網(wǎng)路安全管理及防火墻

第五章

網(wǎng)路安全管理及防火牆

摘要本章探討網(wǎng)際網(wǎng)路的安全問題，包括安全的作業(yè)系統(tǒng)、IP與電子郵件等主題。並介紹網(wǎng)路防火牆的基本概念與安全防火牆的組成元件，說明封包過濾器（PacketFilter）和應(yīng)用閘道（ApplicationGateway）等技術(shù)。3/28/20232目錄5.1網(wǎng)際網(wǎng)路安全5.2安全的作業(yè)系統(tǒng)5.3安全的IP5.4安全的電子郵件5.5安全的網(wǎng)際網(wǎng)路服務(wù)5.6防火牆5.7代理服務(wù)的建置5.8防火牆的代價(jià)5.9建立安全的防火牆3/28/202335.1網(wǎng)際網(wǎng)路安全連結(jié)上網(wǎng)際網(wǎng)路對資訊的存取有無數(shù)的優(yōu)點(diǎn)，但是對於低安全考量的主機(jī)，冒然連上網(wǎng)際網(wǎng)路就不一定是好處了，將未妥善保護(hù)的私有網(wǎng)路暴露於公眾網(wǎng)路上，所引發(fā)的安全威脅是難以預(yù)測的。

3/28/202345.1.1

TCP/IP通訊協(xié)定3/28/20235Cont..一、應(yīng)用層（ApplicationLayer）

是一些高層協(xié)定組成，直接支援使用者溝通介面，或者提供應(yīng)用程式間溝通的協(xié)定。二、傳輸層（TransportLayer）由傳輸控制協(xié)定（TransmissionControlProtocol，簡稱TCP）、使用者資料流協(xié)定（UserDatagramProtocol，簡稱UDP）組成，提供主機(jī)間的資料傳送服務(wù)，並且確定資料已被送達(dá)並接收。TCP：此協(xié)定適用於可信賴及無錯(cuò)誤的傳輸環(huán)境，應(yīng)用彼此之間的訊息傳送。

UDP：是一種非連結(jié)(Connectionless)協(xié)定，在沒有額外的流量控制、可靠性(Reliability)及錯(cuò)誤回復(fù)的考量下，允許基本的資料交換。

3/28/20236Cont..三、網(wǎng)際層（InternetLayer）

網(wǎng)際層由網(wǎng)際網(wǎng)路協(xié)定（InternetProtocol，簡稱IP）和網(wǎng)際網(wǎng)路控制訊息協(xié)定（InternetControlMessageProtocol，簡稱ICMP）組成，負(fù)責(zé)安排資料封包的傳送，讓每一個(gè)封包都能順利傳送到達(dá)目的端主機(jī)。

四、網(wǎng)路介面層（NetworkInterfaceLayer）網(wǎng)路介面層負(fù)責(zé)提供實(shí)質(zhì)網(wǎng)路媒體的驅(qū)動程式，定義如何使用網(wǎng)路實(shí)體來傳送資料。3/28/202375.1.2利用TCP/IP傳送訊息TCP負(fù)責(zé)將訊息切割成適合傳送的小塊資料包（Datagram），在遠(yuǎn)端主機(jī)重新按順序組合起資料包，並且要負(fù)責(zé)重送遺失的資料包。

IP負(fù)責(zé)為資料包找到一條可達(dá)接收端主機(jī)的適當(dāng)路徑。

3/28/20238一、TCP資料頭格式3/28/20239二、IP資料頭格式3/28/202310三、Ethernet資料頭格式3/28/2023115.1.3網(wǎng)際網(wǎng)路服務(wù)與協(xié)定SMTP：簡易電子郵件傳輸協(xié)定，用於電子郵件的發(fā)送和接收。TELNET：遠(yuǎn)端(Remote)登入?yún)f(xié)定，用於連接並登入遠(yuǎn)端主機(jī)系統(tǒng)，讓使用者可由遠(yuǎn)端登入網(wǎng)路的主機(jī)，使用其資源。FTP：檔案傳輸協(xié)定，用來處理網(wǎng)路上檔案的傳送和儲存，使用者透過FTP可在網(wǎng)路上的兩部主機(jī)間進(jìn)行檔案傳輸。

3/28/202312Cont..DNS：網(wǎng)域名稱伺服器，提供給TELNET、FTP與其它服務(wù)使用，將主機(jī)名稱轉(zhuǎn)換成IP位址。SNMP：簡易網(wǎng)路管理協(xié)定，使用者透過SNMP可管理網(wǎng)路上的主機(jī)系統(tǒng)。3/28/202313Cont..3/28/2023145.1.4網(wǎng)際網(wǎng)路安全架構(gòu)

