導讀

今天我們要進行第三門課程「連線和保護及網路和網路安」主要了解網路層級漏洞以及如何保護網路。。

本節大綱

模組一：網路架構
您將了解網路安全並解釋它與持續的安全威脅和漏洞的關係。您將了解網路架構和保護網路的機制。

模組 2：網路運營
您將探索網路協定以及網路通訊如何引入漏洞。此外，您還將了解常見的安全措施，例如防火牆，可協助網路操作保持安全可靠。

模組 3：防範網路入侵
您將了解網路攻擊的類型以及用於保護受損網路系統和設備的技術。您將探索惡意行為者利用網路基礎架構中的漏洞的多種方式，以及網路安全專業人員如何識別和消除潛在的漏洞。

模組四：安全加固
您將熟悉增強網路系統的網路強化實踐。您將了解安全強化如何幫助防禦惡意行為者和入侵方法。您還將了解如何使用安全強化來解決雲端基礎架構帶來的獨特安全挑戰。

今日課程內容

今日課程安排為基礎網路的內容，這些內容多數都是以往教科書上的內容，要在短短一兩篇將全部的網路內容都解說過，是有其難度的，我盡可能將課程中重點的概念提出，而更深入的網路知識及技術有賴讀者再去找有架構及整體性解說的網站或是教科書研讀。

網路基本概念

以下是講師口述的內容屬於基礎，對於網路的眾多細節及更深入的知識，建議花時間去上完整的網路課程，在此僅簡單的將口述內容帶出。

以下是講師口述內容的整理與重點列出：

1. 網路的基本概念
網路是一組連接的設備。
家庭網路中的設備可能包括筆記型電腦、手機、智慧型設備（如冰箱、空調）。
在辦公室中，工作站、印表機、伺服器等設備都連接到網路。
這些設備可以透過網路線或無線連線進行通信。

2. 網路設備的識別
設備在網路上通訊時需要找到彼此，這是通訊的前提。
設備使用唯一的位址或識別碼來定位彼此，這些地址確保通訊發生在正確的設備間。
這些位址包括 IP 位址和 MAC 位址。

3. 網路的類型
區域網路 (LAN)：
LAN 跨越小範圍的區域，例如辦公大樓、學校或住宅。
例如，手機或平板電腦連接到家中的 WiFi，形成一個區域網路，然後 LAN 連接到網際網路。
廣域網路 (WAN)：

WAN 跨越較大的地理區域 例如城市、州或國家。
網際網路可以視為一個大型的廣域網路。
例如，舊金山一家公司員工可透過 WAN 與愛爾蘭都柏林的另一名員工溝通並共享資源。

各類網路常見的設備

倘若你為資訊網通人員，到一家公司時基本上一定是查看網路架構圖，將該公司全部的網路設備列出來，各設備的ip及端口，相對應的isp業者對外的ip對內的ip網段，VLAN如何切，及各無線AP的網段，這樣的網路架構圖也是一些跨國公司稽核的重點項目。

集線器 (Hub)

• 集線器是一種網路設備，向網路上的每個裝置廣播訊息。
• 集線器類似於無線電塔，將訊號廣播給所有調諧到正確頻率的設備。

交換器 (Switch)

• 交換器建立設備間的連接，將資料發送到特定的設備並接收資料。
• 交換器比集線器更智慧，僅將資料傳遞到預定目的地。
• 交換器提供更好的安全性和流量控制，並提高網路效能。

路由器 (Router)

• 路由器將多個網路連接在一起。
• 例如，一台計算機若要將訊息傳送到另一個網路上的平板電腦，訊息會從計算機傳播到路由器，再由路由器將資料轉送到目標網路的路由器，最後傳送到平板電腦。

調變解調器 (Modem)

• 調變解調器連接路由器到網際網路，並將網際網路連接到區域網路 (LAN)。
• 例如，若要將訊息傳送到不同地理位置的設備，訊息會從計算機傳送到路由器，再經由數據機傳輸到網際網路，接收者的數據機接收訊息後傳送到路由器，最終到達目標設備。

