網路防火牆
This presentation is the property of its rightful owner.
Sponsored Links
1 / 94

網路防火牆 PowerPoint PPT Presentation


  • 90 Views
  • Uploaded on
  • Presentation posted in: General

網路防火牆. 什麼是網路防火牆 網路防火牆功能與原理 網路防火牆建置與維護. 授權系統. 虛擬私人網路. 防毒. 風險評估. PKI. 加密系統. 網路防火牆. 內容保護. 入侵偵測. 網路防火牆的在網路安全角色. 網路安全. 存取安全. 通訊安全. 內容安全. 安全管理. 狹義的網路防火牆. 在一個受保護的 企業內部網路 與 網際網路 間, 用來強制執行企業保全政策的一個或一組系統 . 目的: 謹慎的在一個控制 點上限制人 們進出 網路 防止攻擊者接近 防禦物. 網際網路. 企業內部網路. Who Where When

Download Presentation

網路防火牆

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


5453825

網路防火牆

  • 什麼是網路防火牆

  • 網路防火牆功能與原理

  • 網路防火牆建置與維護


5453825

授權系統

虛擬私人網路

防毒

風險評估

PKI

加密系統

網路防火牆

內容保護

入侵偵測

網路防火牆的在網路安全角色

網路安全

存取安全

通訊安全

內容安全

安全管理


5453825

狹義的網路防火牆

  • 在一個受保護的企業內部網路與網際網路間, 用來強制執行企業保全政策的一個或一組系統.

  • 目的:

    • 謹慎的在一個控制

      點上限制人們進出

      網路

    • 防止攻擊者接近

      防禦物

網際網路

企業內部網路

Who

Where

When

What

網路防火牆

Who

Where

When

What


5453825

廣義的網路防火牆

  • 在一個受保護的網路(或單機)與其它網路間, 用來強制執行企業保全政策的一個或一組系統.

  • 目的:

    • 謹慎的在一個控制

      點上監控進出的網

      路交通,整合存取

      控管、內容過濾、

      加密、流量管理等

      功能。

其它網路

受保護網路

網路防火牆


Firewall

封包過濾

代理系統

使用者認證

網路位址轉換

虛擬私人網路

防範網路攻擊

存錄與預警

管理工具

頻寬管理

高可用性與負載平衡

Firewall 功能與原理


Packet filtering

Application應用程式代理及過濾技術

Transport

Network

Firewall PF動態封包過濾技術

Data Link

Hardware

Packet Filtering

  • 監控TCP/IP網路封包的行為

  • 建置於通訊協定的二、三層間,對於應用程式完全透通

  • 建置於系統核心(Kernel)

  • Hooking mechanisms:

    • Windows: NDIS Driver

    • Linux: Function table

    • Solaris: Stream


Criteria of packet filtering

Criteria of Packet Filtering

  • 靜態封包檢視的資訊

    • 來源IP、來源埠、目的IP、目的埠

  • 動態封包檢視的資訊

    • Sequence number

    • Acknowledgement number

    • SYN/RST/FIN…

    • Virtual connection

    • FTP Command


Ftp active mode connection

FTP Active Mode Connection


Ftp passive mode connection

FTP Passive Mode Connection


Udp icmp

UDP/ICMP之虛擬連線

  • UDP/ICMP是非連線(connection-less)的協定

  • 虛擬的連線(virtual-connection)

    • 對於同一組“來源IP、來源埠、目的IP、目的埠”的封包,視為同一個虛擬連線。


Proxy

真正的伺服器

外部主機

proxy 客戶端

Proxy 示意圖

proxy 客戶端

Internet

外部 PC

Dual-

homed

Host

proxy

伺服器

防火牆

企業內部網路

真正的伺服器

內部主機


Proxy1

Proxy之功用

  • 內外網路阻隔

  • Application Filtering

  • User Authentication

  • Detail Logging


Application filtering 1

Application Filtering (1)

