111年高考三級資通網路與安全
|
四、在網路駭客行為難以完全禁絕的情況下,現代企業需採用各種網路安全設備來提供防護,其中入侵偵測系統 (IDS) 和防火牆 (Firewall) 就是常見設備,請問: (一)入侵偵測系統和防火牆在功能上和部署位置上有何區別?請詳細說明之。(15分) (二)入侵偵測系統可以分為主機型以及網路型,請說明這兩種類型的差別。 (5分) |
答:
(一)
|
|
Firewall |
IDS |
|
主要功能 |
一般是用在檢視 OSI架構中的網路層及傳輸層封包,針對流量中的 IP 位址、連接埠號碼來設定相關的通行規則,只要是符合的封包便可以通過,但是不會檢查封包內容,對於利用合法網址和連接埠從事的破壞活動,無法阻擋 |
1.彌補防火牆的不足。如果說防火牆是網路第一道防線,入侵偵測系統則是網路第二道防線。 2.對系統安全日誌、稽核資料或其他網路上可以獲得的資訊進行研判,以辨別某些來源是否對系統具有安全威脅或入侵企圖 3.只會紀錄攻擊行為,但是不會做阻擋 |
|
控管層級 |
Layer 4 |
Layer 7 |
|
防禦方式 |
主動 |
被動 |
|
部署位置 |
網路邊界,用來隔離內外網 |
1.主機型入侵偵測系統(HIDS): 不拘 (主機、防火牆、伺服器主機) 2.網路型入侵偵測系統(NIDS): 需要設在所有網路封包必經過的網 路節點 (防火牆外、防火牆內、防火牆內外、DMZ、子網路節點) |
|
種類 |
1.傳統封包過濾器 2.狀態式過濾器 3.應用程式閘道器 |
1.主機型入侵偵測系統 2.網路型入侵偵測系統 3.誘捕防禦系統 |
※參考資料:
1.https://kknews.cc/zh-tw/news/gmzmomm.html
2.https://www.twblogs.net/a/5b95814b2b717750bda4ef34
(二)
|
|
主機型入侵偵測系統(HIDS) |
網路型入侵偵測系統(NIDS) |
|
共同點 |
使用入侵比對方法,來判斷是否為駭客行為 |
|
|
偵測方式 |
檢查系統日誌檔中確實發生的事件 (包括檔案存取、嘗試加入新的執行檔及嘗試使用某特殊系統服務等),能比網路型式 IDS 更精確無誤的衡量駭客是否已經入侵成功 |
會檢測所有的原始網路封包 Header 以及內容 (是否有指令及語法),以判別是否為駭客行為,所以能在偵測攻擊行為的同時,就進行反制作為或提早預警 |
|
環境限制 |
安裝在重要的特定主機上 |
可以安裝在防火牆內外,用來觀察特定網段或含有多種不同電腦主機所在的網路通訊環境,但是不適合有加密及網路交換器的環境 |
|
監控對象 |
稽核日誌、系統狀態 |
網路封包 |
|
監控範圍 |
主機本身 |
區域 |
|
分析方式 |
分析系統和網路日誌、目錄及檔案稽核、程式執行稽核 |
訊務收集、實體網路架構 |
|
預防措施 |
事後分析 |
事先預警 |
|
配置方式 |
每台電腦皆安裝軟體 |
獨立監控主機 |
|
對加密封包的監控 |
易 |
難 |
|
佈署位置 |
不拘 (主機、防火牆、伺服器主機) |
需要設在所有網路封包必經過的網路節點 (防火牆外、防火牆內、防火牆內外、DMZ、子網路節點) |
|
與作業系統的相關性 |
高 |
低 (因為只需一台主機) |
|
對於硬體的要求 |
低 |
高 (因為獨立監控全區域) |
|
即時性 |
低 |
高 |
|
入侵的證據抹除 |
易 (入侵者可以修改) |
難 (因為封包會被記錄) |
|
佈署成本 |
高 |
低 |
|
產品 |
軟體 |
網路硬體設備、軟體 |
留言列表
國考資訊處理解答 (7)