網路工具

• 集線器、交換器、路由器和數據機是實體設備，但這些功能也可以由虛擬化工具來完成。
• 虛擬化工具是執行網路操作的軟體，通常由雲端服務提供者提供。
• 虛擬化工具提供成本節省和可擴展性。

防火牆

• 防火牆的定義防火牆是一種網路安全設備，用於監控進出網路的流量。
• 防火牆的功能防火牆限制特定傳入和傳出網路流量，為您的第一道防線。組織配置防火牆安全規則來保護網路。
• 防火牆的位置防火牆通常位於安全且受控的內部網路與外部不受信任的網路資源（如網際網路）之間。防火牆的角色防火牆是網路安全領域的重要防線，但僅是整體安全架構的一部分。

伺服器

• 伺服器的定義是為網路上的電腦、智慧家庭設備和智慧型手機等設備提供資訊和服務的設備。

• 伺服器與客戶端的關係連接到伺服器的設備稱為客戶端。客戶端向伺服器發送訊息和服務請求，伺服器則執行客戶端的請求。

• 伺服器的常見範例

  • DNS 伺服器：為網際網路網站執行網域名稱尋找。
  • 檔案伺服器：在資料庫中儲存和檢索檔案。
  • 公司郵件伺服器：為公司組織郵件。
  • DHCP 伺服器 (Dynamic Host Configuration Protocol Server) 是一種網路服務，負責動態地分配 IP 位址和其他網路設定參數給網路上的裝置。

數據機和無線存取點的作業方式

• 數據機通常將您的家庭或辦公室與網路服務供應商 (ISP) 連接。 ISP 透過電話線或同軸電纜提供網路連線。數據機接收來自互聯網的傳輸或數位訊號，並將其轉換為可以透過 ISP 提供的實體連接傳輸的類比訊號。通常，數據機連接到路由器，路由器接收解碼後的傳輸並將其發送到本地網路。

*注意：大型組織用來連接使用者和裝置的企業網路通常使用其他寬頻技術來處理大流量流量，而不是使用數據機。

無線存取點
透過無線電波發送和接收數位訊號，創建無線網路。具有無線適配器的裝置使用 Wi-Fi 連接到存取點。Wi-Fi是指網路設備用於無線通訊的一組標準。無線存取點和連接到它們的裝置使用 Wi-Fi 協定透過無線電波發送數據，資料被傳送到路由器和交換機，並沿著路徑定向到最終目的地。

**作為安全分析師使用網路圖 **
網路圖允許網路管理員和安全人員想像其組織專用網路的架構和設計。
網路圖是顯示網路上的裝置及其連接方式的地圖。網路圖使用小型代表性圖形來描繪每個網路設備，並使用虛線來顯示每個設備如何相互連接。透過研究網路圖，安全分析師開發和完善他們的網路架構安全策略。

雲端運算和軟體定義網絡

了解了實體網路設備如工作站、伺服器、路由器和交換器之間如何相互連接以建立網路。這些網路可以覆蓋較小的區域，如區域網路 (LAN)，或跨越較大的地理區域，如廣域網路 (WAN)。
接下來，您將進一步探索雲端運算和雲端網路的概念。我們將討論混合網路與軟體定義網路的優勢，並深入了解雲端託管網路的好處，特別是對於大型組織來說，為什麼雲端託管會是一個有利的選擇。

CSP ( Cloud Service Provider)提供三大類服務

• 軟體即服務Software as a Service (SaaS)是指由 CSP 營運的軟體套件，公司無需託管軟體即可遠端使用。

• 基礎設施即服務Software as a Service(IaaS)是指使用 CSP 提供的虛擬電腦元件。其中包括透過 CSP 的 API 或 Web 控制台遠端配置的虛擬容器和儲存。雲端運算和儲存服務可用於運行現有應用程式和其他技術工作負載，而無需進行重大修改。可以修改現有應用程式以利用雲端提供者服務特有的可用性、效能和安全功能。

• 平台即服務 Software as a Service (PaaS)是指應用程式開發人員可以用來為其公司設計自訂應用程式的工具。自訂應用程式在雲端中設計和訪問，並用於滿足公司的特定業務需求。

