Firewalls
防火牆是一種網路安全裝置network security device ,它監控進出您網路的流量。
防火牆可以使用端口過濾,這會阻止或允許某些端口號以限制不必要的通信。
| 防火牆類型 |
主要功能 |
優點 |
缺點 |
| 硬體防火牆 |
• 檢查進入網路前的每個數據包 • 依據安全規則過濾流量 |
• 提供基本的網路防護 • 獨立設備,不佔用主機資源 |
• 需要額外的物理設備 • 佔用空間 • 可能較為昂貴 |
| 軟體防火牆 |
• 分析接收到的所有流量 • 與硬體防火牆功能相同 |
• 成本較低 • 不需要外的物理空間 • 安裝簡便 |
• 增加設備的處理負擔 • 依賴主機系統資源 |
| 雲端防火牆 |
• 在流量到達內部網路前執行安全操作 • 保護雲端資產或流程 |
• 無需管理實體設備 • 可輕鬆擴展 • 保護雲端資產 |
• 依賴第三方服務提供商 • 需要網路連接 • 可能有訂閱費用 |
| 無狀態防火牆 |
• 根據預先定義的規則運作 • 僅依照設定的規則接受或拒絕流量 |
• 處理效率高 • 設定直接明確 |
• 不存儲已分析的資訊 • 無法發現可疑趨勢 • 安全性較低 |
| 有狀態防火牆 |
• 追蹤通過的資訊 • 分析網路流量特徵和行為 • 主動過濾威脅 |
• 能夠主動發現並阻止可疑行為 • 更高的安全性 |
• 處理資源需求較高 • 配置可能較為複雜 |
| 下一代防火牆 (NGFW) |
• 提供有狀態檢查 • 執行深度封包deep packet inspection檢查 • 提供入侵intrusion防護功能threat intelligence services |
• 提供最高級的安全功能 • 可連接雲端威脅情報 • 可對抗新興威脅 |
• 成本較高 • 配置複雜 • 需要專業知識維護 |
Virtual private networks (VPNs)
VPN的功能:
- 提供安全的網路連接。
- 保護使用者的隱私和數據安全。encapsulation on your data in transit.VPN services perform encapsulation to protect sensitive data by wrapping it in other data packets.
- 隱藏使用者的IP地址,讓網路活動更難以追蹤。
使用VPN的好處:
- 可以安全地訪問公共Wi-Fi網絡。
A security professional sets up a security measure to allow employees to work from home securely while having access to internal network resources. What does this scenario describe?VPN
- 允許訪問地理區域限制的內容。
- 提高網絡安全性,防止黑客攻擊。
Security zones
two types of security zones:
- uncontrolled zone
- controlled zone, which is a subnet that protects the internal network from the uncontrolled zone: demilitarized zone, or DMZ
network segmentation
subnetworks
two types of security zones.
| 項目 |
說明 |
| 安全區域的功能 (Security Zones) |
保護內部網路免受互聯網威脅,作為屏障維護隱私並防止問題擴散。 |
| 網路分段技術 (Network Segmentation) |
將網路分成多個區段,每個區段有自己的存取權限和安全規則。 |
| 網路分段例子 (Example of Network Segmentation) |
酒店提供公共Wi-Fi,將訪客網路與員工網路分開。 |
| 子網的應用 (Subnets) |
組織的網路可以分成子網,以維護各部門的隱私,例如大學的教職員子網與學生子網。 |
| 未受控區域 (Uncontrolled Zone) |
組織控制範圍外的網路,如互聯網。 |
| 受控區域 (Controlled Zone) |
保護內部網路免受未受控區域影響,包括DMZ和限制區。 |
| DMZ(非軍事區) (Demilitarized Zone) |
Isolate servers exposed to the internet from the rest of a network 位於受控區域的外層,包含面向公眾的服務,如網頁伺服器、代理伺服器、DNS伺服器等。 |
| 內部網路 (Internal Network) |
包含需要保護的私人伺服器和數據。 |
| 限制區 (Restricted Zone) |
保護機密信息,僅特定權限的員工能存取。 |
| 防火牆的作用 (Firewalls) |
DMZ位於兩個防火牆之間,提供多重防護,限制區也會用防火牆保護。 |
| 安全分析師的角色 (Security Analyst Role) |
負責管理防火牆上的存取控制政策,限制IP和端口以控制流量。 |
| 安全區域的重要性 (Importance of Security Zones) |
是大型組織網路安全的重要部分,理解其使用方式對安全分析師非常重要。 |
Subnetting and CIDR
Overview of subnetting
-
子網的定義:
- "Subnetting is the subdivision of a network into logical groups called subnets."
