前幾天大致上已經把網路防護的背景知識解釋清楚了,接下來的就開始介紹網路防護的具體措施!
一套能夠完善防護的網路防護系統,主要包含以下幾項元素:人員、作業、技術。
而網路防護的處理流程大致上是這樣,先找出會使系統遭受威脅的風險或漏洞,再加以妥善評估,最後決定網路防護需求,包括邊界防禦、防火牆警示回應、入侵偵測及防護、記錄檔等等該採用何種技術。
先從防火牆開始講起,沒錯,講資安內容講這麼久,終於真正講到防火牆了。
防火牆是一種非常非常傳統的資安機制,它的的概念很簡單,就像現實生活中的牆一樣,網路防火牆在內部網路網與網際網路之間建立一個屏障。因為網際網路上有許多惡意流量,例如病毒、惡意軟體、駭客試圖入侵他人的內網等威脅。防火牆能阻擋這些威脅和避免未經授權的存取,以確保內部網路的安全。
防火牆的作用包括:
目前,防火牆廠商已開發出各式各樣的方法來分析流量並加以自動分類,進而衍生出多種不同的防火牆,包括:第一代封包過濾器、新一代防火牆,以及目前的雲端防火牆。
有別於防火牆,入侵偵測及防護 (IDPS) 會監測網路上的惡意活動、通報網路資安事件與潛在威脅,並且自動採取回應動作。而防火牆的做法是讓正常流量通行,其餘的就加以攔截。
入侵偵測 (IDS) 要功能在負責監聽網路封包,依據預先設定的安全策略(Security Policy),對網路與系統的運行狀況進行監測,當發現異常,自動發出警訊通報給網管人員,記錄各種攻擊企圖、攻擊行為或者攻擊結果。
不過,在其技術發展的過程當中,有人提出這樣一個問題:既然我們已經知道某些流量是來自駭客,那為何我們只是將它記在記錄檔內? 為何我們不要一發現就將該流量的封包丟棄? 這就衍生出所謂的入侵防護 (IPS)。
IPS 在特性上屬於主動式防護,當它發現某個流量是來自駭客時,就會主動採取行動來破壞其通訊。實務上,這類系統調校起來非常複雜,很不容易找到平衡點,如果調校不當,反而會讓正常流量被攔截,而駭客流量確能正常通行。因此,大部分的企業都只導入 IDS,然後將事件寫入記錄檔,再配合一套資安事件管理 (SIEM) 系統,以及事件應變計畫與應變團隊。
看影片追技術