架構高安全性資料通訊管道於企業虛擬私有網路
78
0
0
全文
(2) 架構高安全性資料通訊管道於企業虛擬私有網路 Secure Extranet Communication over General Enterprise VPN. 研 究 生:李文正. Student:Wen-Cheng Lee. 指導教授:黃景彰 博士. Advisor:Dr. Jing-Jang Hwang. 國 立 交 通 大 學 管理學院(資訊管理學程)碩士班 碩 士 論 文. A Thesis Submitted to Institute of Information Management College of Management National Chiao Tung University In Partial Fulfillment of the Requirements For the Degree of Master of Business Administration in Information Management July 2005 Hsinchu, Taiwan, the Republic of China. 中. 華. 民. 國. 九 十. 四. 年. 七. 月.
(3) 架構高安全性資料通訊管道於企業虛擬私有網路. 研究生:李文正. 指導教授:黃景彰 博士. 管理學院(資訊管理學程)碩士班. 摘要 在企業傳統的資料傳遞架構中,為了安全地傳遞資料,需添購昂貴資訊安全硬體設備 或是應用軟體,隨著攻擊活動日新月異的變化,企業需要付出更多的代價來升級與替換安 全軟硬體設備。本論文利用開放原始碼軟體(open-source software)的組合,來達到低建 制成本與低維護成本並達到加強資料傳遞時之安全性。也因為開放原始碼軟體的高公開 性,讓此系統可以針對實際需求來做適當的特性調整,讓企業跨國網路對資料傳遞時安全 性的保障彈性更大。 開放原始碼軟體間的搭配整合度不高,需要記憶許多不同種類的使用方式與操作步 驟,非常容易出錯,造成系統潛在性不安全。因此本論文利用 Tcl/Tk 適合開發圖形介面 的特性,撰寫一個友善的圖形操作介面,來協助管理人員可以輕易地透過單一圖形介面來 完成系統的所有功能,避免操作的風險,同時降低維護的成本與使用的障礙。. 關鍵字: 開放原始碼軟體(open-source software)、圖形介面. i.
(4) Secure Extranet Communication over General Enterprise VPN Student:Wen-Cheng Lee. Advisor:Dr. Jing-Jang Hwang. Institue of Information Management National Chiao Tung University Hsinchu, Taiwan, Republic of China Abstract In traditional enterprise data center, a huge amount of investment on hardware and software to keep the data transfer safe and secure. Facing the evolution of network attack day by day, more and more expense are necessary and inevitable on upgrade both software and hardware. However, open source software (OSS) community keeps decent close step on security update which offers an opportunity for better security and less expense. Due to the nature of OSS, the developers are distributed overall the world and different project are built on different style . It is very difficult to integrate various security OSS projects together and to serve in consistent direction. In this thesis, a robust environment is developed to solve the security problem on enterprise extranet data exchange. This solution provides lower expense and faster the security update on basis of OSS. It includes operation interface on OSS packages and a sophisticated graphical user interface (GUI). On this GUI, it reduces the operation barrier on system administrator and reduces the risk on operation mistakes, especially built on different OSS packages. The GUI is written on popular Tcl/Tk language for easier maintenance and low development error. keyword︰open source software (OSS),graphical user interface(GUI). ii.
(5) 誌 謝 感謝我的指導教授黃景彰博士,在黃老師的悉心指導下,讓我能順利地完成學習的過 程,也非常感謝所有的口試委員,因為口試委員們的指點,讓論文的內容能夠更完整,尤 其是廖耕億博士的大力幫忙與協助。 特別要感謝的是工作上的伙伴及長官在碩士班學習期間給我支持及鼓勵,不論是前一 份工作的長官朱光宇經理或是現職的長官及同事,都提供了許多的幫忙及方便,我才能順 利完成課業。而在學期間,更是要感謝交大資管所裡的老師和同學們,他們的指導與鼓勵, 讓我獲益良多,也因為同學們有許多人都己在工作職場中有相當的經驗,從他們的身上不 僅學得到許多專業知識,更能學習到各工作領域中的一些決策及生活哲學,因此能在許多 方面都有所成長。 最後要感謝我的家人,先前因為家人的健康問題而讓學習過程進度停頓,近日家人的 健康已逐漸回復至保養階段,所以家人都全力支持我安心的投注在課業上,尤其是內人靖 芬,下班後還要侍奉公婆及教育二名幼兒,更是辛苦,但她仍全力支持我,讓我能無後顧 之憂。. iii.
(6) 目錄 中文摘要………………………………………………………………………………‥i 英文摘要………………………………………………………………………………‥ii 誌謝……………………………………………………………………………………‥iii 目錄……………………………………………………………………………………‥iv 表目錄…………………………………………………………………………………‥vi 圖目錄…………………………………………………………………………………‥vii. 第一章 緒論 .......................................................................................................................................1 1.1 研究背景..........................................................................................................................................1 1.2 研究動機與目的..............................................................................................................................2 1.3 研究方法..........................................................................................................................................3. 第二章 文獻探討 ............................................................................................................................5 2.1 新一代的定址方式 IPV6 ...................................................................................................................5 2.2 虛擬私有網路(VPN) .......................................................................................................................10 2.3 IPSEC 的運作機制..........................................................................................................................19 2.4 SUN MICROSYSTEM 之作業系統概述 ..................................................................................................23 2.5 OPEN SOURCE ...................................................................................................................................35 2.6 TCL/TK 語言....................................................................................................................................44 2.7 IP FILTER 的功能 .............................................................................................................................47. 第三章 系統設計 ..........................................................................................................................49 3.1 為什麼選擇以 SOLARIS 作業系統建構 IPV6 的環境......................................................................49 3.2 為什麼選擇 IP FILTER 及 TCL/TK 來建構系統 .............................................................................50 3.3 虛擬私有網路(VPN)的設計...........................................................................................................51 3.4 友善的圖形操作介面.....................................................................................................................53. 第四章 測試驗證 ..........................................................................................................................60 4.1 驗證環境的建構 ............................................................................................................................60 4.2 IPSEC 機制的確認..........................................................................................................................61 iv.
(7) 4.3 網路監控工具的應用.....................................................................................................................63 4.4 實際封包(PACKET)內容的驗證 .......................................................................................................63. 第五章 結論 .....................................................................................................................................67 5.1 結論 ..............................................................................................................................................67 5.2 未來研究方向 ..............................................................................................................................68 參考文獻 ....................................................................................................................................................69. v.
(8) 表目錄 表 1 IPv6 基本標頭各欄位說明...................................................................................... 7 表 2 IPv6 選擇性功能表.................................................................................................. 8 表 3 IPv6 取消IPv4 部份的欄位..................................................................................... 9 表 4 IPv6 與IPv4 options的相異之處.......................................................................... 9 表 5 IPSec VPN與 SSL VPN的優缺點比較................................................................... 19 表 6 /etc/inet/ipsecinit.conf設定檔欄位參考表............................................................ 33 表 7 主要的開放原始碼軟體授權方式的差異比較..................................................... 43 7. vi.
