MIS — 伺服器的資安防護

5 min readMar 25, 2020

系統安全的風險來自於「威脅」與「漏洞」這兩項。

威脅

可能對系統造成損害的事故。網際網路上的使用者都是公開地交換資訊，其中也充斥著電腦病毒、不正當的連線入侵、DoS(Denial of Service,阻斷服務)形式的攻擊。

漏洞意指系統存在的弱點，也就是有缺陷的地方。

為了能夠對抗來自網際網路的威脅，需要定期安裝安全修補程式(Security Patch)。建議定期進行規劃(Plan)→執行(Do)→查核(Check)→修正(Action)的PDCA循環。

防火牆能針對IP位址或通訊埠編號等資訊，允許或拒絕連線通訊。安全策略(Security Policy)允許或拒絕什麼樣的通訊。

防火牆的類型可分為以下幾種：

傳統防火牆：檢查OSI的網路層(Layer 3)和傳送層(Layer 4)，來源IP和目標IP，來源通訊埠和目標通訊埠。
UTM(Unified Threat Management) 整合式威脅管理設備。包含防火牆、VPN、IDS/IPS、防毒、防垃圾郵件、內容過濾…。
次世代防火牆(Next-Generation Firewall, NGFW)：在應用程式層級控管通訊。在UTM常見的功能外再增加「應用程式識別」(ex 允許Twitter 拒絕Youtube)和「視覺化」。
網頁應用程式防火牆(Web application Firewall,WAF)：應用程式的層級、保護公開於網際網路的網頁伺服器。包含跨網站指令碼、SQL注入攻擊、跨網站偽造請求。

一般的網路環境以防火牆為中心可劃分為4個分區，對外公開的伺服器應當配置於DMZ(De-Militarized Zone,非軍事區)而非公開的伺服器則配置於信任區。

IDS(Intrusion Detection System, 入侵偵測系統)：從連線通訊的行為偵測是否為不正當的入侵動作。可疑連線的行為或攻擊模式會以「辨識特徵(Signature)」的形式保存在IDS之中。
IPS(Intrusion Prevention System, 入侵防禦系統)：根據連線通訊的行為舉止來防禦網路攻擊或不正當入侵。IPS相當於IDS的升級版本，少了管理者介入操作的時間。

偵測針對伺服器而來的DoS阻斷服務攻擊或不正當的入侵等動作。最近的防火牆或UTM通常會內建這個功能。
目前大多採用先以IDS單純進行偵測、等到確認伺服器狀態之後、再以IPS執行攔截阻擋的方式。

「UTM(Unified Threat Management) 整合式威脅管理設備」可說是將各式各樣的安全功能彙整於單一設備的防火牆。目前市面上有：

UTM通常具有以下功能：

在UTM功能上增加了「應用程式識別」以及「資訊視覺話」等新功能。識別應用程式不是只有單純地利用通訊埠，還會審視網址、內容資訊、副檔名。

以前的防火牆要利用SNMP(Simple Network Management Protocol)或是Netflow之類的網路監測機制。而次世代防火牆對於在應用程式層級進行識別的連線通訊，能將相關資訊整理成圖形或表格。

傳統防火牆以及IDS/IPS只有OSI模型的第三層(網路層,Network Layer) — IP位址，和第四層(傳送層,Transport Layer) — 通訊埠編號。

而WAF除了通訊埠編號之外還會在應用程式層級監視HTTP協定所交換的全部資料，藉以執行通訊控管的工作。

專門針對網頁應用程式的攻擊方式：

WAF為了能夠對抗上述之類的攻擊方式，會將各種攻擊手法的範本型態以「辨識特徵(SIgnature)」的形式保存起來。

普遍的網路認證方式除了基本的驗證帳號密碼之外還可以使用以下的方法