IaaS、PaaS 和 SaaS 之間的差異以及它們與實體資料中心的連接方式。

混合雲環境
當組織除了使用本機電腦、網路和儲存之外還使用 CSP 的服務時，稱為混合雲環境。當組織使用多個 CSP 時，稱為多雲環境。絕大多數組織使用混合雲環境來降低成本並維持對網路資源的控制。

軟體定義網路
CSP 提供與您在本課程這一部分中了解的實體設備類似的網路工具。接下來，您將回顧雲端中的軟體定義網路。軟體定義網路（SDN）由虛擬網路設備和服務組成。就像 CSP 提供虛擬電腦一樣，許多 SDN 也提供虛擬交換器、路由器、防火牆等。大多數現代網路硬體設備也支援網路虛擬化和軟體定義網路。這意味著實體交換器和路由器使用軟體來執行封包路由。在雲端網路的情況下，SDN 工具託管在位於 CSP 資料中心的伺服器上。

雲端運算和軟體定義網路的優勢
雲端運算對企業如此有吸引力的三個主要原因是可靠性、降低成本和提高可擴展性。

*可靠性
雲端運算的可靠性來自於服務和資源的高可用性、安全的連線，以及穩定的服務運作。雲端運算確保員工和客戶能隨時存取所需資源，並將停機時間降到最低。。

*成本
傳統上，公司需要自行建設和維護網路基礎設施，這通常會帶來龐大的前期成本。相比之下，雲端服務供應商 (CSP) 擁有大型資料中心，能以較低的成本提供虛擬設備和服務，遠低於公司自行安裝、升級和管理硬體與軟體的成本。

*可擴展性
在傳統運算模式中，當企業需求增加時，往往需要購買更多的設備和軟體。然而，如果業務需求後來減少，這些投入可能會成為浪費。雲端運算提供了彈性可擴展的服務，企業只需根據實際需求付費，無需為未來的變動擔心。這種彈性使得公司能夠快速調整服務，例如增設防火牆、入侵偵測系統或其他安全措施，以便在需要時迅速提升網路效能與安全性。

透過 CSP 提供的 API 或 Web 控制台，公司可以快速完成這些變更，比自行購買硬體並進行設置要快得多

網路通訊與資料包傳輸的重點整理

1. 網路與安全風險

   • 網路促進了組織內外的溝通與聯繫。
   • 然而，網路通訊也增加了網路攻擊的可能性，因為攻擊者可以利用易受攻擊的設備和未受保護的網路進行惡 意攻擊。

2. 網路通訊的基礎：資料包

   • 資料從一個點傳輸到另一點時，通常會分成資料包進行傳輸。
   • 資料包是網路中傳遞資訊的基本單位，包含有關目的地、來源和內容的資訊。

3. 資料包與實體信件的類比
   
   資料包就像是一封實體信件：
   標頭：包含 IP 位址、MAC 位址，以及協定號碼，指示接收設備如何處理資料包中的資訊。
   
   主體：包含要傳送的訊息。
   
   頁腳：類似信件上的簽名，告知接收設備資料包已完成傳輸。
   

4. 網路效能與安全

   • 資料包在網路中的移動可以展示網路的運作情況，透過頻寬和速度來衡量網路
     效能：
     • 頻寬：設備每秒接收的資料量。
     • 速度：接收或下載資料包的速率。
   • 網路頻寬和速度的不規則性可能表示網路受到攻擊。
   • 資料包嗅探：捕獲和檢查網路上的資料包，是網路安全人員常用的技術。