3/28/2023155.2安全的作業(yè)系統(tǒng)本節(jié)將探討作業(yè)系統(tǒng)（OperatingSystem）在網(wǎng)路安全中扮演的角色及其重要性。網(wǎng)路安全是植基於安全的作業(yè)系統(tǒng)上，不安全的作業(yè)系統(tǒng)可能將系統(tǒng)內(nèi)部的資源暴露給侵入者，或提供蓄意破壞者入侵的管道。任何用來保護(hù)網(wǎng)路安全的方法，多少都會用到作業(yè)系統(tǒng)提供的各種服務(wù)。3/28/2023165.2.1美國受信賴電腦系統(tǒng)評量標(biāo)準(zhǔn)TCSEC將電腦系統(tǒng)的安全性由高而低劃分為A、B、C、D四大等級，並且較高等級的安全範(fàn)疇涵蓋較低等級的安全範(fàn)疇，每一等級的系統(tǒng)有不同的安全條件、基準(zhǔn)、規(guī)則必須要滿足。

3/28/202317評量基準(zhǔn)TCSEC的評量基準(zhǔn)分成四大類：安全性策略（SecurityPolicy）：

帳戶辨識記錄能力（Accountability）：

可靠度（Assurance）：

說明文件（Documentation）：

3/28/202318安全等級TCSEC將電腦系統(tǒng)的安全性由高而低劃分為A、B、C、D四大等級：

Ａ等級：可驗(yàn)證之保護(hù)(VerifiedProtection)。

Ｂ等級：強(qiáng)制式保護(hù)(MandatoryProtection)。

Ｃ等級：自定式保護(hù)(DiscretionaryProtection)。

Ｄ等級：最低保護(hù)(MinimalProtection)。

3/28/2023195.2.2歐洲資訊技術(shù)安全評量標(biāo)準(zhǔn)歐洲共同體在1991年出版資訊技術(shù)安全評量標(biāo)準(zhǔn)（InformationTechnologySecurityEvaluationCriteria，簡稱ITSEC）

ITSEC也規(guī)範(fàn)七個(gè)安全等級，大致分別對應(yīng)到TCSEC的七個(gè)等級（A、B3、B2、B1、C2、C1及D）。

3/28/2023205.3安全的IP從網(wǎng)路安全的觀點(diǎn)來考量，IP協(xié)定並不保證資料封包的來源位址的確實(shí)性，因?yàn)閬碓次恢房赡芤言趥鬏斶^程中被路徑上的中間節(jié)點(diǎn)篡改，或者原始主機(jī)並未填入正確的IP位址。

常見的攻擊方式是：企圖攻擊的主機(jī)可能冒用某一合法主機(jī)的位址來傳輸資料，藉以誤導(dǎo)目的地主機(jī)。這類型的攻擊稱為來源位址欺騙攻擊（SourceAddressSpoofingAttack）。3/28/202321Cont..IP層的網(wǎng)路安全技術(shù)，包括IPAH(AuthenticationHeader)及IPESP(EncapsulatingSecurePayload)等方法。IPAH：確保資料的真確性（Integrity）和鑑別（Authentication），但無法作到資料保密。

IPESP：可確保資料的隱密性（Confidentiality）、真確性和鑑別性。

3/28/2023225.3.1安全聯(lián)合（SecurityAssociation）安全聯(lián)合負(fù)責(zé)協(xié)調(diào)兩個(gè)通訊實(shí)體之間所使用的安全機(jī)制，每一安全聯(lián)合會有一個(gè)安全參數(shù)索引（SecureParameterIndex，簡稱SPI）與目的地位址，可用來識別其唯一性。

3/28/202323Cont..一般而言，安全聯(lián)合包括下列重要資訊。

用來提供IPAH鑑別的鑑別演算法與模式，以及鑑別演算法的金鑰。用來提供IPESP的加密演算法、模式與加密金鑰，以及與加密演算法有關(guān)的相關(guān)資訊。金鑰與安全聯(lián)合的生命週期。安全聯(lián)合的來源位址。隱密性資料的敏感程度（極機(jī)密、機(jī)密、非機(jī)密等）。3/28/2023245.3.2

IPAH方法IPAH方法讓兩個(gè)或多個(gè)支援IPAH的主機(jī)與閘道（Gateway）之間的安全有保障。在此閘道是指介於可信賴的私有網(wǎng)路與不可信賴的公眾網(wǎng)路之間的設(shè)備及軟體，用來提供通訊的管道。雖然IPAH可確保資料的真確性並提供鑑別，但卻無法作到資料保密。