(9) 圖目錄 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖 圖. 1 研究方法圖示......................................................................................................... 4 2 IPv6 基本標頭格式................................................................................................ 6 3 extension headers位置圖................................................................................... 7 4 IPv4 的標頭格式.................................................................................................... 8 5 Client to Site 的VPN 模式............................................................................. 11 6 Site to Site 的VPN 模式................................................................................. 12 7 防火牆常見的架構之封包過濾路由器................................................................ 14 8 防火牆常見的架構之防禦主機............................................................................ 15 9 防火牆常見的架構之鄰界網路............................................................................ 16 10 防火牆常見的架構之Proxy 伺服器.................................................................. 17 11 IPSec 之 Transport Mode................................................................................ 21 12 IPSec 之 Tunnel Mode..................................................................................... 22 13 IPSec 之 功能架構........................................................................................... 22 14 Solaris作業環境中的四大基礎....................................................................... 25 15 Solaris Dual Stack Protocol....................................................................... 26 16 Solaris Dual Stack socket interface 通訊協定選擇之順序................. 27 17 名稱服務所使用的主機資料庫.......................................................................... 30 18 nsswitch.conf與名稱服務之間的關係............................................................ 30 19 系統建立通道模式前.......................................................................................... 51 20 系統建立通道模式後.......................................................................................... 51 21 通道模式的機制.................................................................................................. 52 22 VPN網路設定的圖形介面.................................................................................... 54 23 VPN - Tunnel 設定介面................................................................................... 55 24 Firewall - 設定的啟始畫面............................................................................ 56 25 Firewall - Load config file 畫面............................................................. 57 26 Firewall – 檢查firewall rules 介面........................................................ 58 27 系統Quit 確認視窗............................................................................................ 59 28 測試環境示意圖.................................................................................................. 61. vii.
(10) 第1章 緒論. 1.1 研究背景 隨著網際網路(Internet)的快速成長和普及化,越來越多的企業組織紛紛將原本封閉 的私有網路或區域網路與網際網路相連結,一方面可以提供多種的服務和資訊給客戶,另 一方面也可以透過網際網路來獲得許多的資源。近年來,許多人開始把網際網路的技術應 用到組織內部來,形成了所謂的企業內部網路(Intranet) ,讓公司內部的員工也可以透過 網路的輔助,更有效率的互相溝通並合作完成工作。發展初期的時候,企業內部網路大多 侷限於同一家公司甚至是在同一棟建築物內,但是隨著企業全球化的趨勢,橫跨多地的分 公司或是出差在外的員工,就可以利用網路來完成資料的通訊溝通與交換,網際網路也因 此隨著商業的運用機會增加而一直不斷地增加新的使用者,而且各式各樣的電子商務、商 際網路(Extranet)的解決方案也如雨後春筍般地出現,讓分散各地的組織可以透過網際網 路,更快速且有效率的分享資源,形成一個邏輯上的虛擬私有網路(Virtual Private Network,VPN)。 但隨著網際網路的日漸普遍及應用程式的多元化發展,網際網路的使用者越來越多且 每年都以倍數在增加中,這使得目前被廣泛使用的 IPv4 的定址位址已不敷使用;因此已有 專家預估,約到西元 2010 年的時候,將會沒有 IPv4 的位址可供分配使用。面對網際網路 如此驚人的成長速度,新一代的 IP 通訊協定應運而生,我們將此新一代的通訊協定稱之為 IPv6;IPv6 通訊協定改變了原本 IPv4 通訊協定中的部份欄位選項,更加入了符合現代需求 的功能,同時 IP 位址的長度也從原先的 32 位元發展成 128 位元,以滿足未來網際網路更 多定址位址的需求。 另一方面,網際網路上的安全問題隨著網際網路的商業應用程度地增加及近來網路犯 罪的事件日益頻繁而日漸受到廣泛地重視,而 IPv6 此新一代的 IP 通訊協定能夠解決現有 IPv4 協定的若干問題,並增加網際網路的安全性;然而,目前雖然已有部分機構在建構 IPv6 的網路環境,但以現階段企業所使用的網路設備而言,仍大多數是以支援 IPv4 此通訊協定 為主,但也已有不少企業所使用的網路設備,已同時具備支援 IPv4 及 IPv6 這二種通訊協 定的能力,因此想利用 IPv6 與 IPv4 的相容性,建立一個在 IPv6 網路基礎上的 VPN,並針 對該 VPN 所面臨的安全問題來做為主軸而加以探討,並提供一個較容易的操作介面來協 助管理人員管理整體的環境。. 1.
(11) 1.2 研究動機與目的 隨著網際網路(Internet)的快速成長和盛行,漸漸地改變了人們原來的生活方式,人 與人之間的溝通變得更方便及及多元,對許多人而言,網際網路已經不再是一個陌生的名 詞,相當多的企業組織紛紛將原本封閉的公司內部私有網路和 Internet 相連接,透過與網 際網路的連接,一方面可以提供各種服務和資訊給客戶,另一方面也可以透過 Internet 來 獲得許多資源。後來許多人更開始把 Internet 的技術應用到組織內部,形成了所謂的 Intranet,讓公司內部的員工也可以透過公司內部的網路有效率的互相溝通和合作完成工 作。網路的發展,初期多侷限於同一家公司或是同一棟建築物內,但是隨著企業全球化的 趨勢,橫跨各地的分公司、關係企業或是出差在外的員工就可以利用 Internet 來完成資料 的通訊,Internet 隨著商業的運用機會增加,各式各樣的電子商務、商際網路(Extranet) 的解決方案也如雨後春筍般地出現,讓分散各地的組織可以透過 Internet 更快速而有效率 的形成一個邏輯上的虛擬私有網路(Virtual Private Network ,VPN)來分享彼此的資源。 而 Internet 上的安全問題隨著網際網路的商業應用增加及各種網路犯罪的案件日益頻繁而 受到重視 , 尤其是自從開放的網際網路成為商業媒介而吸引大眾的關注之後,網際網路 上攻擊事件便時有所聞。其中特別以 2000 年 2 月上旬時所發生的一連串著名網站受到攻 擊的事件最引人注目,攻擊駭客們選擇了著名的電子商務公司及大眾傳播媒體的相關網站 做為其攻擊的目標 , 在此波事件中,遭受攻擊的網站有 Yahoo.com、eBay.com、 amazon.com、buy.com、CNN、ZDNet 等公司的網站(”FBI investigates,“2000,February 9; Cha & Schwarts,2000,February 10)。在這些事件中,專家們相信攻擊者是利用所謂阻斷 式的阻斷服務攻擊(Distributed Denial-of-Service(DDoS)attacks) (Copeland,2000,February 18;Kerstetter,2000,February 21)來完成此次的攻擊行動[1],網路上各種窺探或攻擊的 工具軟體幾乎是垂手可得的,也因此,網路上的安全問題也不斷地隨著攻擊工具的推陳出 新而有所不同。 Internet 所使用的 TCP/IP 協定本身有許多先天上的安全性缺點,影響大眾對於在 Internet 上進行商業應用的接受程度。早期 Internet 發展初期,使用者大多是為了學術用途 居多,對於網路安全上的需求不是十分地重視,但當 Internet 運用在商業用途的時候,所 需的安全考量就大大不同於運用在學術上的了,畢竟重要的商業資料若在網路上被竊取、 竄改或是遭到非法入侵破壞,所付出的代價是十分難以估計的。因此在系統安全的問題上, 雖然已經有所謂的 trusted operating system(如 Sun Microsystem 之 trusted Solaris)的設計, 但是因為這些系統的限制太多,反而造成使用者使用上的不便利,所以在一般的應用上並 不適合;然而一般使用的作業系統 ( commodity operating system),雖然使用較方便且價格 也較便宜,但卻隱含了一些系統規格本身設計不良或是實作上的缺點,因此如何補正這些 缺陷並擴充作業系統本身對安全性的支援,便逐漸成了一個重要的課題,早在 2000 年秋天 的美國國安局(National Security Agency)報告中便指出這個現象,NAS Advisory Board 的 review 以及 ISSO 也都確認有在 commercial-off-the-shelf (costs)系統上提供安全作業環境的 需求。[2] 2.
