的IP標頭 (IP Header),ESP標頭 (ESP Header),認證,傳送模式,IP裝載資料 (IP Payload),原始的IP標頭 (IP Header),AH,ESP Trailer,加密,ESP標頭 (ESP Header),認證,隧道模式,新的IP標頭 (New IP Header),AH,認証,加密,資料來源:摘自楊慶隆,IPSec機制探討。,1-75,Module 5-1-3-6:IPSec的應用(*),1-76,IPSec的主要用途是在網路層建立安全的通訊管道,其主要應用可分為三類: 1.建立區域網路內部的安全通訊。 2.區域網路之間透過網際網路在安
30、全環 境下傳輸資料。 3.個人電腦經由網際網路連線至區域做 遠端存取。,IPSec的應用,1-77,Module 5-1-3-7:IPSec的限制(*),1-78,支援之通訊協定較少 需安裝設定用戶端軟體、可攜性較低 遠端用戶如位於防火牆後方則防火牆 需特別設定 無法辨識用戶端的真正使用者 不同廠家之軟體間相容性低 在NAT環境下運作受限,IPSec的限制,1-79,IPSec在NAT環境下的運作方式: 先IPSec再NAT,資料來源:摘自林宸堂,IPSec VPN的難題:Firewall與NAT的配置。,1-80,依IPSec的運作模式及使用協定再區分,IPSec-AH + NAT IPSe
31、c-ESP-Transport + NAT IPSec-ESP-Tunnel + NAT,1-81,先NAT再IPSec,封包傳送前先進行NAT的Source IP/Port轉換,再做IPSec加密封裝,因NAT已經先完成所有封包轉換的工作,所以IPSec,資料來源:摘自林宸堂,IPSec VPN的難題:Firewall與NAT的配置。,1-82,任何加密或是資料完整性檢查皆不受影響,缺點為IPSec Device可能無法得知在NAT後方真正的封包來源,1-83,Module 5-1-3-8:L2TP/IPSec介紹(*),1-84,1.L2TP (Layer Two Tunneling Pr
32、otocol/IPSec)(亦稱L2TP/IPSec) 是使用PPP使用者身分驗證及IP安全性 (IPSec)的加密機制來封裝及加密,支 援IP、IPX及NetBEUI 等通訊協定,用 於做遠端存取通訊協定時可跨越NAT 2.使用憑證型態的電腦身分驗證機制來 建立安全及經加密的通道(IPSec),L2TP/IPSec介紹,1-85,3.可提供使用者驗證,使用PPP 型態的 使用者驗證機制來建立L2TP通道。 4.L2TP/IPSec不但能保有資料的完整性 ,亦能針對各封包進行資料驗證。 5.L2TP/IPSec必需要建置公開金鑰基礎 建設(PKI ),將電腦憑證配置給 VPN 伺服器及VPN用
33、戶端。,1-86,L2TP在IP網路上的控制訊息是使用UDP ,來作為通道維護與通道資料,而連線的加密是由IPSec ESP承載傳送。,資料來源:摘自Microsoft TechNet,虛擬私人網路。,1-87,L2TP/IPSec資料通道封裝 1. L2TP封裝:PPP承載資料經過加密,並加入PPP標頭及L2TP標頭後加以封裝 2. UDP封裝:已封裝的L2TP封包會再加入內含將來源與目的地埠設為1701的UDP標頭並再加以封裝。 3. IPSec封裝:系統會使用IPSec ESP標頭與檔尾以及IPSec Authentication(Auth)檔尾來將UDP訊息加密並封裝。,1-88,4.
