攘外必先安内

四月份「中」美骇客大战，几乎占据了资讯新闻大半版面，也成了大家茶余饭后的话题，所讨论的除了双方有哪些网站被入侵外，让许多人意外的是为何Firewall 抵挡不了这些骇客攻击？

Firewall 并不是企业网路安全之唯一保证，藉由Firewall 开放存取内部资源之途径，骇客仍可直接入侵企业内部系统；「中」美骇客大战，许多受Firewall 保护之网站被入侵，证明Firewall 仍有无法避免之缺陷，也突显了内部网路须加强安全防护之重要性！

破坏份子随着通讯而来

Internet 应用普遍除了带来便利外，也带来了安全威胁！要有效防范骇客入侵，首先得了解企业内部有哪些安全威胁？

电脑病毒

电脑病毒长久以来即威胁电脑系统，其主要目的为破坏系统档案与妨碍程式运作，随着e-mail、web 等网路应用普及，病毒破坏之力道更加强悍且更全面，甚至弹指之间即流窜至世界各地！如今电脑病毒更结合后门与木马程式，大举进驻成百上千万之广大 Internet 用户，成为最具威胁之入侵来源！

内网入侵

据统计，超过60% 之入侵行为来自于内部使用者，因为内部使用者最熟悉网路环境，且不受Firewall 管制；此外，内部系统也会因Firewall 开启之通道，造成Internet 上的骇客有机会侵入内部系统。内部系统之所以容易遭受攻击，是因为一般作业系统并不能管控外人之存取，一旦系统有漏洞存在，骇客即可肆无忌惮地攻击系统。

秘密窃听

另一种网路安全威胁为Sniffer ，一般称为网路窃听，利用资料流经网路途中将传输之资料录制窃取，就如同电话分机监听功能，网路传输资料可一览无遗，因此诸如系统密码以及机密资料，都可轻易被窃取。此类程式并不容易被察觉，一方面是它不破坏系统，同时会搜集网路上传输之资料，并利用Firewall 既以开启之连线通道，例如利用WWW 通道进行资料传递，借以欺瞒入侵之事实。

内网之护身符

针对上述系统安全缺失，需要安装不同保全机制才能达到防卫效果，包括︰AntiVirus, Distributed Firewall 与 VPN。

AntiVirus

AntiVirus 之需求不言可喻，而充斥于市场之各种防毒软体各有各的优点，除了各家防毒厂商宣称之截毒能力外，企业应从几个方向挑选适用之防毒软体︰

1.支援多样之系统装置

企业内部存在有伺服器、使用者 PC、Laptop 乃至行动装置 PDA，须能完整支援。

2.支援多种架构

防毒软体需支援 PC、Workstation、File Server、Firewall、Mail Servers 与 Virus Gateway。请参考(图一)。

《图一 企业选择防病毒软件的方向》

3.提供整合能力

企业除了使用防毒软体杜绝病毒破坏外，还必须能随时掌握各系统上防毒软体之运作情形，防毒功能是否运作正常？是否下载最新病毒码？以及是否可自动软体派送安装，减少维护负担？

Distributed Firewall

随着电子化时代来临，传统纸张资料已逐渐被电脑档案所取代，因此许多机密资料被存放在伺服器、桌上电脑或手提电脑中，而这些机器可能放置在受Firewall 保护之内部网路中，或者直接连线至Internet Firewall 在Internet 环境中通常扮演第一线之安控角色，为企业网路安全把关。

然而系统不经过安全强化之保障，无论资料存放于何处，骇客仍可借许多管道侵入企业网路中盗取或破坏资料，因此系统之保卫措施是不可少的。 Firewall 可以为网路安全把关，同样也可为系统安全把关，为系统安全把关的Firewall 机制称为Distributed Firewall，顾名思义是分散安装于各系统中，无论系统置于何处都能为自身之安全把关，如此系统自身即可阻挡大部分攻击，如DoS、DDoS、后门与木马程式以及未经授权之存取。

Distributed Firewall 除了安全防卫外，也须提供集中管理机制，除了降低企业管理之负担外，透过集中管理机制，管理者可协助使用者设定存取控管，让使用者无痛享有安全之好处。请参考(图二)。

《图二 网络黑客的入侵途径》

VPN

借着网路窃听，机密资料经由网路传输可能被骇客窃取，欲避免资料在传输过程中遭窃取，须使用加密技术。目前提供传输加密的技术有许多种，但最安全与完整之加密技术应属IPSec。

IPSec 同时具备身分认证( user authentication ) 与传输资料加密( data encryption)，是网路传输最安全之保证，IPSec 运作于IP 层，因此可支援所有之TCP/IP 应用程式，同时IPSec 已是业界标准规格，因此广为网路应用，系统与系统间连线、使用者与系统间连线透过IPSec 之加密连线可确保资料传输之隐密性。参考(图三)。

《图三 网络传输的加密技术》

安全首重管理

网路安全已不再是Firewall 可独自承担，它需要许多机制配合才能完善，此时网路安全架构复杂化难以避免，因此如何有效地管理分散四处之安全措施，是企业网路安全建置之成败关键。

企业网路安全须具备几项要件︰

《图六 整合网络中所有系统之安全事件产生报表》

● 能提供多层次之安全控管机制，以满足不同规模之企业网路环境；

● 集中设定与修改企业网路环境中各种安控机制之安全政策；

● 软体自动派送与更新；

● 当系统之安全政策遭违反时，能集中产生警示讯息；

● 可针对各系统、安控程式产生安全报表，也可以整合网路中所有系统之安全事件产生报表。参考(图四)与(图五)。

《图四 整合与管控分散于企业内部系统之各种安全信息》

《图五 多层次之安全控管机制》

随着骇客入侵日益严重，网路保全措施亦应全面提升，然而当企业意识到系统安全之重要性后，如何建立与挑选有效之防卫机制，却常令企业举足无措。因此当企业准备强化网路中各系统安全性时，必须考虑是否兼具方便管理特性，能在采用了多种系统防卫机制后仍可运筹帷幄，随时掌握整个企业网路系统之安全状态。有了完备的管理机制，企业之网路安全便指日可待！