  • 檔案傳輸( FTP)的限制

    • 設定Read / Write權限

    • 設定可傳輸的檔名

    • FTP Virus Check

  • HTTP的限制

    • 設定可否使用FTP、HTTP 、GOPHER等權限

    • 設定HTML內容可否含有GET、POST、HEAD、PUT等

    • 使用Wildcard(*)設定URL Location的內容

    • Java Applet, Java Script與ActiveX Blocking

    • Anti-X不當網站瀏覽過濾

    • HTTP Virus Check


  • Application filtering 2

    Application Filtering (2)

    • 信件(SMTP)的限制

      • 捨棄假來源地址的信件

      • 可設定傳送信件的大小

      • 可消除內部信件傳遞路徑資訊,避免內部主機暴露給外界

      • 提供E-mail位址轉換功能

      • SMTP Virus Check


    Proxy2

    Proxy缺點

    • 反應較慢

    • 不同的服務可能需要不同的Proxy


    Transparent v s non transparent proxy

    Transparent v.s. Non_Transparent Proxy

    • Transparent: 靠Firewall Redirect過往的網路封包來達成

      • 封包必須經過Firewall

    • Non_transparent: 必須修改客戶端程式或改變使用者程序


    Anti virus and fierwall

    Anti-Virus and Fierwall

    真正的伺服器

    外部主機

    proxy 客戶端

    proxy 客戶端

    Internet

    Dual-

    homed

    Host

    proxy

    伺服器

    防火牆

    2

    企業內部網路

    1

    2

    1

    Virus scanning

    proxy server

    case 1:transparenet

    case 2:non-transparent


    User authentication

    User Authentication

    • 以使用者的角度來做安全控管(Mobile users, DHCP clients)

    • 允許從外部網路使用內部網路服務

    • 選擇適當之認證機制

    • 設定使用者權限


    5453825

    使用者認證機制

    • 使用者帳號系統

      • Firewall獨立帳號

      • 結合作業系統帳號

      • 結合RADIUS Authentication Server

      • 結合LDAP Server

    • 密碼機制

      • 傳統密碼

      • One Time Password

        • S/Key: sequence number

        • Smart Card: time synchronization


    S key one time password

    S/Key One Time Password

    • One Way Hash Function MD5

      y=F(x), 已知y, 反求x很難

    • s=F(password, seed)

      p0=Fn(s)

      p1=Fn-1(s)

      pi=Fn-i(s)

    • Server儲存每個user之seed,上一次之OTP, 上一次之sequence

    • Challenge - Response

    • Verify: F(pi)=F(Fn-i(s))=Fn-(i-1)(s) == Pi-1


    Md5 challenge

    MD5 Challenge

    Supplicant

    Authentication Server

    Challenge Text

    MD5 (Password + Challenge Text)

    Accept / Reject


    5453825

    使用者權限

    • 可使用之來源主機

    • 可使用之目的主機

    • 可使用之網路服務

    • 可使用時段

    • 可否同時多次登入

    • 單次連線時間


    Network address translation

    Network Address Translation

    • 隱藏所保護之子網路

    • 減少所必須申請之IP位址數目

    • 使內部使用的位址不必隨著所申請之ISP異動而改變


    5453825

    NAT的模式

    • 一對一模式

      • 單純的IP位址轉換,可雙向要求連線

    • 多對一模式

      • 只允許單向要求連線


    Nat 1

    Src IP A

    Dst IP X

    Src Port

    aaa

    Dst Port

    xxx

    Data….

    Firewall

    Src IP A’

    Dst IP Y

    Src Port

    aaa

    Dst Port

    xxx

    Data….

    Src IP Y

    Dst IP A’

    Src Port

    xxx

    Dst Port

    aaa

    Data….

    Firewall

    Src IP X

    Dst IP A

    Src Port

    xxx

    Dst Port

    aaa

    Data….