(12) 近年來網際網路的技術日益成熟,各類地應用迅速成長,人類生活對於資訊科技的依 賴也愈來愈深,許多與個人隱私、公司重要資料甚至於國家安全有關的機密資料不停的在 網路上傳遞著,由一個系統到另一個系統,如果這些資訊讓有心人士竊取或是不當使用, 對社會國家及公司所造成的危害實在無法估量。根據美國 FBI/CSI(Federal Bureau of Investigation/Computer Security Institute)的 2004 年安全調查報告中指出,由於電腦攻擊而 帶來的各種損失與以前相比有一定幅度的降低, 但令人擔憂的是由企業內部員工的疏失及 攻擊所帶來的損失,已經逐漸成為最大的威脅.,報告中也指出在所有安全出現問題的機構 中有 99%已經安裝了防毒軟體,更有 98%的機構安裝了防火牆軟體,所以資訊安全問題不 再是單單針對外部攻擊便足夠了。另外由 CERT/CC(Computer Emergency Response Team/Coordination Center)的一份調查報告中也說明了日益嚴重的資訊安全問題,所以加 強網路上的資訊安全,讓資訊能夠更安全地被傳遞,是一個很重要的課題。 因此本研究的研究動機及目的為: 1.. 針對公司內部網路資訊流通,加強現有網際網路的資訊安全措施。. 2.. 加強網路資料傳輸的資訊安全一定都得依靠高成本的商業套裝軟體或委外發展 嗎?有沒有一種可以達到簡單有彈性且能自行發展的方式。. 3.. 資訊安全的管理操作可否變得更容易?操作介面是否可以較命令模式更友善?. 1.3 研究方法 本論文是以企業內部網路的環境為基礎,討論架設一個虛擬私有網路可能會面臨的安 全問題並參考其他文獻所提出的架構,來建置整個系統的雛形。同時希望能採取結合業界 上的一些軟體的方式,使其更符合實務上的需求,並對系統持續不斷地做改良。完整的步 驟如下: 步驟一、收集及研讀相關論文報告。 主要的方向,以跟 IPv6、VPN、IPSec 等相關的議題來收集,並加以仔細研讀,以加 強本研究不足的地方。 步驟二、雛形系統之初步分析。 首先,定義 VPN 所應具備的功能,及各部分組成的模組,並設計一套適用於企業內 部網路環境的 VPN。當這些前置工作完成時,就可以先建立一個簡單的雛形。 步驟三、論文實作架構確定。 經由不斷的測試及改良,獲得最後完成的系統架構。 步驟四、系統設計、測試。 3.
(13) 實作 VPN 系統,並作完整的測試。 步驟五、成果分析和比較。 分析成果,與預期的結果作個比較,找出相異的地方,探討其原因並加以修正。 步驟六、後續研究討及報告撰寫。 找出可供將來後續研究的方向,及目前系統不足的地方,完成報告。. 需求分析. 系統上線. 功能確定. 系統驗證. 現有環境調查. 系統測試. 軟體需求分析. 系統建構. 圖 1 研究方法圖示. 4.
(14) 第2章 文獻探討. 2.1 新一代的定址方式 IPv6. 2.1.1 IPv6 之簡介 由於近年來全球資訊網(world wide web)及網際網路(Internet)的蓬勃發展,使用網路的 人口迅速的不斷增加,Internet 上的可用位址預期很快就會發生不夠的現象,因此從 1992 年底的時候,開始不斷有人提出新一代的網際網路通訊協定(IPng;Internet Protocol next generation)的建議書。在此同時,基於以往 Internet 之使用經驗得知,原本之 IP 協定有許 多不足的地方,如其對及時服務、擁塞控制、自動設定及保密措施之支援等都有所不足, 因此,在設計新一代的通訊協定時,除擴充可用的位址空間以解決最緊迫之位址不足的問 題之外,亦對原來 IP 協定各方面的功能重新檢討,以力求改善。為反映這些需求,Internet 工程特別小組(Internet Engineering Task Force,IETF)於 1992 年 6 月對下一代網際網路通訊 協定(簡稱 IPng)發起提議徵文,經過長期的討論,於 1995 年 1 月確立主要里程碑並發表 RFC (Internet Requests For Comments)1752,“The Recommendation for the IP Next Generation Protocol",所以新一代之 IP (Internet Protocol)通訊協定(簡稱 IPv6)被提出來解 決此一問題,其意義為第六版的網際網路通訊協定(IP version 6)。 IPv6 有下列的改變[3]: 1.. 擴充的位址:定址空間從 32 位元調整為 128 位元,且刪除了廣播位址,增加了 任一傳播(anycast)。. 2.. 簡化的標頭格式:固定的標頭長度及較少的欄位,所以路由的效率較佳。. 3.. 改善的選項、延伸支援:IPv4 將選項放在 IP 標頭的後面,而 IPv6 則是將選項放 在單獨的延伸標頭,所以需要時,再處理即可。. 4.. 流量標籤:在 IPv4 中,所有封包都一視同仁地由傳送途中的路由器自行處理,路 由器並不會對所傳送的封包做記錄,但是 IPv6 對流量的認定為一連串從起始端送 到終點的封包,傳送途中的路由器會將流量做適當的記錄以便追蹤管理,即 IPv6 標頭中的流量標籤能識別封包的屬性,在同一個資料流量內的標籤是一樣的。. 5.. 認証與機密:IPv6 使用在 RFC1826 中所定義的 IP 認証標頭及 RFC1827 中的 IP 包裝安全資料欄位。. 5.
(15) IPv6 提供 2 的 128 次方的定址空間,不但能暫時解決目前面臨的 IP 不足問題,它在 IP 的標頭認証、路由與安全等功能上,也有許多的改善,因此網路服務供應商也就能夠提 供具 QoS 功能的網路,同時 IPv6 使用 IPSec 的安全傳輸方式,對於近來逐漸受重視的網 路安全問題,提供了十分正面的幫助。. 2.1.2 IPv6 基本標頭(header)與擴展標頭(extension headers) IPv6 此一通訊協定並不是一個全新的網路通訊協定,它是從原有的 IPv4 通訊協定演 進而來,它將 IPv4 中不產生作用的功能除去,保留了有用或預期要使用的部份,並且針對 IPv4 所缺乏的部份加以改善,譬如在區域使用的單點傳播中,提供 IPv4 所缺乏的隨插即 用 (plug & play) 的能力,所以當使用者移動主機後,不需要重新註冊位址。在 IPv6 網 路中的每一個封包其 header 總長度為 40 位元組(bytes) ,如圖 2 所示,header 中各欄位功 能列示如表 1。. 圖 2. IPv6 基本標頭格式 (資料來源:[3]) 6.
(16) 表 1 IPv6 基本標頭各欄位說明 欄位名稱 Version Priority. 位元數 欄位功能 4. IP 的版本號碼,其值為 6. 4. 傳送者標示其所要傳送的封包之優先權 值,此值是該傳送者所要傳送資料之間相 對的優先順序. Flow Label. 24. 傳送者標示其所要傳輸之封包,在經過 IPv6 路由器時,所需的特殊處理方式。例 如即時服務(real time service)等. Payload Length. 16. 值為正整數,代表連接在 IPv6 標頭之後的 資料長度,不含基本標頭 40 位元組. Next Header Hop Limit. 8. 表示緊接在 IPv6 標頭之後的標頭形態. 8. 值為正整數,所傳送的封包每經過一個 Hop。時,其值減 1,當其值為 0 時,則 此封包即被丟棄。. Source Address. 128. 封包之起始傳送者的介面位址。. Destination Address 資料來源:[3]. 128. 封包接受者的介面位址。. 在 IPv6 通訊協定中,其基本標頭的長度和欄位格式是固定的,這與 IPv4 是不一樣, 因為 IPv4 標頭中包含了選擇性的功能(Options) ,所以長度會因為所採用的選擇不同而有 所差異,而 IPv6 將選擇性的功能獨立出來,放在擴展標頭內,而與基本標頭分開,這種設 計的目的乃是為了能提高傳輸封包的處理效能。擴展標頭在傳輸封包中是放在基本標頭和 傳輸控制協定(TCP)標頭之間,其所包含的選擇性的功能如表 2 所示。. 圖 3 extension headers 位置圖 (資料來源:[3]). 7.
