|   課程資料   |   最新資訊   |   免費下載   |   考試中心   |   專欄文章   |   中心位置   |   關於我們   |
 

企業如何正確使用防火牆安全機制 

在使用防火牆產品以防止黑客的非法入侵時,除了考慮產品的安全性與執行效能外,另外還會顧及使用者介面 (GUI) 的方便易用程度、產品完整的服務功能、以及廠商的技術支援能力等,以上每一點都是缺一不可。現在我們正在享用互聯網和寬頻技術所帶來的高效率和方便之時,如果企業沒有一個妥善的「安全機制」來防範黑客入侵,企業內部的網絡資源將不堪一擊,這絕對不是在危言聳聽,因為每日都有企業網絡被入侵的事件發生,也實在令 I.T. 部門及公司管理層擔驚受怕,如果真的被黑客入侵了,除了公司機密資料被盜取、系統和網絡被破壞外,最重要是金錢上的損失,甚至乎企業形象無形中亦遭受到破壞,最後的損失真是難以估計。所以每一個網絡都需要建立一個安全而且可靠的防火牆來保護企業的資訊財產。

防火牆 (Firewall) 已被公認為網路存取控制中一個不可缺小的重要環節,亦是用來防止黑客入侵的最佳安全解決方案。它架設在Internet及內聯網絡之間,以確保有安全的連接和保護功能。除此之外,它亦可以作為網絡上的閘口 (Gateway),然後再配合一系列的安全政策 (Security Policy),便可用來控制網絡之間的通訊。而且 Firewall 可以有效地記錄網絡上的一切活動,以及各種應用服務的存取,此舉亦有助減少企業網絡曝露在危機之中。

參考圖一 : 企業整體網絡安全架構


安全的防火牆架構必須讓所有外部到內部或內部到外部的 Packet 都必須通過防火牆的檢查,而且所有 Packets 必須符合 Security Policy 中所指明的內容和定義才能通過防火牆。既然防火牆作為 Internet Intranet 進出的一個主要通道,要正確的使用防火牆就必須先了解防火牆的技術為何?簡單來說,現在市場上的防火牆技術主要分為三種,分別為封包過濾(Packet Filtering)、代理應用閘通道(Application Gateway / Proxy)及多階層狀態檢查(Multilayer Stateful Inspection)等,現在就讓我簡單介紹一下。

封包過濾 Packet Filtering - 這種技術通常在 Router 上運作,亦即是在 OSI Layer 中的網路層 (Network Layer) 執行檢查工作,它具備良好的效能和延伸能力,而且成本低,但缺點是只能提供 IP Address 的過濾功能,最多也只是用到 Port Number 作為過濾,但 Packets 中所包含的資訊它是無法得知,如果 Packets 中所包含是電腦病毒,它是根本無法檢查出來,所以封包過濾技術是防火牆功能中最不安全的一種,因為它不會監測到應用程式層面,也無法知道封包傳送的內容,所以很容易被黑客輕易破解和入侵。  

代理應用閘通道 Application Gateway – 亦即是我們經常說的 Proxy Server,此為最傳統的防火牆技術,任何進出 Internet 的應用服務都必須經過 Proxy Server 的檢查,然後再轉送到目的地,在整個過程中,Proxy Server 會檢查 Packet 中各階層的應用服務,就算 Packet 內包含的是甚麼內容,都可以一一知道,但是這樣做卻破壞 Client/Server 的架構模式。此外, Application Gateway 技術只支援有限制的應用程式,每一個服務或應用程式都須要專屬的 Process,因此有新的 Internet 服務時,使用者必須等待軟件廠商開發新的代理應用程式才能使用。不單止是這樣,系統上每一個 Proxy Service 都需要不同的應用程式或 Daemon 來執行,這樣會因為系統需要處理大量 Processes,而造成執行效能上的下降。  

多階層狀態檢查 (Mutilayer Stateful Inspection) - 是一種最新的防火牆專利技術,它結合了上述兩者技術的好處,包括 Packet Filtering 的執行效能,及 Proxy Server 的安全性。任何 Packet進入電腦時,都會在 Network Layer 中被攔截,然後必須通過防火牆的 Inspect Engine 徹底檢查,由 Network Layer >Transport Layer >Session Layer >Presentation Layer,以及到 Application Layer,通通都會從每一個層面中取出跟連線狀態內容有關的資料,而這些資料會放在動態狀態表 (Dynamic State Tables) 作為參考,以及用來判繼和分析跟後進入的PacketsStateful Inspection 技術提供了應用層的資料內容安全檢測,而且不會破壞主從架構模式,可以在資料保全和流量間作智慧的控制,具有最大的擴展及延伸能力。

參考圖二: Stateful Inspection Technology


相信大家現在對Firewall技術有初步認識,下期將會為大家介紹更多有關Firewall的技術。






 

 
 

    MCP
MCSA
MCSE
MCDBA

    CCNA
CCNP

    CCSA NG
CCSE NG

    SCSA
SCNA

    SCJP

    RHCE
LPI
Linux+

    CLS
CLP

   
OCA

    CISSP

    CNA

    CCA

   
     Dreamweaver
     Flash MX
     Photoshop CS
     Illustrator CS

   
     Excel 2003
     Word 2003
     PowerPoint
     Access 2003
     Outlook 2003

   
   
   
   
    		 
 

甲子園電腦教育中心     版權所有 禁止複印
Copyright © 2007 Alpha Tech Education Centre. All rights reserved.