    NAT技術 - 1

    • 1-1 NAT: A->A’, [X-Y]


    Nat 2

    Src IP A

    Dst IP X

    Src Port

    aaa

    Dst Port

    xxx

    Data….

    Firewall

    Src IP fw

    Dst IP Y

    Src Port

    uuu

    Dst Port

    xxx

    Data….

    Src IP Y

    Dst IP fw

    Src Port

    xxx

    Dst Port

    uuu

    Data….

    Firewall

    Src IP X

    Dst IP A

    Src Port

    xxx

    Dst Port

    aaa

    Data….

    NAT技術 - 2

    • m-1 NAT: A, B, C…->fw, [X->Y]

    uuu is incrementally unique

    house keep the connection


    5453825

    NAT的限制

    • 不適合於內容含IP位址的應用程式

      • Firewall必須對FTP、H.323等服務額外處理

    • 對於一對一的NAT必須設定Static Routing或設計ARP Proxy

    • 設定內部與外部DNS


    Nat configuration case 1 arp proxy

    NAT configuration – case 1ARP proxy

    Set ARP Proxy:

    MACs of 192.72.155.2 and 19.7.155.3

    are AMC of external interface of Firewall

    10.10.1.1

    192.72.155.62

    192.72.155.0/255.255.255.192

    DMZ

    192.72.155.1

    192.168.200.1

    Intranet

    Firewall

    Mail Server

    Web Server

    =>192.72.155.2

    192.168.200.254

    192.168.100.254

    192.168.100.0/255.255.255.0

    192.168.200.0/255.255.255.0

    =>192.72.155.1

    Data Base

    192.168.200.2

    =>192.72.155.3


    Nat configuration case 2 static routing

    NAT configuration– case 2static routing

    Add Static route:

    dst net: 192.72.155.32/255.255.255.224

    gateway: 192.72.155.1

    10.10.1.1

    192.72.155.30

    192.72.155.0/255.255.255.224

    DMZ

    192.72.155.1

    192.168.200.1

    Intranet

    Firewall

    Mail Server

    Web Server

    =>192.72.155.33

    192.168.200.254

    192.168.100.254

    192.168.100.0/255.255.255.0

    192.168.200.0/255.255.255.0

    =>192.72.155.1

    192.72.155.32/255.255.255.224

    Data Base

    192.168.200.2

    =>192.72.155.34


    5453825

    Client-to-Lan VPN

    Lan-To-Lan VPN

    VPN 網路

    Internet Users

    Mobile Users

    分公司或協力廠商

    VPN Gateway

    分公司或協力廠商

    INTERNET

    WWW Server

    Router

    Unsecured net

    DMZ

    Hacker

    VPN Gateway

    Secured Net


    5453825

    防範部份的網路攻擊

    • 阻絕網路層的攻擊

      • Ping Of Death, Source Routing, Tiny Fragment, Port Scanning, Land Attack, Teardrop, Out Of Band

    • 利用Packet Filtering Rules, Anti-Spoofing Rules防止網站成為DDOS的第三者(Agent)利用Smurf、SYN Flooding等DOS攻擊手段攻擊其他網站

    • 攻擊追蹤

    • 與即時入侵偵測系統(IDS)的整合或引發相關安全規則的修正


    5453825

    網路層的攻擊 (1)

    • Ping o’ Death Attack

      • Send ping (ICMP) packets larger than 64K.

    • Source Routing Attack

      • The source station specifies the route that a packet should take as it crosses the Internet.

    • Tiny Fragment Attack

      • Use the IP fragmentation to create extremely small fragments and force the TCP header information into a separate packet fragment.

    • Port Scanning Attack

      • Try different ports of the same destination address.


    5453825

    網路層的攻擊 (2)

    • Land Attack

      • Send a packet to a machine with the source host/port the same as the destination host/port.

    • Teardrop Attack

      • Packet fragments are deliberately fabricated with overlapping offset fields causing the host to hang or crash when it tries to reassemble them.