(17) 表 2 IPv6 選擇性功能表 Options. 功. 能. Routing. 傳輸起源點指定路由路徑. Fragmentation. 封包的分割及組合辨識. Authentication. 完整性(Integrity)和認証. Security Encapsulation. 隱密性(Confidentiality). Hop-by-Hop option. 指定每個經過的 Hop 都需要處理的 option. Destination Options. 僅需要目的地節點檢視的資訊. 資料來源:[3]. 2.1.3 IPv4 與 IPv6 封包格式之比較 IPv4 的標頭格式如圖 4. 圖 4. IPv4 的標頭格式 (資料來源:[3] ) 8.
(18) 而 IPv6 的標頭格式如前面所介紹,首先,IPv6 取消以下 6 個在 IPv4 之欄位: 表 3 項次. 內. IPv6 取消 IPv4 部份的欄位 容. 1. IP 標頭長度(Header Length):由於 IPv6 係採固定標頭長度,故 不再需要。. 2. 服務型式(Service Type):此欄位由其它機制取代。. 3. 識別(Identification)、旗號(Flags)和區段移補 (Fragment offset):由於 IPv6 只支援端點對端點 (end-to-end) 分割,故不 再需要這些欄 位。. 4. 標頭檢查和(Header Checksum):靠著媒介存取 (media access) 控制程序中的檢查和,不再需要在 每一切換上檢查及更新檢 查和,主要好處是減少標頭處理的負擔。. 資料來源:[3] 而 IPv6 與 IPv4 之間 options 的相異之處,整理如下: 表 4. IPv6 與 IPv4 options 的相異之處 IPv4. IPv6. 特性比較. 長度限制. 40 bytes. None. 存在位置. 基本標頭的一部份. Extension Header. 執行處理. 只要 Option 存在,經 過的路由器都必須處 理. 經過的路由器不須 處理,只要由目的 地主機處理即可. Source Routing. Yes. Yes Authentication、. 功能比較. Security. compartment,user group. Security Encapsulation. Fragmentation. None. Yes. Record Route. Yes. None. Stream ID. Yes. None. Internet Time stamp. Yes. None. Hop-by-Hop Option. None. Yes. None. Yes. Destination Option 資料來源:[3]. 9.
(19) 2.1.4 IPv6 實驗網路(6Bone) 6-Bone 是為了在 Internet 上推廣 IPv6 的一個全球性 IPv6 測試平臺。它於 1997 年 6、 7 月間開始運作,其相關活動皆屬 IETF 下 ngtrans 工作小組的一部份。6-Bone 的主幹是由 許多相互連接的網路服務提供者(ISP)及用戶網路所組成。事實上,它是一個以架構在原 IPv4 網路上,使 IPv6 封包透過通道(tunnel)轉運的虛擬網路。目前,6-Bone 的目標在於獲 得一些使用經驗,以便對 IPv6 的傳送提供早期的政策及程序。未來,當陸續有網路服務提 供者及用戶網 路提供 Internet 上 IPv6 傳輸後,它將以一種透通的方式逐漸被取代。 6Bone 虛擬網路的組成份子大致分為四種角色[5]: 1. 網際網路服務提供者(ISP):法國 G6、英國 UUNET 等。 2. 網路軟硬體企業:Cisco、Bay Networks 等。 3. 學術研究單位:美國 UCLA、日本大學、丹麥大學等。 4. 官方或政府:美國 NASA、歐洲 RIPE 等。 在 2001 年時,臨近我們的日本已經有三家網縩網路服務提供者正式提供 IPv6 的網路 服務供商業使用,但是台灣目前只有中華電信擁有 IPv6 的實驗網路供測試用途,而未正式 提供該項服務。. 2.2 虛擬私有網路(VPN). 2.2.1 何謂虛擬私有網路( VPN ) 「虛擬私有網路」的關鍵字在「虛擬」二字的意義,所指的便是一個企業透過公眾的 廣域網路系統,讓分散在各地的子公司或是合作廠商的私有區域網路彼此通訊的網路架 構。雖然實際網路的連結方式和傳統定義的私有網路連結方式不同,但在邏輯上其作用和 所達成目的相同,故稱為虛擬私有網路(Virtual Private Network,簡稱 VPN) 。也因為其所 利用的媒介為公眾的廣域網路系統,所以在 VPN 上所流傳的商業資料就應該注意不被竊 取或竄改。因為網際網路(Internet)在全球的盛行,許多企業為了享受網際網路的優點和 便利而紛紛和網際網路連結,內部也開始將原本用於網際網路的技術來建構網際網路。一 般傳統的私有網路大多是透過數據專線、ISDN、或是電話撥接的方式與各子公司連線或是 使用者直接連線後達到資料互相傳輸的目的。但是如此的花費卻相當的驚人,特別是數據 專線,除了成本較高的缺點外,一旦建立好之後,也不容易遷移和擴充。如果使用 VPN 的話,同樣可以達到相同的目的,而且尚有下列的優缺點: 10.
(20) 優點: 1.. 2. 3.. 以前與遠方的網路連線方法可能是採租用專線或是以訊框傳遞(Frame Relay)網路來達成,不論是舖設專線或是以傳輸量來計費的 Frame Relay 方 式,其費用都十分地高,若是透過網際網路來達成溝通的目的,則其花費之 成本會大幅地縮減。除了初期的建構所需成本較低外,每次通訊傳輸資料的 費用也由長途的費率降為區域的費率。 擴充性提高了,因為透過網際網路的關係,增減所欲傳輸的對象都十分方 便,因為由硬體設備的增減轉變為軟體的設定。 因為網際網路的普及,使得可傳輸合作的對象可以遍佈全球,也因此增加了 企業的競爭力,與以往所不同的是,虛擬私有網路是經由網際網路為媒介來 傳輸資料的,而網際網路是一個低成本、低收費,而且是一個開放性的環境, 適合全球化的通訊。. 缺點: 1.. 2.. 不能保證傳輸資料時所需的傳輸品質,因為 VPN 是架在網際網路之上,所 以傳輸資料均會不可避免的經過網際網路,因此若是在網路使用量大的尖峰 時段傳輸資料的話,往往會因頻寬不足而變得非常緩慢。 因為網際網路所用的 TCP/IP 協定的安全方面的問題,使得資料的傳輸安全 性受到質疑。. VPN 服務的方式一般可分為二種,一為 Client to Site (如圖 5) ,另一種為 Site to Site (如圖 6). 圖 5 Client to Site 的 VPN 模式 ( 資料來源 [6] ) 11.
(21) 圖 6 Site to Site 的 VPN 模式 ( 資料來源 [6] ). 2.2.2 虛擬私有網路的保護對象 一般人在談到網路上所需要保護的對象,第一個聯想到的通常是保護系統內的檔案資 料:公司的企劃書、財務報表、薪資及稅單或是研發的成果。這些檔案資料固然十分的重 要,但是網路所帶來的便利及好處並不僅僅如此而已,網路所帶來的好處更可能包括了提 昇公司的企業形象或商譽等無形的資產,若是不好好地小心保護網路內的重要資料,當網 路上機密資料遭別人所盜取而利用時,所損失的可能不只是檔案資料這種有形的資產,也 可能使得公司的形象受損,影響商譽,甚至影響了公司的獲利盈收。但我們也不能因噎廢 食,因為網路所帶來的好處,可以讓公司的員工在家中就可以繼續上班時未完成的工作, 調閱公司內部的資料,而不必受限於一定要到辦公室才能工作,所以若是好好利用網際網 路這種管道來進行通訊的話,可以提昇員工的產能,但要如何在網際網路這麼不保險的環 境中,利用虛擬私有網路來降低傳輸時的風險,是值得思考的問題。. 12.