- 子網是將一個網絡劃分為邏輯群組,這些群組稱為子網。這裡強調了子網的核心概念,即將一個大的網絡地址範圍細分為較小的管理單位,提高管理及運行效率。
-
運作方式:
- "It works like a network inside a network."
- 子網的運作方式類似於在一個網絡內再創建一個小網絡,這使得網絡的組織結構更加清晰,並提供了更多的靈活性。
-
根據IP地址和網絡掩碼形成:
- "These smaller subnets form based on the IP addresses and network mask of the devices on the network."
- 子網是根據網絡中設備的IP地址和網絡mask來形成的。這意味著網絡架構的設計需要考慮到每個設備的具體配置,以確保它們能夠正確地進行通信。
-
功能和效益:
- "Subnetting creates a network of devices to function as their own network."
- 子網使得設備能夠作為一個獨立的網絡運行,這有助於提升網絡效能並便於管理。
- "This makes the network more efficient and can also be used to create security zones."
- 通過子網化,網絡變得更加效率化,還可以創建安全區域,增強網絡安全性。
-
通信效率:
- "If devices on the same subnet communicate with each other, the switch changes the transmissions to stay on the same subnet, improving speed and efficiency of the communications."
- 當同一子網的設備之間進行通信時,交換機(switch)會調整數據傳輸,保持在同一子網中,從而提高了通信速度和效率。這表明子網不僅提升了結構性,還具備性能優化的作用。
總結來說,這段文字充分説明了子網的基本概念及其在網絡管理和通信效率方面的重要性,並強調了在設計網絡時考慮子網的必要性。
Classless Inter-Domain Routing notation for subnetting
- Classless Inter-Domain Routing(CIDR)是一種將subnet masks分配給IP地址以創建子網的方法。
- CIDR 取代了1980年代使用的類別劃分 classful addressing地址系統,後者將IP地址分為類A至類E每類別有有限的IP地址,隨著連接互聯網的設備數量增長,這些地址逐漸耗盡。
- CIDR擴展了可用的IPv4地址數量,並允許網絡安全專業人員將類別網絡分割成更小chunks的部分。CIDR地址格式與IPv4地址相似,但在地址尾部包含一個斜線後跟一個數字,稱為IP網絡prefix前綴,例如198.51.100.0/24,表示IP地址範圍在198.51.100.0到198.51.100.255之間。
- CIDR地址系統減少了路由表中的條目數量,為網絡提供了更多可用的IP地址。可以通過線上轉換工具進行CIDR與IPv4地址的轉換以加深理解。
Security benefits of subnetting
- 子網劃分的安全優勢在於,網路專業人員能在自己的網絡內建立網絡,而無需向網際網路服務提供商請求其他網絡IP地址。
- 這一過程能更有效地利用網絡bandwidth,提升網絡性能。
- 子網劃分是通過physical物理隔離、路由配置和防火牆來創建隔離子網路的一個組成部分。
Proxy servers
- 充當客戶端與其他伺服器之間的中介fulfills the requests of its clients by forwarding them to other servers
- 隱藏私有網路的IP地址
功能:
- 過濾進出流量
- 增強網路安全
- 使用暫存記憶體存儲常用資料 Temporarily stores data that is frequently requested by external servers
- Determine whether requests to connect to a website are allowed
- Use public IP addresses that are different from the rest on the private network
類別:
| 專業術語 | 功能介紹 | 優點 | 缺點 |
|----------------------------|----------------------------------------------------|---------------------------------------|--------------------------------------------|
| 代理伺服器 (Proxy Server) | 充當客戶端與其他伺服器之間的中介,轉發請求並隱藏私有網路的 IP 地址。 | 增強網路安全,隱藏內部網路 IP,減少直接接觸。 | 可能增加延遲,需配置正確以防止錯誤。 |