3/28/2023255.3.3

IPESP方法IPESP方法可確保資料的隱密性，並可選擇附加資料真確性與資料鑑別性等更功能。

如圖6.4所示IPESP技術(shù)是將大部份的ESP資料加密，然後在加密過的資料前加上一明文的資料頭I，此資料頭I是用來決定資料封包在網(wǎng)路上的傳遞路徑。3/28/202326Cont..3/28/202327Cont..一般IPESP協(xié)定的運(yùn)作可分成兩種模式：隧道式（Tunnel-mode）運(yùn)輸式（Transport-mode）3/28/2023285.4安全的電子郵件電子郵件是網(wǎng)際網(wǎng)路最普遍的應(yīng)用之一，為了確保通訊安全，電子郵件應(yīng)用應(yīng)考量保護(hù)其內(nèi)容的安全性與提供訊息鑑別的功能。

3/28/2023295.4.1電子郵件的安全需求一般電子郵件的安全必須考量下列的安全需求：隱密性（Confidentiality）資料來源鑑別（DataOriginAuthentication）訊息真確性（MessageIntegrity）不可否認(rèn)性（Nonrepudiation）3/28/2023305.4.2PEM郵件技術(shù)PEM是一種應(yīng)用廣泛的電子郵件安全防護(hù)標(biāo)準(zhǔn)，規(guī)範(fàn)訊息來源鑑別、真確性與加解密的過程，一般與簡易電子郵件傳輸協(xié)定（SMTP）結(jié)合使用。

3/28/202331Cont..(訊息型式)因應(yīng)各種電子郵件的安全需求，PEM採用訊息真確性查核（MessageIntegrityCheck，簡稱）技術(shù)並提供三種不同的訊息型式：MIC-Clear：

MIC-Only：

MIC-Encrypted：

3/28/202332Cont..PEM訊息處理包括下列四個(gè)步驟：

標(biāo)準(zhǔn)化（Canonicalization）

訊息真確性及數(shù)位簽章，PEM規(guī)範(fàn)使用RSA與MD2或MD5作為訊息真確性的演算法。加密；採用CBC模式的DES加密演算法。

傳送編碼，PEM將訊息轉(zhuǎn)換成6位元的文字編碼模式，此種編碼和SMTP的標(biāo)準(zhǔn)化格式相容。

3/28/202333Cont..(訊息傳送步驟)PEM訊息處理包括下列四個(gè)步驟：標(biāo)準(zhǔn)化（Canonicalization）

訊息真確性及數(shù)位簽章PEM規(guī)範(fàn)使用RSA與MD2或MD5作為訊息真確性的演算法。加密：採用CBC模式的DES加密演算法。傳送編碼PEM將訊息轉(zhuǎn)換成6位元的文字編碼模式，此種編碼和SMTP的標(biāo)準(zhǔn)化格式相容。

3/28/202334Cont..(接收PEM訊息)

接收PEM訊息時(shí)的處理步驟如下：編碼轉(zhuǎn)換檢查訊息型式，如果訊息型式是MIC-Encrypted（或MIC-Only）則先將6位元的編碼轉(zhuǎn)換成8位元的密文（或標(biāo)準(zhǔn)格式的明文）。解密

如果訊息型式是MIC-Encrypted則將加密的訊息解密。

訊息真確性及來源的鑑別

訊息真確性及來源的鑑別。若訊息型式是MIC-Clear或MIC-Only，則使用MIC與數(shù)位簽章演算法，進(jìn)行訊息來源鑑別及真確性檢查。

格式轉(zhuǎn)換

將訊息格式轉(zhuǎn)換成與收方主機(jī)相容的格式。

3/28/202335Cont..3/28/2023365.4.3PGP郵件技術(shù)PGP是1991年P(guān)hilipZimmermann設(shè)計(jì)，以公開金鑰演算法為基礎(chǔ)所發(fā)展出來的電子郵件傳送工具。

此方法結(jié)合傳統(tǒng)對稱式與公開金鑰密碼演算法，應(yīng)用下列技術(shù)提供電子郵件安全服務(wù)。3/28/202337Cont..隱密性：

採用CBC模式的IDEA加密演算法將要傳送的資料加密，在此IDEA金鑰長度是128位元。金鑰管理

：應(yīng)用RSA長度384、512或1024位元的金鑰管理技術(shù)，來對隨機(jī)選取的交談金鑰（SessionKey）加密。訊息真確性及數(shù)位簽章：PGP使用RSA與MD5作為判斷訊息真確與鑑別安全的演算法。壓縮：訊息在加密前先用ZIP2.0壓縮，可減少資料量和明文資料的重複性（Redundancies），以提高破密的困難度。