    • Out Of Band Attack

      • Makes TCP connection with port, 139, and then transmits data over the connection using a tag called MSG_OOB which tells Winsock to send Out of Band data.


    5453825

    網路層的攻擊 (3)

    • Smurf Attack

      • Send ICMP echo request packets to an Internet broadcast address.

    • SYN Flooding Attack

      • Send a high volume of TCP SYN packets without responding to the server’s acknowledgements (SYN ACK ).


    5453825

    記錄與預警

    • 各種層次的記錄

    • 預警方式

      • Console

      • E-Mail

      • Pager

      • SNMP Trap

      • User Defined Program


    5453825

    網路防火牆管理工具

    • 組態設定工具

    • 網路即時監控

    • 網路封包分析


    5453825

    頻寬管理

    T1

    其他

    10%

    50

    ACK Control

    10%

    30%

    Outbound

    各部

    總經

    EC

    %

    10%

    Traffic

    理室

    交易

    20

    20%

    I

    %

    上網

    T1

    Phone

    其他

    Inbund

    10%

    Gateway

    traffic

    10%

    30%

    50%

    各部

    總經

    EC

    10%

    E 2

    理室

    交易

    E 1

    Ethernet

    其他

    E 3

    20%

    20%

    I Phone

    上網

    Load

    Balancing

    EC Server

    EC Server

    S2

    S1


    5453825

    頻寬管理的功能

    • 分配頻寬(輸出頻寬的控制)

      • 比重

      • 上限

    • 保證頻寬(控制應用程式的延遲時間)


    5453825

    頻寬管理實例(一)


    5453825

    頻寬管理實例(二)


    5453825

    頻寬管理產品的使用

    • 頻寬政策

    • 產品的差異

      • 與其它產品的整合

      • 頻寬決策的設定

      • 使用的技術

    • 測試


    5453825

    高可用性與負載平衡

    • 高可用性 and/or 負載平衡

    • 轉換時間

    • 擴充性

    • 熱維護

    • 軟體式的負載分配


    5453825

    高可用性與負載平衡實例

    來源: /www.sysware.com.tw/

    來源: www.firewall.com.tw/


    5453825

    選擇網路防火牆解決方案的考量因素

    • 使用性

    • 功能性

    • 互通性與整合性

    • 對使用者的透通性

    • 廠商支援能力

    • 產品在安全上的相對強度

    • 成本


    5453825

    防火牆產品與廠商

    • Firewall-1

      • 軟體Firewall廠商 Check Point www.checkpoint.com

    • PIX

      • 硬體Firewall廠商Cisco www.cisco.com

    • SecureZone, SideWinder

      • 軟體Firewall廠商Secure Computing www.securecomputing.com

    • CyberGuard

      • 系統Firewall廠商 CyberGuard www.cyberguard.com

    • WatchGuard

      • 硬體Firewall廠商WatchGuard www.watchgueard.com

    • NetScreen

      • 硬體Firewall廠商NetScreen Technologies www.netscreen.com/

    • WebGuard

      • 軟體Firewall廠商Gennet www.gennet.com.tw/


    Firewall1

    Firewall的建置與維護

    • Firewall的結構

    • 設定Internet服務

    • 保全政策

    • 防火牆的維護

    • 保全危機事件處理


    Firewall2

    Firewall結構

    • 雙介面主機(Dual-Homed Host)結構

    • 屏蔽式主機(Screened Host)結構

    • 屏蔽式子網路(Screened Subnet)結構

    • 混合式屏蔽子網路(Hybrid Screened Subnet)結構


    Dual homed host

    雙介面主機結構(Dual-Homed Host)

    Internet

    兩片網路卡

    Dual-

    homed

    Host

    防火牆

    企業內部網路


    Screened host

    Internet

    屏蔽式主機結構(Screened Host)