5. 網路通訊的重要性

   • 網路通訊對於資源共享和數據傳遞至關重要，幫助組織高效運作。
   • 接下來的學習將深入了解支援網路通訊的協定。

6. 封包傳輸的概念

   • TCP (傳輸控制協定)
     * TCP 是一種網際網路通訊協議，允許兩個設備之間建立連接並傳輸數據。
     * TCP 包含一組指令，用來組織數據，以便可以透過網路發送。
     * 該協定確保資料包能夠到達適當的目的地。
   • IP (網際網路協定)
     * IP 是一組標準，用於路由和尋址資料包在網路上的設備之間傳輸。
     * IP 位址充當每個設備在網路中的唯一識別碼。
   • 連接埠的作用
     * 連接埠是在網路設備的作業系統內的一個基於軟體的位置，用來組織資料的發送和接收。
     * 連接埠將網路流量分割為多個段，根據他們的服務來處理。
     * 連接埠號碼使計算機能夠分割網路流量並優先處理資料包。
   • 常見連接埠號碼
     * 連接埠 25：用於電子郵件傳輸。
     * 連接埠 443：用於安全的互聯網通信。
     * 連接埠 20：用於大檔案傳輸。
   • 資料包與連接埠號碼
     * 資料包包含說明接收設備如何處理該資訊的指令，這些指令以連接埠號碼的形式出現。
     * 連接埠號碼幫助計算機分割和優先處理網路流量。

TCP/IP 模型

雖然 OSI 模型是一個更全面且詳細的網路通訊模型，但由於其複雜性，在實際應用上並未廣泛採用。而 TCP/IP 模型則因其簡單、實用且符合當時的網路發展需求，逐漸成為事實上的標準。

• 網路存取層
  網路存取層，也稱為資料鏈結層，負責建立資料包並將其傳輸到網路上。這一層涉及網路傳輸所需的實體硬 體設備，如集線器、數據機、電纜和佈線。位址解析協定（ARP）也是網路存取層的一部分。因為MAC位址 用於識別同一網路中的裝置，ARP負責將IP位址轉換為MAC位址，這樣才能在本地網路中進行通訊。

• 網際網路層
  互聯網層，也稱為網路層，負責確保資料包能夠正確地傳送到可能位於不同網路的目標主機。這一層會在資 料包中附加IP位址，以標示發送者和接收者的位置。互聯網層還決定哪種協定負責資料包的傳送，並確保它 能順利抵達目標主機。以下是一些在互聯網層運行的常見協定：

  **網際網路協定（IP）**負責將封包傳送到正確的目的地，並依賴傳輸控制協定 (TCP) 或用戶資料封包協定 (UDP) 將封包傳送到相應的服務。IP封包使得兩個網路之間的通訊成為可能，封包會從發送方的網路路由 至接收方的網路。TCP 尤其會重新傳輸任何遺失或損壞的資料，確保資料可靠地到達目標。

  網際網路控制訊息協定 (ICMP)。 負責傳遞封包的錯誤訊息和狀態更新。這在檢測和排除網路錯誤時非 常有用。ICMP 會報告在傳輸過程中丟失或被丟棄的資料包、網路連線問題，以及需要重新定向至其他路 由器的資料包的相關資訊。

• 傳輸層
  傳輸層負責在兩個系統或網路之間傳遞數據，並包括控製網路流量的協定。 TCP 和 UDP 是發生在這一層 的兩種傳輸協定。

  **傳輸控制協議(TCP)**是一種互聯網通訊協定，允許兩個設備建立連線並可靠地傳輸資料。TCP 確保資料 能夠正確地送達目標服務。每個 TCP 封包都有一個標頭，其中包含目標服務的連接埠號碼，用於確定資料 的最終目的地。

  **用戶資料報協議 (UDP)**是一種無需建立連線的協定。在傳輸資料之前，UDP 不會在裝置之間建立連 線。這意味著使用 UDP 的應用程式不會關心傳輸的可靠性。與 TCP 不同，UDP 不會詳細追蹤傳輸的資 料，因此它更適合即時、對效能要求高的應用，例如視訊串流。

• 應用層
  在 TCP/IP 模型中，應用層的功能與 OSI 模型中的應用層、表示層和會話層相似。應用層負責發出網路請 求或回應請求，並定義使用者可以存取的網路服務和應用程式。這一層中的協定決定了資料包如何與接收裝 置互動。一些常見的應用層協定包括：

*超文本傳輸協定 (HTTP)
*簡單郵件傳輸協定 (SMTP)
*安全殼 (SSH)
*文件傳輸協定（FTP）
*域名系統 (DNS)
應用層協定依賴底層在網路上傳輸資料。