3/28/2023385.5安全的網(wǎng)際網(wǎng)路服務(wù)網(wǎng)際網(wǎng)路服務(wù)與應(yīng)用軟體的安全，可透過呼叫通用安全服務(wù)之應(yīng)用程式介面（GenericSecurityServiceApplicationProgramInterface，簡稱GSSAPI）所提供的服務(wù)來達(dá)到安全需求。

3/28/202339Cont..GSSAPI的概念

1993被提出來的，GSSAPI是一般用途的應(yīng)用介面，網(wǎng)際服務(wù)或應(yīng)用軟體可透過GSSAPI呼叫安全服務(wù)，然後GSSAPI將應(yīng)用軟體的安全需求交由底層的服務(wù)程式負(fù)責(zé)處理及回應(yīng)，最後GSSAPI再將處理結(jié)果傳回。

3/28/202340Cont..GSSAPI的使用

GSSAPI的使用方式描述於圖6.6，假設(shè)位於客戶端的應(yīng)用程式C欲將訊息加密傳送給伺服器端的應(yīng)用程式S，可由下列步驟完成：

3/28/202341Cont..3/28/202342Cont..Step1：客戶端的應(yīng)用程式C透過GSSAPI發(fā)出訊息加密的需求，呼叫客戶端主機(jī)所對應(yīng)的加密程式處理。Step2：安全服務(wù)程式回傳加密的訊息給應(yīng)用程式C。Step3：應(yīng)用程式C將加密的訊息傳送給伺服器端的應(yīng)用程式S。Step4：伺服器端的應(yīng)用程式S透過GSSAPI發(fā)出訊息解密的需求，呼叫伺服器端主機(jī)所對應(yīng)的解密程式處理。Step5：安全服務(wù)程式進(jìn)行訊息解密，並將明文訊息回傳給應(yīng)用程式S。3/28/2023435.6防火牆防火牆是用來加強(qiáng)兩個(gè)網(wǎng)路間存取控制的安全機(jī)制，它負(fù)責(zé)檢查所有通過兩網(wǎng)路間的資料流，並且只允許已授權(quán)的資料流通過，藉由防火牆的隔離，以減少系統(tǒng)受到侵入而造成內(nèi)部資源受到損害的風(fēng)險(xiǎn)。

3/28/2023445.6.1為何需要防火牆系統(tǒng)IP層的通訊安全可經(jīng)由安全的IP來達(dá)到，而使用者之間的通訊也可透過安全的電子郵件技術(shù)來保障。但是這些技術(shù)皆無法使私有網(wǎng)路內(nèi)部的資源免於來自網(wǎng)際網(wǎng)路的威脅，除非將私有網(wǎng)路與網(wǎng)際網(wǎng)路完成隔絕，兩者之間互不通訊，才能確保安全。3/28/202345Cont..當(dāng)私有網(wǎng)路想要加入網(wǎng)際網(wǎng)路時(shí)，必須考量以下風(fēng)險(xiǎn)：資訊的保全：

資源的使用：

信譽(yù)的維持：建置防火牆的目的，就是要在私有網(wǎng)路與網(wǎng)際網(wǎng)路之間建立一個(gè)安全的通訊管道，在內(nèi)部資源的存取可控制與掌握的情況下，讓網(wǎng)內(nèi)用戶也可以方便地使用網(wǎng)際網(wǎng)路所提供的服務(wù)。

3/28/202346Cont..如圖6.7所示，防火牆的使用是在私有網(wǎng)路（可信賴的安全網(wǎng)路）和網(wǎng)際網(wǎng)路（不可靠的網(wǎng)路環(huán)境）之間建立一道安全屏障，以阻隔外來電腦駭客的侵?jǐn)_，而內(nèi)部人士仍然可以對外取得整體的服務(wù)。

3/28/202347Cont..3/28/202348Cont..一般防火牆是主要由下列的元件組成：網(wǎng)路策略（NetworkPolicy）進(jìn)階的鑑別機(jī)制（AdvanceAuthenticationMechanisms）封包過濾（PacketFiltering）應(yīng)用閘道（ApplicationGateways）

3/28/2023495.6.2網(wǎng)路策略網(wǎng)路策略會直接影響到防火牆系統(tǒng)的設(shè)計(jì)、安置及使用，此策略大致上可分成兩個(gè)層次：