    防火牆

    Screening Router

    企業內部網路

    防禦主機

    內部主機


    5453825

    防禦主機

    • Internet 中對外的第一道門戶

    • 要有被攻擊的心理準備

    • 最需要加強防護的主機

    • 所提供的服務越簡單越好


    Screened subnet

    Internet

    屏蔽式子網路結構(Screened Subnet)

    防禦主機

    內部主機

    外部路由器

    周圍網路

    內部路由器

    防火牆

    企業內部網路


    Hybrid screened subnet

    混合式屏蔽子網路結構(Hybrid Screened Subnet)

    DMZ

    Intranet

    Firewall

    Mail Server

    Web Server

    Data Base

    Data Base

    replica


    5453825

    集線器

    集線器

    集線器(或交換器)

    集線器

    企業網路規劃模型

    存取層

    分送層

    路由器

    核心層

    伺服器群

    集線器

    交換器

    集線器

    工作群組集線器


    5453825

    路由器/Firewall

    路由器

    路由器

    路由器

    交換器

    集線器

    交換器

    交換器

    交換器

    交換器

    集線器

    交換器

    交換器

    企業網路規劃案例(效能不佳)

    伺服器群

    分部F

    分部G

    分部H

    部門E

    部門D

    區域工作站群組

    部門A

    部門B

    部門C


    5453825

    路由器/Firewall

    路由器

    路由器

    路由器

    交換器

    交換器

    交換器

    交換器

    交換器

    交換器

    交換器

    企業網路規劃案例(修正)

    區域工作站群組

    伺服器群

    分部F

    部門E

    分部G

    分部H

    部門D

    部門A

    部門B

    部門C


    Internet

    設定Internet服務

    • 服務的網路封包特性

    • 服務的安全特性

    • 服務對應的防火牆設定


    5453825

    電子郵件收送流程

    Store And Forward:

    對內的

    信件閘道

    對外的

    信件閘道

    Internet

    傳送者機器

    接收者機器


    Packet filtering of smtp outbound service

    DMZ

    Intranet

    Firewall

    SMTP Server

    3

    1

    2

    Web Server

    Packet Filtering of SMTP Outbound Service

    SMTP Server

    SMTP Client

    SMTP Server


    Packet filtering of smtp inbound service

    DMZ

    Intranet

    Firewall

    SMTP Server

    1

    3

    2

    Web Server

    Packet Filtering of SMTP Inbound Service

    SMTP Server

    POP3 Client

    POP3

    SMTP Server /

    POP3 Server


    Smtp proxy

    SMTP Proxy設定

    • 防止被利用來轉送廣告信件

    • 過濾信件內容

    • 刪除內部轉送的軌跡

    • 管制信件的大小


    Packet filtering of pop3

    1

    3

    2

    Packet Filtering of POP3

    SMTP Server

    POP3 Server

    DMZ

    Intranet

    Firewall

    SMTP Server /

    POP3 Server

    POP3 Client

    not recommend

    Web Server

    SMTP Server /

    POP3 Server


    Packet filtering of ftp

    Packet Filtering of FTP

    • Command Channel and Data Channel

    • Active and Passive Mode


    Packet filtering of telnet

    Packet Filtering of Telnet

    • 盡量限制進入的Telnet

    • 利用Packet Filtering允許出去的Telnet


    Filtering of nntp

    DMZ

    Intranet

    Firewall

    SMTP Server

    Web Server

    Filtering of NNTP

    NNTP Server

    NNTP Client

    NNTP Server


    Filtering of http packet w o proxy

    DMZ

    Intranet

    Firewall

    SMTP Server

    Web Server

    Filtering of HTTP Packetw/o Proxy

    HTTP Server/Proxy

    Client

    HTTP/FTP

    NNTP Server


    Packet filtering of http with proxy

    DMZ

    Intranet

    Firewall

    SMTP Server

    1

    HTTP

    2

    HTTP/FTP

    Web Server

    Packet Filtering of HTTPWith Proxy

    HTTP Server

    HTTP Client

    Http Proxy


    Dns and firewall

    3

    4

    1

    2

    5

    1: Client asks internal server

    2: Internal server asks bastion server

    3: Bastion server asks and receives answer from the world

    4: Bastion server answers internal server

    5: Internal server answers client

    DNS and Firewall

    DMZ

    Intranet

    Firewall

    DNS Server

    DNS Client

    DNS Server


    Security policy

    Security Policy

    • What and Why to Protect, instead of How


    Isacaf s cobit

    Assessment

    Policy

    Implementation

    Training

    Audit

    ISACAF’s COBIT

    • Information Systems Audit and Control Foundation

    • Control Objectives for information and related technology


    Bs 7799 iso 17799

    1. Security Policy

    安全政策

    2. Security

    Organization

    安全組織

    10. Compliance

    遵行

    3. Asset Classification

    and Control

    資產分類與控管

    ISO(BS7799)

    資訊安全管理

    準則草案

    9. Business Continuity

    Planning

    業務持續運作規劃

    4. Personnel Security

    人員安全

    5. Physical and

    Environmental Security

    實體與環境安全

    8. System Development

    and Maintenance

    系統開發與維護

    6. Computer

    and

    Network

    Management

    電腦與網路管理

    7. System

    Access

    Control

    系統存

    取控制

    BS 7799 (ISO 17799)資訊安全管理安全模型

    http://www.iso17799software.com/


    5453825

    1 安全政策

    1.1 資訊安全政策

    目的:取得管理階層對資訊安全之指導方針與支持。高階管理應發佈整個單位的資訊安全政策明確方向與宣告支持資訊安全。

    1.1.1資訊安全文件

    書面政策文件應提供給所有負責資訊安全員工


    5453825

    2 安全組織

    2.1 資訊安全基礎架構

    目的:管理組織內之資訊安全。管理基礎架構應建立以推動與控管組織內資訊安全之實行

    2.1.1 管理階層資訊安全論壇

    2.1.2 資訊安全協調

    2.1.3 資訊安全責任指派

    2.1.4 IT設施的授權流程

    2.1.5資訊安全專家之建議

    2.1.6 組織間的合作

    2.1.7 獨立評估資訊安全

    2.2 第三者存取安全

    目的:組織的IT設施與資訊資產再第三者存取下仍能確保安全。(非組織的)第三者使用公司IT設施應予控管

    2.2.1 識別第三者連接之風險

    2.2.2 第三者合約的安全條款


    5453825

    3 資產分類與控管

    3.1 資產之責任

    目的:維持組織內資產之適當保護,所有重要資訊資產應有記名負責人

    3.1.1 資產盤點

    3.2 資訊分類

    目的:確保資訊資產受到適當等級保護,資訊分類應表示安全需求及優先等級

    3.2.1 分類指引

    3.2.2 分類標示


    5453825

    4 人員安全 (1)

    4.1 工作定義及Resourcing內的安全

    目標:減少人員錯誤、偷竊、舞弊或誤用設施之風險。招募人員時,安全應納入工作職掌及合約及雇用期間之監督

    4.1.1 工作職掌之安全

    4.1.2 招募之篩選

    4.1.3 保密合約

    4.2使用者訓練

    目的:確認使用者知道資訊安全的威脅與顧慮,且確保使用者養成足以在其工作執行組織資訊安全政策。使用者應該受安全程序與IT設施正確使用之訓練。

    4.2.1資訊安全教育與訓練


    5453825

    4 人員安全(2)

    4.3 意外事件之處理(反應)

