網路概論 第八章 網路基礎架構與網路安全

1. 網路概論第八章網路基礎架構與網路安全 Defining Network Infrastructureand Network Security

2. 參考書 蔡逸舟、鐘俊仁、沂岡(2011)， MTA Exam 98-366 Networking Fundamentals 官方認證教材， 碁峰資訊股份有限公司， ISBN: 9789862762448 （書號 CMS100600） 林文恭、吳進北、吳惠雯(2011)， MTA Exam 98-366 網路管理與應用認證實戰寶典， 碁峰資訊股份有限公司， ISBN: 9789862761915 （書號 CMS101700）

3. 大綱 • LAN 之外的網路 • 網際網路 • 內部網路與外部網路的定義 • VPN • 安全裝置與區域 • 防火牆及其他周邊安全裝置 • 重新定義DMZ • 整體網路規畫

4. 目標 Objectives

5. 網際網路 Internet • 由電腦網路（Computer Network）互相連結而成的網路，遍佈全球 • 使用 TCP/IP 通訊協定組（Protocol Suite） • 估計目前的網際網路使用者約有 60 億人，而連上網際網路的電腦約有 6 億 5 千萬部 • 主要管轄機構 • 網際網路區號管理局（IANA, Internet Assigned Numbers Authority） • 網際網路工程任務小組（Internet Engineering Task Force, IETF）

6. 全球資訊網 World Wide Web • World Wide Web (WWW) 建構在 Internet 之上，由數量龐大的網頁（Hypertext Document）互相連結而成 • 透過瀏覽器（Web Browser）存取 • 目前狀態：Web 2.0 • 互動式的體驗

7. 內部網路 Intranet • 公司內部的私有電腦網路 • 僅供內部存取的網站 • 連結各地分公司？ • 授權機制/安全性 • 身份認證 • 以防火牆阻絕外部存取

8. 外部網路 Extranet • 概念同 Intranet • 供公司外的人存取 • 上游供應商 • 下游客戶 • 不對公眾開放 • 授權機制/安全性

9. Intranet ＆Extranet

10. 虛擬私人網路 VPN • 在分隔兩地的電腦之間建立連線 • 提供 Intranet 存取 • 資料加密 • 封裝 • 隧道（Tunnel） • 外界無法得知隧道內究竟在傳輸什麼

11. VPN

12. VPN • 通訊協定： • PPTP • L2TP with IPSec

13. Point-to-Point Tunneling Protocol • Point-to-Point Tunneling Protocol (PPTP) • 最常用 • 安全機制較少 • 不需要外掛軟體 • VPN Server 接受 PPTP 連線 • Inbound port 1723 • 搭配 point-to-point protocol (PPP) • 撥接連線（Dial-up Connection）

14. L2TP with IPSec • Layer 2 Tunneling Protocol (L2TP) • PPTP 的後起之秀 • 結合Ipsec • 並不內建安全機制 • L2TP 結合 IPsec 之後，安全性較高 • VPN Server 接受 L2TP 連線 • Inbound port 1701

15. 伺服器端 RRASSelecting Custom Configuration

16. 使用者端 VPN Connection

17. Ipconfig showing results of VPN adapter

18. 安全裝置與區域 • 安全裝置（Security Device） • 防火牆（Firewall）防護網路 • LAN、WAN、Intranet、Extranet • 外圍安全區域（Perimeter Security Zone） • 非軍事區（Demilitarized Zone，DMZ） • 避免入侵範圍擴及內部網路

19. 防火牆 Firewall 保護網路免於遭受惡意攻擊和入侵

20. 防火牆 Firewall • 政策（Policy）與規則（Rule） • 政策規範大方向 • 規則訂定細項與例外 • 例如 • 政策：拒絕外部網路存取 DMZ • 規則：允許外部網路存取 DMZ 內的 192.168.3.3:80

21. 封包過濾Packet Filtering • 檢查每一個經過防火牆的封包 • 依據規則處理封包 • 接受/允許（Accept） • 拒絕（Reject） • 丟棄（Drop） • 無狀態（Stateless Packet Inspection） • Pure Packet Filtering • 有狀態（Stateful Packet Inspection，SPI） • 能夠阻絕 DoS攻擊

22. 網路位址轉譯過濾NAT Filtering • NAT 端點過濾（NAT Endpoint Filtering） • 依據 TCP 或 UDP 通訊埠 • 依據基本的端點連線 • 依據目的地 IP 位址 • 依據目的地 IP 位址+通訊埠

23. 應用層閘道Application-Level Gateway（ALG） • 加入對特定應用的支援 • FTP、BitTorrent、SIP、RTSP、MSN傳輸檔案 • 例如 • 阻絕MSN傳輸檔案，避免公司機密外洩

24. 電路層閘道Circuit-Level Gateway • 作用於會談層（Session Layer） • 不過濾個別封包 • 連線一旦建立，就不需再檢查內容 • 隱藏內部網路

25. 防火牆技術比較

26. 代理伺服器Proxy Server • 介於 LAN 和 Internet 之間 • 介於私有網路與公眾網路之間 • 評估客戶端的連線請求，轉送符合規則者

27. 快取代理伺服器Caching Proxy • 代替使用者向伺服器索取資料 • 保留一份資料在硬碟裡 • 下次再有使用者索取相同的資料，便不須對外連線 • 類型 • FTP • SMTP • HTTP（Web Proxy） • 節省頻寬，提高存取速度

28. Web Proxy

29. IP Proxy 藉由 NAT 機制，代理內部網路的使用者對外連線 IP 分享器

30. 內容過濾Internet Content Filter • 依據內容設定規則 • 禁止內部網路定的存取行為 • 例如： • 上班時間禁止連線到 http://*.facebook.com

31. 網路入侵偵測與防範 • 入侵偵測系統（ Intrusion Detection System，IDS） • 網路入侵偵測系統（Network Intrusion Detection System，NIDS） • 偵測攻擊與入侵行為 • 發出警報 • 網路入侵防止系統（Network Intrusion Prevention System，NIPS） • 自動阻絕 • 重新導向

32. 非軍事區DMZ • 外圍網路（Perimeter Network） • 在 LAN 的外圍 • 允許外部使用者存取 DMZ • 以防火牆隔開 LAN 和 DMZ • 入侵 DMZ 之後，無法進入公司內部 • DMZ 內常見的伺服器 • Web Server • Email Server • DNS Server

33. DMZ • DMZ 組態 • 背靠背（Back-to-Back） • 三向外圍（3-Leg Perimeter） • 微軟的防火牆系統 • Microsoft Internet Security and Acceleration (ISA) Servers

36. 整體網路規畫 建立網路文件

37. 總結 • 如何分辨 Internet、Intranet、Extranet • VPN • 防火牆 • DMZ