服務(wù)存取策略（高階策略）防火牆設(shè)計(jì)策略（低階策略）3/28/202350服務(wù)存取策略服務(wù)存取策略著眼於如何避免網(wǎng)際網(wǎng)路的安全威脅與駭客的入侵，在基於確保內(nèi)部網(wǎng)路安全的前提下，規(guī)範(fàn)適當(dāng)?shù)拇嫒〔呗?，以提供安全的網(wǎng)際服務(wù)。

3/28/202351防火牆設(shè)計(jì)策略一般的防火牆的實(shí)作，採用下列兩種設(shè)計(jì)策略之一：除非明確地不允許之外準(zhǔn)許任何服務(wù)。內(nèi)定允許所有的服務(wù)皆可進(jìn)入內(nèi)部網(wǎng)路，只排除存取策略被標(biāo)示為不允許的服務(wù)。除非明確地準(zhǔn)許之外拒絕任何服務(wù)。內(nèi)定拒絕所有進(jìn)入內(nèi)部網(wǎng)路的服務(wù)，只允許存取策略被標(biāo)示為允許的服務(wù)。3/28/2023525.6.3進(jìn)階的鑑別機(jī)制在設(shè)計(jì)防火牆時(shí)可藉由進(jìn)階鑑別測定的使用，對防火牆的交通作初步的過濾，來加強(qiáng)防火牆的安全，以及解決部分服務(wù)策略實(shí)作的問題。

3/28/202353Cont..如圖6.8所示，若使用具備進(jìn)階鑑別機(jī)制的防火牆系統(tǒng)，則所有的網(wǎng)路交通如FTP或TELNET應(yīng)用，必需先通過經(jīng)鑑別過濾，才可直接進(jìn)入內(nèi)部網(wǎng)路。

3/28/2023545.6.4封包過濾3/28/202355Cont..建構(gòu)防火牆時(shí)，就可利用這欄位如IP位址、埠號以及應(yīng)用的類型來規(guī)範(fàn)網(wǎng)路的存取。防火牆需檢查IP封包資料頭的欄位內(nèi)容，視其是否滿足管理者所訂的存取規(guī)則，來決定封包的放行與否。藉由此種防火牆的使用，可以限制封包的來源、目的地以及可經(jīng)過的管道。3/28/202356Cont.. 封包濾器就是利用過濾封包的方式來減少可能的危害，雖然封包濾器可用來隔絕外界的攻擊，不過它無法抵擋來自內(nèi)部的可能攻擊。

3/28/2023575.6.5應(yīng)用閘道防火牆採用封包過濾的最大優(yōu)點(diǎn)是速度快、建置成本低並具有完全通透性(Transparency)。

為了補(bǔ)強(qiáng)封包過濾器的弱點(diǎn)，防火牆必須在IP層使用軟體應(yīng)用（SoftwareApplications）對網(wǎng)路交通（服務(wù)要求）進(jìn)行攔路檢查，通常透過代理（Proxy）服務(wù)來實(shí)現(xiàn)，代理伺服器（ProxyServer）負(fù)責(zé)服務(wù)連結(jié)的過濾，以及資料的轉(zhuǎn)送。

所有進(jìn)出私有網(wǎng)路的交通都必須行經(jīng)代理伺服器，而執(zhí)行這類程式的主機(jī)稱為應(yīng)用閘道（ApplicationGateway）。

3/28/202358Cont..3/28/202359Cont..當(dāng)一個(gè)用戶企圖連結(jié)進(jìn)入此一私有網(wǎng)路時(shí)，必須先連結(jié)上應(yīng)用閘道，然後再到目的端主機(jī)，其步驟如下：

歩驟1：用戶先TELNET上應(yīng)用閘道，並輸入想要登入的網(wǎng)內(nèi)主機(jī)名稱。步驟2：應(yīng)用閘道根據(jù)存取規(guī)則檢查用戶來源的IP位址，決定接受或拒絕此連結(jié)。步驟3：對用戶的身份作進(jìn)一步的身份鑑別（如用一次的通行碼系統(tǒng)）。步驟4：代理伺服器建立應(yīng)用閘道與網(wǎng)內(nèi)主機(jī)之間的TELNET連結(jié)。步驟5：代理伺服器在此兩連結(jié)之間轉(zhuǎn)送資料。步驟6：應(yīng)用閘道記錄連結(jié)的相關(guān)資訊。

3/28/202360Cont..3/28/202361Cont..使用應(yīng)用閘道來阻隔服務(wù)，不讓它們的網(wǎng)路交通直接進(jìn)入網(wǎng)內(nèi)主機(jī)的優(yōu)點(diǎn)：資訊隱藏（InformationHiding）強(qiáng)固的鑑別（RobustAuthentication）成本效益高（Cost-effectiveness）較少複雜的過濾條件（Less-complexFilter