常用網路協定
在課程的這一部分中，您了解了網路協定以及它們如何組織網路通訊。本閱讀將更深入地討論網路協議並回顧您之前學過的一些基本協議。您還將學習新協議並討論協議涉及網路安全的一些方式。

網路協定概述
網路協定是網路上兩個或多個裝置使用的一組規則，用於描述傳輸順序和資料結構。網路協定充當資料包中資訊附帶的指令。這些指令告訴接收設備如何處理資料。協定就像一種通用語言，允許世界各地的設備相互通訊和理解。

儘管網路協定在網路通訊中發揮重要作用，安全分析師仍然應該了解其相關的安全含義。某些協定存在被惡意行為者利用的漏洞。例如，不法分子可能會使用網域名稱系統 (DNS) 協定（該協定將網址解析為 IP 位址）將流量從合法網站轉移到包含惡意軟體的惡意網站。您將在即將推出的課程材料中了解有關此主題的更多資訊。

網路協定的三類

網路協定可分為三大類：通訊協定、管理協定和安全協定。有數十種不同的網路協議，但對於入門級安全分析師角色，您不需要記住所有這些協議。然而，了解本文中列出的內容對您來說很重要。

通訊協議
通訊協定控製網路傳輸中的資訊交換。它們規定了資料在設備之間傳輸的方式以及通訊的時間。它們還包括恢復傳輸過程中遺失的資料的方法。這裡有幾個。

傳輸控制協議(TCP)是一種互聯網通訊協議，允許兩個設備形成連接並傳輸資料。 TCP 使用三向握手過 程。首先，設備會向伺服器發送同步 (SYN) 請求。然後伺服器使用 SYN/ACK 封包進行回應，以確認收到 裝置的請求。一旦伺服器收到來自裝置的最終 ACK 封包，就會建立 TCP 連線。在 TCP/IP 模型中，TCP 發生在傳輸層。

用戶資料報協議 (UDP)是一種無連線協議，在傳輸之前不會在裝置之間建立連線。這使得它不如 TCP 可 靠。但這也意味著它非常適合需要快速到達目的地的傳輸。例如，UDP 的一個用途是向本機 DNS 伺服器發 送 DNS 請求。在 TCP/IP 模型中，UDP 發生在傳輸層。

超文本傳輸協定 (HTTP)是一種應用層協議，提供客戶端和網站伺服器之間的通訊方法。 HTTP 使用連接埠 80。然而，仍有許多網站使用不安全的HTTP協定。在TCP/IP模型中，HTTP發生在應用層。

網域名稱系統 (DNS)是將網域名稱轉換為 IP 位址的協定。當用戶端電腦希望使用其網際網路瀏覽器存取網站網域時，查詢將傳送至專用 DNS 伺服器。然後 DNS 伺服器查找與網站網域對應的 IP 位址。 DNS 通常在連接埠 53 上使用 UDP。在TCP/IP模型中，DNS發生在應用層。

管理協議
下一類網路協定是管理協定。管理協定用於監視和管理網路上的活動。它們包括用於錯誤報告和優化網路效能的協定。

簡單網路管理協定 (SNMP)是一種用於監視和管理網路上裝置的網路協定。 SNMP 可以重設網路設備上的密碼或變更其基準配置。它還可以向網路設備發送請求，以獲取有關網路頻寬使用量的報告。在 TCP/IP模型中，SNMP 發生在應用層。

互聯網控制訊息協議 (ICMP)是一種互聯網協議，設備使用它來告知彼此網路上的資料傳輸錯誤。接收設備使用ICMP 向發送設備發送有關資料傳輸的報告。 ICMP 通常用作透過在 Linux 作業系統上發出「ping」命令來快速排除網路連線和延遲故障的方法。在 TCP/IP 模型中，ICMP 發生在網際網路層。

安全協定
安全協定是確保透過網路安全發送和接收資料的網路協定。安全協定使用加密演算法來保護傳輸中的資料。以下是一些常見的安全協定。

**安全超文本傳輸協定 (HTTPS)**是一種網路協議，提供客戶端和網站伺服器之間的安全通訊方法。 HTTPS是 HTTP 的安全版本，它對所有傳輸都使用安全通訊端層/傳輸層安全性 (SSL/TLS) 加密，以便惡意行為者無法讀取其中包含的資訊。 HTTPS 使用連接埠 443。