(22) 2.2.3 虛擬私有網路解決網際網路安全問題的技術 虛擬私有網路在保護網際網路上傳遞資料的技術方面,最常見的方式有防火牆 (firewall) 、身份驗證(Authentication) 、編碼加解密(Encryption & Decrypion) 、通道封裝 (Tunneling)等四種方式,透過這四種方式,便可以建溝一個具安全性的資料傳遞管道。. 2.2.3.1 防火牆(firewall) 在概念上,Internet 的防火牆與實體建築的防火牆功能是一樣的,建築物的防火牆可以 在發生火災的災難時,有效地隔離火勢的散佈,減少可能的損失,而 Internet 的防火牆也 是同樣的道理,它防止網際網路上的一些危險進入到企業內部網路來造成災害。防火牆是 介於內部網路與網縩網路之間的系統,主要的功能為阻擋外界直接看到企業的內部網路, 限制能提供的服務;同時也管制企業內部能看到外界的服務,它會檢驗封包的 IP 位址或是 要求連線的 port 來決定是否提供該項服務。 可以想像將內部網路與網際網路之間的出入口加以管控的話,所有傳入或傳出的資料 封包都一定要經過這個管制點,則只要管理好這個管制點的安全性,便等於管好了整個內 部網路與網際網路之間溝通的安全問題,因此將管制點簡化到最少,這顯然比管埋許多的 出入口要來得容易許多,而且以目前的軟、硬體而言,架構防火牆的安全方式會比其他的 來得容易且省錢。也因為架構防火牆的管制點是網路傳輸的要點,所有的網路傳輸都會經 過這個地方,所以若是要對網路活動加以記錄的話,也會遠比架構防火牆前來得有效率。 但是有了防火牆並非就代表網路的絕對安全,實際上,防火牆有一些弱點,例如多數的防 火牆不能夠預防病毒的破壞、防火牆是針對內部網路與網際網路間的傳輸加以管控,所以 對於禸部網路的使用者而言,若其畜意破壞也是不能有效地管理的、若是內部網路與網際 網路間的傳輸有防火牆未管制到的出入口時,該出入口便會成為內部網路安全性上的一個 大漏洞、防火牆大多是透過事先定義好的政策來管制網路資料的傳輸,所以一旦事先定義 的政策不夠嚴謹時,仍會造成網路資料傳遞時安全性的一個問題。 就防火牆的技術性而言,其實都十分地雷同,大多都以減少內部網路及網際網路管制 口數量為主,逹到類似集中化管理的方式。而一般防火牆常見的的架構有下列四種: ‧. 封包過濾路由器:路由器並不在乎封包的內容,它只管封包的來源及目的 地是否符合規則或是事先定義好的路徑表(Routing Table),若是符合的 話,則讓該封包通過,反之,則將封包加以阻擋,不予通過。如(圖 7). 13.
(23) 圖 7 防火牆常見的架構之封包過濾路由器 ( 資料來源:[7] ). ‧. 防禦主機(Bastion Host):利用路由器的封包過濾的功能外,再加上防禦 主機的輔助來負責網路的安全防護。(如圖 8). 14.
(24) 圖 8 防火牆常見的架構之防禦主機 ( 資料來源:[7] ) ‧. 鄰界網路(perimeter network) :鄰界網路又稱為 DMZ(DeMilitarized Zone) 非戰區,在內部網路與外部網路交界地帶中間所開設出來的一個緩衝區, 至少要由二部以上的路由器所構成,一部當作對外網路的閘道,另一部則 作為通往內部網路的閘道,在這二部路由器中間,除了防禦主機或是其它 的路由器外,不應該設置其它的機器。(如圖 9). 15.
(25) 圖 9 防火牆常見的架構之鄰界網路 ( 資料來源:[7] ) ‧. Proxy 伺服器:Proxy 運作的方式類似防禦主機,Proxy 伺服器執行一個特 殊的程式後,讓外界以為它是內部的一台主機。(如圖 10). 16.
(26) 圖 10 防火牆常見的架構之 Proxy 伺服器 ( 資料來源:[7] ) 2.2.3.2 身份驗證(Authentication) 有人想透過網路與你連線,你無法看到他,也無法聽到他,如何確定跟你連線的人, 真的就是你所想的人,而不是另一個人,。因此如何正確地辨識合法的使用者與設備,使 真正需要連線的人或設備能夠互相溝通,形成一個虛擬私有網路並讓駭客不易侵入,這就 是身份驗證的技術,最常使用的技術有使用者的名稱、密碼或是智慧卡等。 17.
(27) 2.2.3.3 編碼加解密(Encryption & Decryption) 編碼加解密的技術已有一段時間,需要秘密通訊時,都會利用到它。而虛擬私有網路 是建構在網際網路上,為了私有的資料在傳送的過程中,不會被不相關的人所竊取或修改, 所有在網路上傳遞的封包都需要經過加密的過程,當該封包到達目的地之後,再將其解密。 在傳遞的過程中,即使封包被人所截取,也只能看到一些無意義的亂碼,而無法得知封包 所傳送的的真正內容。 編碼加解密的技術可分為二大類:對稱式密碼學(Symmetric cryptography) ,又稱為秘 密金鑰密碼(Secret-key cryptography)及非對稱式密碼學(Asymmetric cryptography),又 稱為公開金鑰密碼學。對稱式密碼學的加解密使用同一把金鑰,如 DES 即是如此。而非對 稱式密碼學的加解密動作,則是使用不同的金鑰,其中以 RSA 的方式最常被使用。因此如 果駭客想要知道網路上封包的內容,則必須先解開金鑰(Encryption Key)。但是金鑰的長 度不同,破解所需的時間就會有所不同,譬如使用 SSL 的技術,秘密金鑰的長度為 40 bits, 可能不到一秒就可能被破解;但是 56 bits 的 DES 技術,可能就要數年才能破解,相對地 來說,安全性便比較高,但目前 SSL 的加密技術已經從先前的 40bits 之外,己加強到 128bits,其安全的強度為 40bits 的 288 倍,至於 DES 方面,目前則多以 Triple-DES 的技術 來取代 DES,其實際有效金鑰長度為 168 bits,同樣地,其安全性又再提昇了許多。 2.2.3.4 通道封裝(Tunneling) 通道封裝的技術是為了將資料在網際網路上傳輸所發展出來的一種資料封裝方式 (Encapsulation) ,也就是說,在網際網路上建立一個特殊的通道,讓私密的資料在此一通 道內傳遞。目前在此一方面所常使用的通訊協定有 IPSec(IP Security) 、PPTP(Point to Point Tunneling Protocol)及 L2TP(Layer2 Tunneling Protocol)及 SSL 等四種。 IPSec 是一種第三層的通道封裝技術,專門針對 IP 的環境所設計,不但符合現有的 IPv4 環境,也同時可以符合未來 IPv6 的網路需求;而 PPTP 與 L2TP 則都是第二層的通道封裝 技術,PPTP 是由 Microsoft 及 Ascend 所提出來,而 L2TP 則是由 Cisco 所提的 L2F(Layer2 Forwarding)所演變而來。三者之間最大的不同為 IPSec 適合多點傳輸的功能,所以可以同 時使用 Internet 與虛擬私有網路,而 PPTP 或 L2TP 只能執行點對點的虛擬私有網路功能, 不能同時使用 Internet 。 而近年來,由於企業對於行動工作的資訊存取需求不斷地增加,所以遠端存取的 VPN (Remote Access VPN)逐漸在市場上受到重視,而 SSL VPN 便因為設定及安裝十分地簡 單,且只需透過幾乎是隨處可得的能支援 SSL 之瀏覽器就可以建立起一個加密通道,尤其 是在 clinet-to-site 的部份,SSL VPN 更是有其優勢;SSL VPN 除了安裝、設定十分容易方 便上的優勢之外,還具有內部資訊安全控管、遠端存取權限控管等功能,而且其總擁有成 本低。而傳統的 VPN 設定都必須加裝客戶端軟體,整體的設定也較為繁鎖,因此增加了 系統的複雜度,同時也降低了使用者在使用時的友善程度,尤其傳統的 VPN 無法像 SSL VPN 可以在任何有支援 SSL 之瀏覽器的地方便可以設定、使用,這使得 SSL VPN 的後勢 18.