    4.3.1 安全意外之回報

    4.3.2 安全弱點之回報

    4.3.3 軟體不正常功能之回報

    4.3.4 有紀律的流程


    5453825

    5 實體與環境安全

    5.1 安全區域

    5.1.1 實體安全邊界

    5.1.2 門禁管制

    5.1.3 DP中心與電腦機房的安全

    5.1.4 隔離的運送與收貨品

    5.1.5 Clear Desk Policy

    5.1.6 財產移除

    5.2 設備安全

    5.2.1 設備安置與防護

    5.2.2 電源供應

    5.2.3 佈線安全

    5.2.4 設備維護

    5.2.5 異地設備安全

    5.2.6 設備作廢安全


    5453825

    6 電腦與網路管理(1)

    6.1 操作程序與責任

    6.1.1 書面操作程序

    6.1.2 事故管理程序

    6.1.3 職權分割

    6.1.4 開發設施與正式工作設施之分離

    6.1.5 委外管理

    6.2 系統規劃與驗收

    6.2.1 容量規劃

    6.2.2 系統驗收

    6.2.3 Fallback 規劃

    6.2.4 操作變更控管

    6.3 防止惡意破壞軟體

    6.3.1 病毒控管


    5453825

    6 電腦與網路管理(2)

    6.4 例行公事

    6.4.1 資料備援

    6.4.2 操作記錄

    6.4.3 故障記錄

    6.4.4 環境監視

    6.5 網路管理

    6.5.1 網路安全控管

    6.6 媒體處理及其安全

    6.7 資料與軟體之交換

    6.7.1資料與軟體之交換協議

    6.7.2 媒體運送之安全

    6.7.3 EDI安全

    6.7.4 E-Mail安全

    6.7.5 電子化辦公系統之安全


    5453825

    7 系統存取控制 (1)

    7.1 系統存取的業務需求

    7.1.1 書面化的存取控制政策

    7.2 使用者存取管理

    7.2.1 使用者註冊

    7.2.2 使用權管理

    7.2.3 使用者密碼管理

    7.2.4 使用者存取權檢查

    7.3 使用者責任

    7.3.1 密碼之採用

    7.3.2 無人照看之使用者設備

    7.4 網路存取控制

    目的:保護網路服務,連接至網路服務應予控管

    7.4.1 限制服務

    7.4.2 強制路徑

    7.4.3 使用者身分認證

    7.4.4 節點身分認證


    5453825

    7 系統存取控制 (2)

    7.4.5 由遠方進入除錯通道保護

    7.4.6 網路分隔

    7.4.7 網路連接控管

    7.4.8 網路路由控管

    7.4.9 網路服務的安全

    7.5 電腦存取控管

    7.6 應用存取控制

    7.6.1 資訊存取限制

    7.6.2 系統公用程式工具之使用

    7.6.3 原始程式館之存取控制

    7.6.4 敏感系統之隔離

    7.7 監視系統存取及使用

    7.7.1 事件記錄

    7.7.2 監視系統使用

    7.7.3 時鐘同步


    5453825

    8 系統發展與維護 (1)

    8.1 系統的安全需求

    目的:確保安全機制是內建在系統內,系統開發之前應先確認及同意安全需求

    8.1.1 安全需求分析及其規格

    每一專案系統分析階段應完成安全需求分析

    8.2 應用系統安全

    目的:防止應用系統內使用者資料遺失、篡改、或誤用。適當的安全控管包括應將稽核軌跡設計於應用系統內

    8.2.1 輸入資料檢核

    8.2.2 內部處理檢核

    8.2.3 資料加密

    8.2.4 訊息認證


    5453825

    8 系統發展與維護 (2)

    8.3 應用系統檔案之安全

    目的:確保IT專案及支援活動是以安全方式執行。存取系統檔案應予控管

    8.3.1 操作軟體之控管

    8.3.2 系統測試資料之保護

    8.4 開發及支援環境的安全

    目的:維持應用系統的安全。專案與支援環境應予嚴格控管

    8.4.1 變更管理程序

    8.4.2 作業系統變更之技術評估

    8.4.3 套裝軟體變更的限制


    5453825

    9 業務持續之規劃

    9.1 業務持續之規劃

    目的:擬定對策因應業務活動之中斷。應有業務持續之計畫,保護重要業務流程免於重大災害之影響

    9.1.1 業務持續之計畫過程

    9.1.2 業務持續之計畫架構

    9.1.3 測試業務持續之計畫

    9.1.4 更新業務持續之計畫


    5453825

    10 遵循 (1)