| 正向代理伺服器 (Forward Proxy) | 隱藏使用者的 IP 地址,批准並轉發外發請求。 | 提高隱私保護,阻擋不安全網站。 | 可能影響網速,需妥善管理以避免過濾錯誤。 |
| 反向代理伺服器 (Reverse Proxy) | 保護內部伺服器,批准外部流量並將其轉發至內部伺服器。 | 保護伺服器不曝光 IP,減少攻擊風險。 | 需要精確配置以確保有效性,可能增加管理負擔。 |
| 電子郵件代理伺服器 (Email Proxy) | 過濾垃圾郵件,驗證發件地址以降低釣魚攻擊風險。 | 減少垃圾郵件,提高安全性。 | 可能會錯誤過濾合法郵件,需定期更新過濾規則。 |
| 特性 |
Forward Proxy(正向代理) |
Reverse Proxy(反向代理) |
| 代理對象 |
用戶端(Client) |
伺服器(Server) |
| 用途 |
用戶端訪問外部網絡 |
外部用戶訪問內部伺服器 |
| 隱藏對象 |
隱藏用戶端的 IP 地址 |
隱藏內部伺服器的 IP 地址 |
| 主要功能 |
管理和限制用戶的網路訪問 |
保護伺服器安全,負載平衡,優化流量 |
| 典型場景 |
公司限制員工訪問網頁,訪問地區受限的內容 |
網站伺服器負載平衡,保護內部伺服器 |
Virtual Private Networks (VPN)
VPN是一種加密傳輸數據並隱藏 transit and disguises IP地址的服務。它透過封裝encapsulation過程將未加密數據包裝在加密數據包中,以保護通過公共網絡傳輸的數據匿名性。企業和組織使用VPN保護用戶設備與企業資源之間的通信,個人則用來提高隱私保護。良好的VPN能隱藏用戶的個人信息,並減少對用戶網絡活動的訪問。越來越多組織將VPN與軟體定義廣域網(SD-WAN)結合使用,以安全連接多個地點的用戶至應用程序。
Remote access and site-to-site VPNs
遠端存取 VPN(Remote Access VPN)和站對站 VPN(Site-to-Site VPN)
| VPN 類型 |
定義與用途 |
優點 |
缺點 |
| 遠端存取 VPN (Remote Access VPN) |
個體用戶用來建立個人設備與 VPN 伺服器之間的連接。用戶通過互聯網連接至 VPN,並加密其發送或接收的數據。 |
- 提供安全的上網環境 - 適合個人使用 - 簡單易於配置 |
- 依賴互聯網穩定性 |
| 站對站 VPN (Site-to-Site VPN) |
企業用於將網絡擴展至其他網絡和地點,特別適合擁有多個辦公室的組織。常用 IPSec 協議建立主網絡與遠端網絡之間的加密隧道。 |
- 適合企業跨地點網絡擴展 - 數據傳輸安全 - 可用於全球辦公室互聯 |
- 配置和管理較複雜 - 需要專業人力資源支持 |
WireGuard VPN vs. IPSec VPN
- WireGuard 和 IPSec 的定義
WireGuard 和 IPSec 是兩種常見的 VPN 協議,它們的功能都是為了增加互聯網使用時的安全性,通過加密技術來保護用戶的數據不被竊取或監控。
- 主要功能與特點
這些協議允許用戶在不信任的網絡環境中建立安全的連接。透過這些協議,數據在互聯網上以加密的形式傳輸,這意味著即使數據在傳輸過程中被攔截,攔截者也無法解讀這些數據。
- VPN 供應商提供的選擇
大多數 VPN 供應商提供多種協議選擇,包括 WireGuard 和 IPSec。選擇合適的協議通常取決於用戶的需求與使用情境。
- 考量因素
文本提到選擇 WireGuard 還是 IPSec 依賴於多種因素,包括:
連接速度:用戶在使用 VPN 時希望獲得穩定且快速的連接,因此速度成為一個重要的考量點。
兼容性:協議必須與現有的網絡基礎設施相容,這樣才能在不影響系統正常運作的情況下實施。
業務需求或個人需求:無論是企業還是個人使用者,對於安全性和性能的需求可能有所不同,需根據實際需求選擇最適合的協議。
| 特徵 | WireGuard VPN | IPSec VPN |
|--------------------|------------------------------------------------------|--------------------------------------------------------|
| 速度 | 高速,下載速度更快 | 較慢,因為較複雜 |
| 加密 | 先進的加密方式 | 用於加密和身份驗證數據包 |
| 設置和維護 | 簡單,設置和維護方便 | 較複雜 |
| 支持情況 | 相對較新,但被許多用戶使用 | 被大多數操作系統支持 |
| 代碼行數 | 使用較少的代碼行數,提升下載速度 | 代碼較多,可能影響性能 |
| 開源 | 是,易於用戶部署和調試 | 否 |
| 用途 | 適合需要快速下載的任務,例如流媒體或大檔案下載 | 適合建立安全的加密連接 |
| 使用偏好 | 潛在更好的性能和簡單的配置 | 長期使用歷史更長,經過廣泛的安全測試 |
yennefer
iThome鐵人賽
看影片追技術