(28) 發展被看好,甚至有專家及業者認為 SSL VPN 可望取代部份傳統的 IP VPN 市場。 SSL VPN 當然也有其缺點。首先,由於它是在應用程式層上運作,而不像 IPSec VPN 是在網路層上加密運作,所以一般而言,效能無法與 IPSec VPN 相提並論,其次,由於 SSL VPN 只適用於 HTTP 的通訊協定,即使愈來愈多的操作都可以在 WEB 平台上正確地運作, 但在未全面應用程式都可以在 WEB 介面上運作前,一些非 Web-based 的應用程式,便必 須經過額外的測試與設定,才能夠順利在 SSL VPN 上存取,不像 IPSec VPN 的可用性及透 通性高,只要上網並設定完成後,所有 IP-based 的應用程式便都可以直接使用、存取無誤。 另外 SSL VPN 使用者可以存取的應用程式也必須由網路管理者事先定義好,這也會增加管 理者的部份負擔,而 IPSec VPN 則不必再由管理者針對應用程式再去設定任何東西。 表 5 IPSec VPN 與 SSL VPN 的優缺點比較 優點. 缺點. 1.. 廣泛服務的支援,可用性高. 2.. 可與其它產品做完整整合, 進而確保最高之安全性 2.. 設定較複雜. 3.. 效能佳. 建立的地點較受限. 1.. 市面上多數的作業系統皆提 1. 供且支援 SSL VPN 模式之 Web browser,所以幾乎到處 都能設定 2. 透過 NAT 或是代理伺服器 (Proxy device)運作時,對 3. 遠端使用者幾乎沒有影響. 有大量連線時,因整體加 解密運算而可能會大大降 低了效能. 3.. 不需安裝軟體於使用者電腦 4. 上. 端點安全性. 4.. 總擁有成本低. IPSec VPN. 2. SSL VPN. 1.. 3.. 須在用戶端的電腦上安裝 軟體. 無法應用於 Site-to-Site 之 VPN 架構 僅適用於 HTTP 通訊協定. 2.3IPSec 的運作機制 IPSec 是一個由 IETF 所提出並負責維護的通用架構。它為 IP 提供了許多安全措施的 19.
(29) 服務,包括了目前最常用的 IPv4 及逐漸推廣的 IPv6。IPSec 定義了一個高階的元件導向架 構,而不是詳細的去規範加密的演算法或是如何交換金錀的方法。在概念上,IPSec 是設 計用來保護網路本身的,所以對於架構在網路上的應用是不會受到影響的,因此應用程式 應該可以不必修改便可以正常運作。由於 TCP/IP 通訊協定的運用相當地廣泛,所以若昇 級 IPSec 來保護網路的安全性,目前所有的網路運作程式一樣能夠一如往常地傳遞資訊, 所以若昇級到 IPSec 的話,能夠兼顧現存的系統。 由 IETF 所公告的 IPSec 相關文件主要討論了加密演算法、驗證演算法和金錀管理三個 議題,這些元件對於定義系統的安全架構有所助益,同時 IPSec 也希望能夠加入新的演算 法到這個通訊協定組內,而不會對現有的架構產生太大的變化。使用符合 IPSec 的產品或 是服務,主要是能夠得到增加安全性及這些產品間的互相合作的特性。 IPSec 使用認証標頭(Authentication Header;AH)和 ESP(Encapsulating Security Payload)兩個通訊協定來提供傳輸的安全,關於此二個通訊協定都分別在 RFC(如 RFC 1825、RFC 1826、RFC 1827 等) 中有詳細的描述。 認証標頭提供資料來源的確認以及可自由選擇的 Anti-replay 服務,所以其用途如下: 1.. 提供 IP 裝載資料內容的確認. 2.. 提供 IP 裝載資料的認証. 3.. 提供 IP 裝載資料的唯一性. 4.. 經由序列號碼防止入侵. ESP 提供完整性、有限的傳輸流量限制及可自由選擇的 Anti-replay 服務,所以其功能 為: 1.. 經由加密的裝載資料完整性. 2.. 經由公眾金鑰加密的資料原始認証. 3.. 提供 Anti-replay 的功能. 4.. 經由安全閘道器作交通流量的限制。. IPSec 系統在傳遞資料封包的時候,必須透過事先協調好的安全參數來指明所採用的 加密或者身份驗證的演算法、金鑰或其它的參數,所有的安全相關參數都會存放在所謂的 SA(Security Association)的資料結構中,因此,要達到什麼安全的程度,端賴二方所共 享的 SA 內容而定。 SA 的主要工作包括: 1.. 資料加解密. 2.. IPSec 金鑰的交換(IKE / ISAKMP). 20.
(30) 3.. IPSec 金鑰的管理(SAD). 4.. 負責 IPSec 系統 Security Policy (SPD). 5.. 所需要的密碼演算法、數學運算式及常用的功能函式包裝成函式 庫,以加強軟體的再使用性。. IPSec 支援二種加密的模式: 「傳輸模式」 (transport mode)(圖 11)和「通道模式」 (tunnel mode)(圖 12)。傳輸模式只對封包的裝載資料(payload)加密,而通道模式則對標頭與 實際資料加以加密的動作。一般而這,通道模式是比較安全的一種方式,因為傳輸模式的 標頭並未加以加密,所以可以從其標頭得知許多資料,因此較不安全。 整個 IPSec 系統大致可分為兩大主體:資料封包轉換與金鑰管理(如圖 13)[8]。 資料封包轉換:受保護的資料封包透過 AH 和 ESP 兩種轉換來達到傳送過程安全保密的 目的。這二種方式均須透過事先協調好的安全參數來指明所採用的加密或身分驗證的演算 法、金鑰與其他參數,這些參數都存放於一個稱為 Security Association(SA)的資料結構 中。 金鑰管理:如何與其他主機協調決定 SA 及如何管理本身使用的 SA。. 圖 11 IPSec 之 Transport Mode. 21.
(31) 圖 12 IPSec 之 Tunnel Mode. 圖 13 IPSec 之 功能架構. 22.