    10.1 遵循法律要求

    目的:避免違反任何安全要求。IT的設計、運作及應用應遵照合約安全要求

    10.1.1 有版權軟體複製的控管

    10.1.2 組織的記錄保護

    10.1.3 資料保護

    10.1.4 防止誤用IT設施

    10.2 IT系統的安全評估

    目的:確定系統遵循組織的安全政策及標準。資訊系統安全應定期檢討。

    10.2.1 遵循安全政策

    10.2.2 技術遵循之檢驗


    5453825

    10 遵循 (2)

    10.3 系統稽核考量

    目的:對來自系統稽核程序之干擾降至最低,在系統稽核時應有控管措施以保護操作系統及稽核工具。

    10.3.1 系統稽核之控管

    10.3.2 系統稽核工具之保護


    5453825

    安全政策應包含

    • 說明

    • 個人的責任

    • 一般的語言

    • 指定權責中心,負責執行、修訂

    • 檢討、更新

    • 特殊的安全問題


    5453825

    安全政策不應包含

    • 技術性的細節


    Maintaining firewalls 1

    Maintaining Firewalls (1)

    • Housekeeping

      • Backing Up Your Firewall

        • access control rules, router configurations

      • Managing Your Accounts

        • adding new accounts, removing old ones, aging passwords

      • Managing Your Disk Space

        • check data, back up and clean up log


    Maintaining firewalls 2

    Maintaining Firewalls (2)

    • Monitoring Your System

      • Analyzing your firewall log and making report

      • What should you watch for?

        • All dropped packets, denied connections, and rejected attempts

        • At least the time, protocol, and user name for every successful connection to or through your bastion host

        • All error messages from your routers, your bastion host, and any proxying programs

        • All error messages


    Maintaining firewalls 3

    Maintaining Firewalls (3)

    • Keeping Up to Date

      • Keeping Yourself Up to Date

      • Mailing lists

      • Newsgroups

      • Magazines

      • Professional forums

    • Keeping Your Systems Up to Date

      • Don’t be in a hurry to upgrade

      • Don’t patch problems you don’t have

      • Beware of interdependent patches


    Responding to security incidents

    Responding to Security Incidents

    • Evaluate the Situation

    • Disconnect or Shutdown

    • Analyze and Respond

    • Notifications

    • Snapshot the System

    • Restore and Recover

    • Document the Incident


    5453825

    網路安全相關網站 (1)

    • 安全漏洞描述

      • www.ntbugtraq.com

      • oliver.efri.hr/~crv/security/bugs/

      • www.sans.org/

    • CERT:

      • CERT: www.cert.org

      • TW CERT: www.cert.org.tw


    5453825

    網路安全相關網站 (2)

    • OS Patches

      • SUN OS Patches: access1.sun.com

      • HP-UX Patches: us-support2.external.hp.com

      • Microsoft: www.microsoft.com/security

    • 網路掃描器

      • SATAN: www.fish.com/~zen/satan/satan.html

      • NESSUS: www.nessus.org

      • ISS: www.iss.net


    5453825

    總結

    • 企業的保全政策是維護企業安全的重要依歸

    • 防火牆的技術可大大幫助企業落實其保全政策

    • 防火牆的安全性取決於

      • 防火牆的功能

      • 防火牆的架構

      • 防火牆的設定

      • 企業的安全政策

    • 企業連上網際網路, 使用了防火牆不見得就絕對安全, 但不使用防火牆是絕對的不安全


  • Login