導讀

於前一篇Google的講師安排了一門課將網路的基本概念很全面的都提到了一下，但並未太過深入去談到細節，建議讀者還是仔細看過教科書上有系統為準，建議在ip及VLAN網段配置與一些常見的路由器指令也就是CCNA內容熟悉些會較為深入，這門課程偏向透過log來作其它的應用，我們繼續今日的課程安排吧。

今日課程內容

於昨日針對網路的常見設備及封包細節及網路七層及各種協定作了解說，今日解說防火牆及VPN及DMZ與子網路畫分與Proxy等內容。

防火牆(firewall)

• 防火牆的類型

  • 硬體防火牆

    • 是網路安全的基本防禦設備。
    • 在資料包進入網路之前檢查它們。

  • 軟體防火牆

    • 與硬體防火牆功能相同，但作為安裝在電腦或伺服器上的軟體程式運作。
    • 分析來自電腦或伺服器的所有流量。
    • 成本通常低於硬體防火牆，但會增加一些處理負擔。

  • 基於雲端的防火牆

    • 由雲端服務提供者提供的服務（Firewall as a Service, FaaS）。
    • 是一種由雲端服務提供者託管的軟體防火牆。
    • 組織可以在雲端介面上配置防火牆規則，防火牆會在流量到達組織的現場網路之前執行安全操作。
    • 可保護雲端上的資產或流程。
• 防火牆的工作原理

  • 有狀態防火牆（Stateful Firewall）
    *追蹤訊息流並主動過濾威脅。
    *分析網路流量的特徵和可疑行為，阻止不安全的流量進入網路。

  • 無狀態防火牆（Stateless Firewall）

    • 根據預定義的規則進行過濾，不追蹤資料包的資訊。
    • 僅依據設定的規則決定是否接受或拒絕流量，不儲存分析資訊。
    • 相對於有狀態防火牆，安全性較低。
• 新一代防火牆（NGFW）
  • 提供比有狀態防火牆更高的安全性。
  • 除了狀態檢查傳入和傳出流量外，還包括深度資料包檢查和入侵防護等更多功能。
  • 有些 NGFW 連接到雲端的威脅情報服務，快速更新以防範新出現的網路威脅。

VPN

• VPN 的基本概念

  • 虛擬私人網路（VPN）是一種增強網路安全的服務。
  • 當連接到網路時，您的網際網路服務供應商會接收並轉送您的網路請求到目標伺服器。
  • 網路請求中包含私人資訊，如銀行帳戶和信用卡號碼，這可能被攔截並關聯到您的實際位置和個人資訊。

• VPN 的功能

  • 隱藏 IP 位址：VPN 改變您的公用 IP 位址，隱藏您的虛擬位置。
  • 數據加密：VPN 服務加密透過網路傳輸的數據，以保護機密資訊。
  • 數據封裝：VPN 將傳輸中的資料封裝在其他資料包中，以保護敏感資訊。
  • 加密隧道：VPN 使用加密隧道來保護您的裝置和 VPN 伺服器之間的數據傳輸。

• 封裝與加密的工作原理

  • 封裝：將數據包包裝在其他數據包中，這樣網路路由器可以讀取路由信息但無法讀取加密的數據內容。
  • 加密：數據包在傳輸過程中加密，確保在運送過程中無法被破解或讀取。

• VPN 的優勢

  • 提供重要的保護，確保資料已加密。
  • 隱藏您的 IP 位址和虛擬位置，保護您的個人資訊不被惡意行為者讀取。

• 遠端存取 VPN vs 站點到站點 VPN

  • 遠端存取 VPN：

    • 用途：個人用戶在個人裝置和 VPN 伺服器之間建立連線。
    • 功能：對透過個人裝置傳送或接收的資料進行加密。
    • 連線：通過互聯網建立。

  • 站點到站點 VPN：

    • 用途：企業用於擴展網路到其他網路和位置，特別適用於擁有多個辦事處的組織。
    • 技術：常用 IPSec 來建立加密隧道。
    • 缺點：配置和管理複雜。

  • WireGuard VPN 與 IPSec VPN

    • WireGuard VPN：

      • 特點：高速、易於設置和維護的 VPN 協定，使用高級加密功能。
      • 用途：適用於網站對站台連線和用戶端伺服器連線。
      • 優勢：相對較新，程式碼行數較少，提高了速度，開源易於部署和調試。

    • IPSec VPN：

      • 特點：早期的 VPN 協定，用於加密和驗證資料包。
      • 用途：廣泛用於建立安全的 VPN 連線。
      • 優勢：長期使用歷史、廣泛的安全測試和採用。
      • 缺點：比 WireGuard 更古老且複雜。

