https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

建構資訊安全第一道防線

2002 / 05 / 28
建構資訊安全第一道防線

文/台灣賽門鐵克


企業在成長過程中,企業網路多半會因應成長而擴展;在擴展的同時也會帶來安全上的風險:企業網路和行動商務基礎設施的擴張,會導致能夠接觸到機密企業資料的存取點變多,每個存取點都可能是安全脆弱處,可能導致非法使用者也能夠進入這些新擴展的網路。要確保企業能夠繼續在安全、高生產力的情況下運作的重要前提,在於必須知道這些存取點的狀況並作適當設定,以保護企業的智慧財產、商業及私有資產不受駭客、競爭者和電腦惡意破壞者的侵害。
Firewall是什麼?
一般來說,企業內技術上的第一道防線是使用Firewall來保護進出Internet的網路存取,在企業網路和外部網路之間建立起一道屏障,以防護這道邊界的安全,將駭客阻絕於門外。每個Firewall都代表一個單一進入點,所有進入網路的存取行為都會被檢查、並賦予授權及認證。Firewall會根據一套設定好的規則來過濾可疑的網路存取行為,並發出警告。


Firewall的種類
Firewall科技在過去幾年中變化很大,所以企業不管是準備要更新現有的Firewall,或是第一次裝置新的Firewall,都要先知道目前市場上的Firewall種類,及其特定之安全要求。



每一種Firewall,根據其對網路傳輸的處理方式不同,能提供不同程度的安全防護與彈性。以下概述幾種基本的Firewall種類及其所提供的功能:



1. 路由器(Router)



簡單的路由器是一種便宜的安全防護型式。不過,路由器並不能提供完整的安全防護,且缺乏完整企業Firewall所提供的彈性和功能。簡單的路由器是傳統的網路層Firewall,無法做特定複雜的判斷來決定封包的目的地及實際來源。



2. 封包過濾(Packet Filtering)



封包過濾是一種很簡單的Firewall。封包過濾常與路由器結合,且大部分的主要業者都把封包過濾作為內定的組態。這種Firewall會檢查封包的目的地和來源的IP位址、TCP/UDP埠,並根據使用者設定的簡單規則來決定是否接受或拒絕封包。



3. 狀態檢視(Stateful Inspection)



狀態型封包Firewall(有時稱作智慧型封包過濾)使用與封包過濾類似的方法來控制網路傳輸,但會進一步檢查資料封包流的內容,而不只是單純地過濾封包而已。狀態檢視封包Firewall根據封包的來源和目的地
IP 位址、埠號碼及所要求的服務來作判斷過濾。這種Firewall之所以稱作「狀態型」的原因是它們會記住之前的連線狀態,目的是在記憶體中建立每一個資料流中封包的前後關聯。Firewall會根據此前後關聯來檢查每一個新收到的封包,並判斷此封包是新連線或是現有連線的延續。如果是後者,Firewall所進行的檢查動作會比對新連線的檢查少上許多。



這類網路層的Firewall通常比較快,使用者可能甚至不會感覺到有封包檢查動作正在進行,但是簡單也導致此種過濾器的最大缺點:無法辨識出同一台機器上的不同使用者,因為沒有任何一種封包過濾(狀態檢測或是其他種類)在預設組態中能夠進行使用者的認證。如果要作使用者認證,必須另外加上身分認證應用層代理才行。



4. 應用層代理(application proxy)



位於應用層的代理程式是在Firewall上執行的一種軟體,能夠模擬網路連線的來源和目的地兩端。每台電腦跟其他電腦的網路傳輸都必須通過此代理程式,進行資料檢查並檢查連線的合法性,如此一來在檢查資料的過程中能夠有效地將區域網路和Internet隔離開來。代理程式會檢查用戶端電腦送過來的資料,並判斷是否要轉送出去或是丟棄。



每一種不同的網路應用層(如FTP、HTTP、SMTP等)都有其代理程式,模擬其網路協定。因為應用層的Firewall不允許網路之間直接傳輸,所以便可以將通過Firewall的網路傳輸活動作詳細的紀錄和檢查。應用層Firewall所建立的「虛擬連線」會自動將內部用戶端電腦的IP位址隱藏起來,不讓外面的人知曉內部網路的佈置狀況。



選擇Firewall時應該要問的問題
在選擇防火牆時,企業一定要問自己下列問題:



* Firewall必須允許/拒絕的網路協定或應用層網 路傳輸為何?

* Firewall在控制網路傳輸時是否需要作使用者 身份認證 ?

* 如何建立規則?

* 是否可隱藏網址?

* 是否有一個以上的網址,能夠保護網路上數 個web和e-mail伺服器不受攻擊?

* 是否可過濾Java和ActiveX?

* 它如何強化作業系統安全?

* 是否在不影響安全性的情況下處理所有的網
路傳輸活動?

* 是否提供事件紀錄和警告?

* 是否簡單易用?

* 是否支援附加其他的事件報告軟體?

* 是否提供內容阻擋功能?

* 是否具擴充性,以符合未來的需求?

* 是否易於加入遠端的防火牆和行動使用者?

* 是否和市面上其他產品互通?