**安全文件傳輸協定 (SFTP)**是一種安全協議，用於透過網路將檔案從一個裝置傳輸到另一個裝置。 SFTP 使用安全殼 (SSH)，通常透過 TCP 連接埠 22。在TCP/IP模型中，SFTP發生在應用層。 SFTP 經常與雲端儲存一起使用。每次使用者從雲端儲存上傳或下載檔案時，都會使用 SFTP 協定傳輸檔案。

封包的傳遞及細節

1. 網路層的操作

   • 網路層功能:負責資料包從主機設備到目標設備的尋址和傳送。
     • 封包透過路由器傳送，直到到達目標 IP 位址。
     • 目標 IP 位址包含在封包標頭中，並儲存在路由表中以供未來路由使用。
       IP 位址與封包：
       *所有封包都包含 IP 位址，分為 TCP 連線的 IP 封包和 UDP 連線的封包。
       *路由器根據封包的 IP 標頭信息進行路由，標頭信息包括：
       *來源 IP 位址
       *目標 IP 位址
       *封包大小
       *使用的協定

2. IPv4 封包的格式
   *封包結構：
   
   *封包分為兩部分：標頭和資料。
   *標頭：由 IPv4 協定決定，包含用來引導封包的路由資訊。
   *標頭大小：20 至 60 位元組
   *前 20 位元組：固定訊息，包括來源與目標 IP 位址、標頭長度、總長度等資料。
   *最後的位元組：選項欄位（0 至 40 位元組）。
   *資料部分：長度不定，最大大小為 65,535 位元組。
   *IPv4 標頭的 13 個欄位：
   

    1.版本 (VER)：4 位元元件，指示封包使用的協定。
    2. IP 標頭長度 (HLEN)：指示標頭結束和資料段開始的位置。 
    3. 服務類型 (ToS)：向路由器提供封包傳輸優先順序資訊。 
    4. 總長度：封包的總長度，包括標頭和資料部分。 
    5. 標識：為原始封包的所有片段提供唯一標識符。 
    6. Flags：指示封包是否已分片以及是否有更多分片。 
    7. 分段偏移：告訴路由設備分段屬於原始封包中的位置。 
    8. 生存時間 (TTL)：防止封包無限轉送，當計數器為零時丟棄封包。 
    9. 協定：指示資料部分使用的協定。 
    10. 標頭校驗和：用於檢測傳輸中 IP 標頭損壞的校驗和。 
    11. 來源 IP 位址：發送設備的 IPv4 位址。 
    12. 目的 IP 位址：目的設備的 IPv4 位址。 
    13. 選項：允許將安全性選項套用至封包，傳送給路由設備。 
   

3. IPv4 和 IPv6 之間的區別

   位址長度與格式
   *IPv4 位址：由四個以句點分隔的十進位數字組成（例：198.51.100.0）。
   *IPv6 位址：由八個以冒號分隔的十六進位數字組成（例：2002:0db8::ff21:0023:1234）。
   *IPv6 位址長度為 16 個字節，允許更多位址。

   封包標頭差異
   *IPv6 標頭比 IPv4 簡單，不包含 IHL、標識和標誌字段。
   *IPv6 引入了流標籤字段，用於標識需要特殊處理的封包。

   安全差異
   *IPv6 提供更有效的路由，並消除了 IPv4 中的專用位址衝突。

附加網路協定概述

建議往這些方面取得更多的網路知識。

學習重點:
TCP/IP 協議： 這是網路通訊的基礎，一定要深入了解。
網路設備： 了解路由器(Cisco Systems、HPE Aruba、Juniper Networks)、交換機、防火牆( Linux 的 iptables 和 Cisco IOS及Cisco Systems、Fortinet、Check Point、Palo Alto Networks )等網路設備的功能和配置。
網路安全： 學習網路安全的基礎知識，如防火牆、入侵檢測系統、VPN 等。
網路程式設計： 學習使用 Socket 程式設計、網路套件等，開發網路應用程式。