安全區域 Security Zone

• 安全區域的概念
  • 定義：安全區域是網路的一部分，用來保護內部網路免受網路侵害。
  • 功能：它們是網路分段的一部分，將網路劃分為多個段，每個段有自己的存取權限和安全規則。
• 網路分段
  • 作用：控制誰可以存取網路的不同網段。
  • 例子：
    • 飯店：提供免費公共 Wi-Fi 的飯店，公共 Wi-Fi 是不安全的，與飯店工作人員使用的加密網路分 開。
• 子網
  • 目的：維護組織中每個部門的隱私。
  • 例子:
    • 大學:有教員子網和學生子網，如果學生子網受到污染，可以將其隔離以保護網路的其餘部分。
• 安全區類型
  • 非管制區：外部的任何網絡，組織無法控制。
  • 控制區：
    • DMZ（非軍事區）：
      • 含有可以存取互聯網的面向公眾的服務，如網頁伺服器、代理伺服器、DNS 伺服器、電子郵件 伺服器和文件處理伺服器。
      • 充當內部網路的邊界。
    • 內部網路
      • 包含私人伺服器和需要保護的資料。
    • 禁區
      • 保護高度機密的信息，僅特定的員工可以存取。
• 安全區域的防護
  • 防火牆配置:
    • DMZ 通常位於兩個防火牆之間，一個過濾 DMZ 以外的流量，另一個過濾進入內部網路的流量。
    • 禁區如存在，會受到另一個防火牆保護。
  • 安全性 :
    • 滲透攻擊在 DMZ 網路中無法傳播到內部網路。
    • 內部網路無法存取禁區。
• 資安分析師的角色
  • 監管防火牆上的存取控制策略。
  • 控制流量到達 DMZ 和內部網路，如限制 IP 和連接埠。
  • 確保只有 HTTPS 流量能存取 DMZ 中的 Web 伺服器。

子網路劃分和CIDR

CIDR(Classless Inter-Domain Routing) 以下是講師口述內容的重點整理：

• 課程內容概述

  • 網路分段：將網路劃分為多個部分以提高安全性。
  • 安全區域：包括非管制區、管制區、非軍事區和限制區。

• 子網路劃分概述

  • 定義：將網路細分為稱為子網路的邏輯群組。

  • 運作方式：將網路位址範圍劃分為較小的子網路，基於設備的 IP 位址和網路遮罩。

  • 優勢：

    • 提高通訊速度和效率。
    • 用於建立安全區域。

    

• 無類別域間路由（CIDR）

  • 定義：將子網路遮罩指派給 IP 位址以建立子網路。
    • 背景：
      • 替代了有類別尋址。
      • 擴大了可用 IPv4 位址的數量。
    • 格式：CIDR IP 位址格式如 198.51.100.0/24，表示 IP 位址範圍 198.51.100.0 至 198.51.100.255。
      • 優勢：
        • 減少路由表中的條目數量。
        • 提供更多可用的 IP 位址。

• 子網劃分的安全優勢

  • 網路效率：提高網路效能，無需向互聯網服務提供者請求額外的 IP 位址。
  • 隔離 :
    • 實體隔離
    • 路由配置
    • 防火牆建立隔離子網路

• 重點

  • 策略:子網路劃分是組織常見的安全策略之一。
  • 目的 :提高網路效率並建立安全區域。

proxy server

定義 :滿足客戶端請求並將其轉發到其他伺服器的專用伺服器。
位置 :位於網際網路和內部網路之間。
功能 ：
* 確定連線請求是否安全。
* 隱藏內部網路的 IP 位址。
* 增加網路安全性。

• proxy server的運作示例
  • IP 位址隱藏：客戶端接收到的 HTTPS 回應會顯示proxy server的 IP 位址，而不是實際的 Web 伺服器 IP 位址。
  • 阻止不安全網站：proxy server可以用於阻止不允許的網站存取內部網路。
  • 臨時記憶體：儲存外部伺服器定期請求的數據，減少內部伺服器的負擔。
• proxy server類型
  • Forward Proxy：
    • 作用：隱藏使用者的 IP 位址並批准所有傳出請求。
    • 背景：接收來自員工的傳出流量，批准並轉發到互聯網上。
  • Reverse proxy：
    • 作用：接受外部流量並轉發到內部伺服器。
    • 背景：保護內部 Web 伺服器，防止 IP 位址暴露。
  • 電子郵件proxy server：
    • 作用：過濾垃圾郵件，驗證寄件者地址。
    • 背景：降低網路釣魚攻擊風險。
• 電子郵件代理的實例
  • 在美國大型寬頻 ISP 工作時使用proxy server實現多層反垃圾郵件過濾。
  • 最終大約 95% 的郵件被標記為垃圾郵件。