由于Internet的发展，使全世界各地的人都可经由电脑互相通讯，然而就在人们与网路愈来愈密不可分的同时，骇客入侵事件与网路安全问题却时有所闻，这使得企业甚至个人都必须对网路安全有进一步的认识和防护。

从骇客谈起

什么是骇客呢？骇客又称黑客，是Hacker或Cracker的中译，而这二个英文有什么区别呢？在以往而言，所谓的Hacker是指那些默默奉献，深入钻研别人所不熟悉的系统内部，负责修补与改进它们的效能。 Cracker，相反的，则是那些只是为乐趣或利益去侵害他人电脑的危险分子。

而骇客和防火墙和入侵侦测系统的关系又如何呢？其实，在网路上如果人人守法并有道德良知，也就不需要防火墙和入侵侦测系统了，当然也不会有骇客了，然而事实则不然，如同你家的门窗可能不上锁吗？即使路人不偷东西，但跑去你家逛逛又出来，相信也没有人可以接受吧？因此，企业为了防止骇客，就必须建制防火墙及入侵侦测系统。而他们的关系，简单地来说，就像就一个住家，为了防止外人﹙骇客﹚进入，必须要有坚固的门窗﹙防火墙﹚建置，而为了使其更安全则又加装了24小时的保全系统﹙入侵侦测系统﹚一样。接下来我们就来探讨防火墙及入侵侦测系统。

防火墙的功能及建置

防火墙已成为企业必备的设备，因为它是企业防守的第一道门。一般防火墙的建置可分为三大区域，分别为内部网路、外部网路、及DMZ﹙非战区或周围网路﹚，所谓的外部网路指的是企业防火墙以外的区域，而内部网路指的则是企业内部各部门的网路，而DMZ，则可放置企业对外提供服务的伺服主机，如Web Server、Mail Server、FTP Server……等。

防火墙的功能主要是负责外来者身份的稽查，避免非授权者闯入。其最主要的作法可分为「封包过滤」﹙Packet Filtering﹚及「应用层闸道」﹙Application gateway﹚两种，其中「封包过滤」是针对封包的标头﹙header﹚加以检查封包的来源、目的地及埠址﹙port﹚作判断，以防止不正常的封包进入；「应用层闸道」则提供各种不同应用程式服务代理，如HTTP、FTP、SMTP、POP3等Proxy之功能，让企业的使用者经由防火墙的Proxy服务来存取资料。「应用层闸道」因为处理的是通讯协定中最上层的资料，因此在处理效能上会比「封包过滤」费时，但在安全性上则较好，现在的防火墙产品也有将这二种功能动态整合以达到效能及安全上的弹性。

在选购防火墙时，可从几点去着手，首要为安全，其次分别为效能、管理、和价格。一个好的防火墙必须拥有好的防护能力、高度的效能、正确的组态设定、及完善的管理。往往问题点是出现在组态的设定及管理，这使得骇客们更轻易地入侵，因此在组态设定方面，网管人员一定要作好符合企业安全政策的设定，确实让防火墙发挥功能；管理上面，则必须支援远端管理、存取控制和日志记录。首先，远端管理就是说当骇客企图闯入防火墙时，防火墙要能以电子邮件或手机等方式通知网管人员，进而由远端重新设定组态，甚​​至关闭介面，并且防火墙和远端的通讯都必须加密。

在存取控制方面，可利用时间及使用者认证来淮许通过防火墙，认证则可配合一些专门作认证的伺服器，如RADIUS Server。第三为安全日志，检查安全日志是非常重要的，因为它可以协助追踪骇客，但必须监视日志档是否填满，及日志档填满后的动作，例如，重新写回到日志档最旧的记录或让防火墙继续运作但不记录日志等，以避免防火墙的服务终止。由上知，防火墙只是一个网路安全的控管系统，必须由「人」确切的管理才能发挥其最大的功用。

入侵侦测系统﹙IDS﹚功能与建置

很多人都会问，为什么有了防火墙之后，我还需要入侵侦测系统呢？什么又是入侵侦测系统﹙以下简称IDS﹚？就如同前述的，即使您有了一道很坚固的门，但还是无法确保你房子的安全，这时您可能就会请24小时的保全，这就是IDS。

网路安全事件不断传出，难道这些单位和企业都没有设置防火墙吗？基本上，入侵侦测系统和防火墙是互补的，因为有一些骇客会以「合法存取来掩饰非法存取」，如公司有Web 的Service或者Mail的Service，只要是这类的封包都可通过防火墙的安全政策，即使防火墙是「应用层闸道」式的防火墙，也不会一一对应用层资料的内容作详细的检查，这时骇客则利用一些系统的弱点﹙bug﹚入侵系统。

这时IDS可以帮您做什么呢?一般来说,IDS分成二种,称为侦测器﹙Sensor﹚及扫描器( Scanner ):

1. 侦测器﹙Sensor﹚：

利用在网路传输的封包或者系统中的稽核档﹙audit logs﹚当作判断骇客入侵的依据，进而即时的阻断骇客的攻击。而侦测器依其部署的位置及功能可分为网路型( Network-Base )、主机型( Host-Base )及混合型( Hybrid-Base)。

2. 扫描器﹙Scanner﹚：

扫描网路设备、作业系统及资料库上的漏洞( bug )，产生其弱点评估的报表，并产生正确的修护步骤，是扫描器最主要的功能。依扫描器其部署的位置及功能可分为网路型扫瞄器，系统型扫描器及资料库( 应用程式 )扫描器。

由此可以知道，侦测器及扫描器各有其所长，并且可以相互搭配，达成即时的防护及反制，以免网站被人入侵几个月但却不自知。

(图一)我们可以看出侦测器的部署方式。

《图一 侦测器的部署方式》

小结

网际网路和人愈来愈不可分离，网路的安全必然会受到重视，防火墙和入侵侦测系统都是防止骇客的工具，但一切的根本还是在于「人」的管理，必须建置好防火墙和入侵侦测系统，并作好安全政策的设定及事件发生的处理状况，才可以真正落实网路安全。