34、 IP封裝:系統在IPSec封包中加入最終的IP標頭,其中包含VPN用戶端與VPN伺服器的來源IP以及目的地IP。 5. 資料連結層的封裝:為了要在LAN或是WAN連結上傳送IP資料封包,系統最後會將IP資料封包再加入實體傳輸介面的資料連接層的標頭與檔尾,並加以封裝。,1-89,完成封裝的L2TP IPSec 資料通道封包,資料來源:摘自Microsoft TechNet,第二層通道通訊協定。,1-90,L2TP/IPSec通道資料的解除封裝: 1. 在接收到L2TP/IPSec通道資料後,L2TP用戶端或L2TP伺服器會處理並移除資料連接標頭與檔尾。 2. 處理並移除IP標頭。 3. 使用I
35、PSec ESP Auth檔尾來驗證IP負載(Payload)及IPSec ESP標頭。,1-91,4. IPSec ESP標頭將封包加密部分解密。 5. 處理UDP標頭並將L2TP封包傳送給L2TP 6. L2TP使用L2TP標頭中的Tunnel ID以及 Call ID來識別特定的L2TP通道。 7. 使用PPP標頭來識別PPP負載,並將負載轉送至適當的通訊協定驅動程式,以進行進一步的處理。,1-92,1. 楊慶隆,從密碼技術談資訊安全,國立東華大學資工系簡報。 2. 網際網路通訊協定安全性 (IPSec)。Microsoft TechNet網站, http:/ zh-cht/librar
36、y/ServerHelp/cef71791-bcf2-4f0f-9a56-db1682cf8a24.mspx 3. 利用 IPSec 及群組原則進行伺服器與網域隔離。Microsoft TechNet網站, http:/ architectureanddesign/IPSec/default.mspx 4. 賴榮樞,網路層的護身符(上):IPSec 簡介,Microsoft TechNet網站, http:/ 5. 賴榮樞,網路層的護身符(下):IPSec協定與應用,Microsoft TechNet網站, http:/ 6. Abhishek Singh,Demystifying IPSec
37、 VPNs, http:/ Demystifying_IPSec_VPNs.pdf 7. 楊慶隆,民88,“IPSec機制探討”,網路通訊。,參考文獻,1-93,8. Robichaux,談安全性,Microsoft TechNet網站, http:/ security/ro05800.aspx 9. 樂家富,民93,”漫談IPSec(The Internet Protocol Security Standard)及SSL(Secure Sockets Layer)VPN”,電腦科技雜誌,第87期。 10.受到保護的MS私密性網路存取:虛擬私人網路和Intranet安全。 Microsoft
38、TechNet網站,http:/ itsolutions/network/security/msppna.aspx 11. 林宸堂,IPSec VPN的難題:Firewall與NAT的配置,資策會網路通訊實驗室, http:/www.iii.org.tw/ncl/document/IPSecVPN.htm 12. 安全的多層式部署。Microsoft TechNet網站, http:/ maintain/sp3sec03.aspx 13. Internet Key Exchange (IKE)。HP Technical documentation, http:/ 14. 第二層通道通訊協定,M
39、icrosoft TechNet網站, http:/ zh-cht/library/ServerHelp/977aa0c6-00f9-4303-8fbc-1a586847a247.mspx,1-94,1-94,Module 5-1-4: 防火牆,1-95,Module 5-1-4: 防火牆,本模組內容係引用教育部顧問室資通安全聯盟網路安全課程教材之Module 8-防火牆,1-96,學習目的,防火牆是一種用來控制網路存取的設備,並阻絕所有不允許放行的流量,防火牆通常會提供許多精細的組態設定等級。可以設定成依據服務、來源或目標的IP位址、要求服務的使用者識別碼等,做為流量過濾的基礎。 防火牆基本
40、上可以分為應用層防火牆(application layer)和封包過濾型防火牆(packet filtering)兩種。這兩種防火牆各自提供不同的功能,如果能妥善設定相關組態設定,都可以達到阻斷不符合安全需求的不正常流量。,1-97,本課程模組將引領學生了解各類防火牆的運作原理,組態設定及防火牆規則設計,使其發揮安全防護的功能,讓防火牆的警示系統及時地提供防火牆重要的事件訊息給相關的系統安全人員。 本模組共有三個小節包括(1)防火牆簡介(2) iptables(3) FireStarter(4)專案實作,共須三個鐘點。,1-98,Module 5-1-4:防火牆,Module 5-1-4-1:
41、防火牆簡介(*) Module 5-1-4-2:iptables(*) Module 5-1-4-3:FireStarter(*) Module 5-1-4-4:專案實作(*),* 初級(basic):基礎性教材內容 *中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容 *高級(advanced):適用於深入研究的內容,1-99,Module 5-1-4-1:防火牆簡介(*),1-100,Module 5-1-4-1 :防火牆簡介,防火牆通常是由一組軟硬體所組成,基本上是由一台主機,包含作業系統及安裝防火牆應用軟體而構成,通常建置於網際網路與內部網路之間,作為內部與外部溝通
42、與管制的橋樑。 防火牆的原理,就是利用預先設定的規則,對遠端連接的封包進行檢查,符合規則的就允許通過,否則便進行阻止。,1-101,防火牆的作用,過濾、過濾再過濾,1-102,防火牆過濾、控制哪些東西,Service control determine types of Internet services, in/out bound. Used in most FW Direction control determine the direction a service can allow to flow thru User control which user is allowed to ac
43、cess Behavior control control how a service is used,1-103,防火牆做不到的事,無法防止防火牆自己內部的不法行為 無法管理不經過防火牆的連線 無法防範全新的威脅 無法防範病毒,1-104,防火牆的組成架構分類,硬體防火牆量身定制的硬體(ASIC)量身設計的作業系統EX:Netscreen(screen os) 軟體防火牆通用架構的PC硬體Unix或是windows系列的通用作業系統EX:Checkpoint(unix,windows) 運作平台提供最佳化過的硬體平台(模組化設計)運作專屬的作業系統EX:Crossbeam(X-Series
44、Operating System (XOS),1-105,軟硬體防火牆的差異,Hardware firewall強調高效能,實用性,處理速度。 Software firewall設定較為彈性,可自行微調,近代作業系統多有內建各自的軟體防火牆。硬體防火牆的內部實際上也是靠軟體在運作。,1-106,防火牆的歷史(技術)發展,依類型分類: 封包過濾防火牆packet filter 代理防火牆proxy(gateway) 依發展時間分類: 封包過濾packet filter 電路層代理circuit-level proxy 應用層代理application-layer proxy 動態封包過濾dyna
45、mic(stateful) packet filter 狀態檢測statefulinspection,1-107,防火牆的歷史(技術)發展,1-108,封包過濾式(第一代)packet filter,針對IP封包的表頭欄位與管理者制定的規則進行過濾,1-109,電路層代理(第二代)circuit-level proxy,在Session層上建立兩邊的TCP連線ex:socks,1-110,應用層代理(第三代) application-layer proxy,在應用層上建立兩邊的TCP連線ex:squid,1-111,動態封包過濾(第四代前身) Dynamic (stateful) packet
46、 filter,具keep state能力的防火牆,能只讓屬於正常且已記錄的連線封包進入受保護的網路。 WINXP ICF LINUX iptables BSD ipfilter,1-112,動態封包過濾(第四代前身) dynamic (stateful) packet filter,1-113,狀態檢測(第四代) statefulinspection,1-114,狀態檢測(第四代) statefulinspection,Checkpoint FireWall-1(invented and patented) Cisco pix Netscreen 目前一些防火牆大廠宣稱有此功能,1-115,一般TCP 正常連線,TCP threeway handshake,1-116,封包過濾阻止TCP連線,過濾SYN封包以阻止SYN連線,1-117,進階封包過濾,能夠重組封包,對內容進行辨識與處理 能夠進行所謂的content security 能夠分辨不同protocol的內容,如www,email 可以配合網路防毒軟體的運作 可以針對網頁內容進行過濾 缺點:需強大的硬體效能及昂貴的軟體 EX:Checkpoint Firewll配合CVP server,