(32) 2.4 Sun Microsystem 之作業系統概述[9],[10]. 2.4.1 Solaris 作業系統簡介 Solaris 作業系統是昇陽電腦(Sun MicroSystem)所推出的作業系統名稱,其提供了一 個完整且具實用性、擴充性、安全性及容易管理的作業環境,昇陽電腦更將 Solaris 作業系 統定位於是個最值得信賴並可以滿足市場上商業需求的作業系統,不論各種商業類型及企 業規模的企業都能適用,透過昇陽電腦所提出的“Free Binary License"計劃,昇陽電腦計 劃從 Solaris8 這個版本的作業系統開始,免除了 Solaris 終端使用者的授權費用,且其適用 範圍包括了原始碼及可執行碼的存取部份,讓使用者可以在 8 個中央處理器(CPU)以下 的系統中使用 Solaris 作業系統時,可以跟以往版本的使用經驗一樣不受限制,也不必再付 任何授權使用的費用,而且使用者可以從網際網路上自由地下載 Solaris 的程式碼,如果使 用者需要一份作業系統的安裝媒體或是 Solaris 作業系統的操作手冊紙本時,也只要繳納媒 體製作的成本費用及運送過程中所產生的運費即可,因此企業可以不必花費許多的金錢在 購買企業使用的作業系統上。 再者,在今日的 UNIX 作業環境中,Solaris 作業系統是市場的領導品牌之一;因為在 昇陽電腦中存在一個「網路即電腦 (The Network Is The Computer)」的觀念已超過 15 年以 上,所以 Solaris 作業系統的原始設計就是以網際網路上的應用為主,而 TCP/IP 這個網際 網路最重要的通訊協定,更在 Solaris 作業系統的網路運算功能中有超過 15 年以上的使用 經驗,經過這麼長的時間考驗後,Solaris 作業系統擁有一個小而穩定的核心系統、作業系 統程式模組化、系統管理容易及擁有可擴充元件和定義清楚的介面等設計優勢,因此 Solaris 作業系統成為建構企業關鍵應用軟體的一個最佳應用環境的解決方案之一,而且 Solaris 作 業系統更能夠協助使用者充分利用「網路效應」的驚人力量,創造出企業的競爭優勢。而 Solaris 8 作業系統以後的版本,其功能不斷地加強,也比以往的版本功能更加完整,並且 透過昇陽電腦的測試計劃,可以確保大部份現有的應用軟體仍然可以繼續使用,而不必大 量地修改原始碼程式並重新編譯後才能執行,節省了企業許多應用程式開發的時間。 當企業開始在際網路上發展業務的時候,可以發現早已有許多的企業已經在網際網路 上發展各式各樣的業務了,這個現象,昇陽電腦認為代表的意義為在網際網路上存在許多 各式各樣的資訊設備必須一同作業來完成企業的相關業務,而這些資訊設備要一同作業的 話,便必須能彼此互相溝通協調,才能完成這些業務上的需求,所以不論是從 PDA、個人 電腦到工作站或大型電腦主機等設備,都有可能會需要彼此互相合作來完成一項業務。昇 陽電腦更對市場承諾昇陽電腦一定會支援開放產業標準及一般業界中大眾所熟知的通用標 準,因此在 Solaris 作業系統中,昇陽電腦提昇了一些更高層次的共通功能,透過這些新功 能的輔助,可以協助使用者在網際網路上與眾多的使用者及不同的資訊設備相互溝通。同 時,Solaris 作業系統是一個具備許多功能的使用環境,例如 Solaris 作業系統便提供支援許 多種不同語言的功能,包括文字表述複雜的阿拉伯語、希伯來語等,只要透過使用 Solaris 23.
(33) 作業系統,企業只需要安裝一次作業系統,便可以在伺服器主機或個人電腦上擁有支援多 種語言的環境,而且可以在任何時候,為了因應實際應用的需求而很容易的增加或移除其 中某一種語言的環境,Solaris 作業系統可支援 37 種以上的不同語言及 123 個地區。同時, Solaris 作業系統也提供與其他作業系統一同作業的彈性空間,例如 Solaris 環境中,可以透 過 PC NetLink 軟體的協助來提供 Windows 環境的網路服務功能,包括整合目錄、授權及 檔案、列印服務等;而目前在 Intel 平台上很流行的 Linux 作業系統,也可以在不須修改程 式碼的情況下,使用 Linux 這個免費的作業系統和 Solaris 作業系統做溝通,這項功能,大 大地提昇了 Solaris 作業系統與其他不同環境系統的合作關係。 此外,Solaris 作業環境從一開始就將網路功能包括在作業系統之中,而且不斷地更新 並加強,以滿足不同時期中客戶需求的做法,使得 Solaris 作業系統得以成為企業應用系統 中最主要的作業系統之一,而且在 Solaris 作業系統環境中已經被使用證明過的許多功能之 中,有許多的功能是可以讓現有的資料中心或企業業務的運作更加地靈活彈性,同時,也 能增加一些新的網際網路方面的應用方式,為企業的網路環境帶來更多的效益,所以昇陽 電腦希望成為企業工作上的共同夥伴,這也就是為什麼昇陽電腦認為 Solaris 作業環境不僅 是最佳的 UNIX 平台,更是網際網路時代最佳的作業系統,也是企業的最佳夥伴。 在網際網路上發展業務,其業務的運作與系統運作時間、員工、客戶及各工作夥伴甚 至各供應商之間的關係十分地密切,而且目前這種關係已從早期的區域性逐漸透過網際網 路而擴展為全球性連結,在現在的市場環境中,業務相關系統的停機時間不僅會影響企業 整體的運作,連帶也會造成整個供應鏈活動的影響,尤其是提供線上即時服務這一類型的 企業應用,其影響更是明顯,這意謂著市場對於零當機時間的系統需求,不再侷限於傳統 的金融機構或電信公司而已,在網際網路環境中的每一個單位,都可能會有零當機時間的 需求存在,無論是客戶端、供應商、合作夥伴或是公司內部的使用者,都會希望能夠每天 24 小時之間都能得到需要的服務而不被中斷,所以穏定的作業環境也是 Solaris 標榜的特 色之一。 Solaris 作業系統以產品、架構、服務及通訊這四個基礎為支柱,提供系統整體的基礎 服務(圖 14)。其中產品強調 Solaris 作業系統所提供的功能是企業整個作業環境中的一 環;而架構則是描述 Solaris 如何建構及如何與其他網路架構之間互相配合來建構使用者所 需的應用環境;在服務方面,Solaris 作業系統則包括了優良的客戶支援、專家服務、顧問 諮詢服務及其他可以提高企業生產力的服務,以提昇企業整體的競爭力;而通訊則是強調 客戶及軟體開發者最感興趣的地方。透過這四項功能,所以 Solaris 作業環境的產品便擁有 使用性、擴充性、多方性及可靠性等特性。. 24.
(34) 圖 14 Solaris 作業環境中的四大基礎 (資料來源[9]) 昇陽電腦擁有 15 年以上網路運算相關協定的支援經驗,而 Solaris 作業系統也提供一 個純熟的網路運算架構,透過支援目前最新的網路通訊協定及標準,Solaris 作業系統成為 市場上具備靈活、可信賴、最新網路運算應用軟體的理想開發平台。 由於昇陽電腦在各種不同標準上的影響力及對開放原始碼標準的鼓吹與支持,Solaris 8 作業系統開發出許多新的網路運算功能,例如服務位址通訊協定(Service Location Protocol,簡稱 SLP)這個標準,它是一個新的網際網路工程作業標準(Internet Engineering Task Force;IETF) ,它讓管理者可以建構一個以服務為主的網路環境,不需要針對因為系 統結構或者是使用者端的一些改變而必須投入更多的管理心力。此外,Solaris 作業系統也 是市場中第一個支援新一代定址方式 IPv6 這個新的 IETF 標準的重要商用軟體,它可以讓 網際網路的效能與作用發揮得更完全並可以適用於新一代的網路環境。 Solaris 作業系統同時也提供頻寬管理及網路多重路徑(MultiPath)等服務來加強資料 中心能提供更好品質服務的能力,這些功能都是許多資料中心在提供服務時,常常會被要 求的網路運算功能,透過這些功能能夠加強、滿足企業環境的各項需求。在網際網路上, TCP/IP 是最常被採用的通訊協定之一,而實際上,大多數的的企業商業應用系統,也是依 循這個通訊協定來撰寫及開發。在 Solaris8 的作業系統中,昇陽電腦發現也解決了一些 TCP/IP 方面的問題,例如利用一個新的 TCP 登錄機制,讓每次通訊連結之後會自動的終 止;而 Solaris 作業系統更利用 LDAP 這個協定原有的優勢,來整合使用者端與應用軟體, 以彌補現有 NIS 及 NIS+服務的不足,這項功能,讓現今的 Solaris 認証機制更加地完善及 彈性。 Solaris 作業環境中最新及被使用驗證過的特性有下列幾點: ‧. 動態設定(Dynamic Reconfiguration)功能:經過改良後,更能支援多通道 及負載平衡等功能,例如主機透過網路多重路徑的功能,能將網絡的負載 分散到其他的網路介面。. ‧. Live Upgrade:由於 Solaris 作業系統的模組化,所以使用者可以線上安裝 25.
(35) 一些需要的升級套件,並透過一些簡單重新啟動的動作,即可完成升級的 步驟。 ‧. Real Time:Solaris 加強了作業系統本身的功能,所以能提供更短的回應時 間及應付不斷增加的網路活動。. ‧. Failed Device Lockout:當系統重新啟動時,會自動將損壞或是有問題的設 備從線上排除,避免因為該故障的設備而造成系統不斷地重新啟動。. ‧. IPv6:從 Solaris8 以後版本的作業系統都支援這個下一代的網際網路通訊 協定,對於 IPv6 對於位址數量的限制較小,可以發展許多網路應用,而且 Solaris 作業環境可以啟動 IPv6 enable 模式,即使是在 IPv4 的網路環境 中,一樣可以完成所需的網路功能,不需改變設定。. ‧. IPSec:在 Solaris8 以後的作業系統版本中都加入了此項 IP 安全功能,可 加強網路安全、防止侵入、資料的機密性並可建置虛擬私有網路。. ‧. 雙堆疊的通訊協定(Dual-Stack Protocol) :Solaris 作業系統支援 Dual Stack Protocol,如圖 15;Dual-stack socket interface 如果允許 IPv6 的通訊協定 時,會優先使用 IPv6 的通訊協定,否則會自動改成 IPv4 的通訊協定,如 圖 16 所示。. Web/Telnet. Application. TCP/UDP. Transpor IPv4. Network. Datalink. Ethernet. IPv6. FDDI. ppp. 圖 15 Solaris Dual Stack Protocol ( 資料來源:[9] ). 26. etc ….
(36) Dual-Stack Node IPv4. IPv6. IPv4. IPv6. IPv4-Only Node. IPv6-Only Node. IPv4. IPv6. Dual-Stack Node. 圖 16 Solaris Dual Stack socket interface 通訊協定選擇之順序 ( 資料來源:[9] ) ‧. Mobile IP:Solaris 作業系統開始可以利用 IP 位址來管理一些無線設備,讓 這些高移動性的設備,可以透過固定的 IP 位置來進行資料存取的作業,而 不必管這項設備是從哪裡連上網際網路的。這個功能允許使用者可以在任 何地方從任何可以網路存取的設備作業。. ‧. Java Virtual Machine(JVM)擴充性的強化:加強了 JVM 的功能,當系統 的 CPU 增加時,效能也會隨之強化。. ‧. Removable Media:加入目前市場上一些新的儲存媒介的驅動程式,如 Jazz、Zip、DVD 等,以允許使用者在選擇儲存媒介時,更有彈性。. ‧. Solaris Web Start:將作業系統的安裝過程從早期的文字命令模式改為更容 易操作的網頁安裝模式,簡化了安裝及配置的過程。. ‧. Web-base Enterprise Management(WBEM) :將許多系統相關的管理工作改 為以 Web 為基礎的系統管理介面,讓系統管理者可以更輕易地完成系統管 理工作,而這些系統管理工具不一定是由昇陽電腦所提供,也可能是一些 市面上已存在的系統管理工具,只要利用昇陽電腦所提供的 Sun WBEM SDK 軟體作為管理應用軟體的開發工具,讓 Solaris 應用軟體的管理,可 以像在其他平台上一樣的便利。這是昇陽電腦所提供以 Java 技術為基礎的 工具及服務。 27.
(37) ‧. Role-base Access Control(RBAC):支援 RBAC 此更前端的安全功能,以 角色為基礎的控制機制,讓系統管理者可以在執行各項系統管理工作時, 更有效的管理系統所需的安全功能。. 2.4.2 Solaris 的網路設定 以下就 Sun Solaris 的作業系統環境下,針對如何設定並定義 IPv6 的網路介面、建構 一個資料傳遞通道,作一個簡單的說明。 首先,在 Solaris8 的作業系統環境下,對 IPv6 與 IPv4 新增的特性比較如下: 1.. 擴大了路由(routing)及定址的能力:IPv6 增加了網路定址位址的大小,從原先 的 32 位元擴大到 128 位元,因此可以提供更大量的定址空間,並且在 IPv6 中定 義了新的 anycast 位址,anycast 的功能為其定義了一組網路的點,當有任何封包 是要傳送給該 anycast 位址的時候,它便會傳送給該組網路點中的某一個點,而 anycast 位址運用在 IPv6 的路由上時,則可以允許這一組網路位址根據其網路的 流量情形來決定其路由的路徑。. 2.. 封包標頭(Header)格式的定義:原有的 IPv4 的部分標頭欄位已經在 IPv6 中被 改為選項或是已被移除,如此便可以讓 IPv6 的標頭在封包控制及保持頻寛的成本 上,不會因為可定址空間增加而造成成本也大幅增加的情形。雖然 IPv6 的位址是 IPv4 的位址四倍長,但是在標頭的大小上卻只有 IPv4 的二倍大,沒有因此便成 為 IPv4 標頭的四倍大小。. 3.. 增加選項的支援:IPv6 標頭中的選項可以允許比較有效率的傳送封包、較少必要 的長度限制及保留將來可以更有彈性的新增一些選項欄位。. 4.. 服務品質管理:IPv6 增加了在封包上加上標籤的方式,因此可以針對特殊的網路 服務需求或是特別的網路流量來做一些區隔管理,因此更能快速的針對不同的網 路狀況及各種需求來加以適當地分隔,而讓網路的品質更能充分的發揮。. 5.. 較佳的安全性:IPv6 中定義了一些認証及資料完整性的檢查,這樣便更能確保網 路上傳遞的資料之正確性與資料安全。. Solaris 作業系統的網路功能設定方面,在每一次的系統開機過程當中,作業系統都會 自動參考位於/etc 目錄下的網路相關設定檔的定義來自動完成相關的網路功能的設定,一 般而言,網路功能的相關定檔有 hostname.<interface>、hosts、netmask、defaultrouter 及 nodename 等檔案。其中 hostname.<interface>檔案為相關的網路介面定義檔案,在每一次系 統開機的過程中,會自動參考其內容,並針對該內容啟動適當的網路介面,其中的 <interface>會根據所使用的網路介面不同而有所差異,當該主機有二個以上的網路介面 時,便必須在/etc 目錄下產生二個該類型的檔案,若是在開機的過程中,作業系統在/etc 28.
(38) 目錄下並未看到 hostname.<interface>類型的檔案時,則該網路介面便不會被啟動,因此便 不能透過此介面來進行網路的功能,此時便必須由系統管理人員以手動的方式將網路介面 設定啟動。以目前較常見的網路介面名稱有: hostname.le0 hostname.eri0 hostname.ip.tun0. (此介面通常為設定 tunnel 時使用). hostname6.eri0 (此設定檔為 IPv6 的網路設定檔) hostname6.ip.tun0 (此介面為設定 IPv6 的 tunnel 時使用) 而每一個網路介面都必須設定一個 IP 位址,如此才能與其它的機器在網路上彼此溝 通,而在 Solaris 作業系統中,IP 位址定義的相關檔案為/etc 目錄下的 hosts 檔,這個檔案 中的內容會定義機器名稱(Hostname)及 IP 位址的對應關係,所以必須在此檔案中定義機 器本身所擁有的 IP 位址,不論是 IPv4 或 IPv6 的系統,均可在此檔案中定義,除此之外, 若要得到網路上其他主機的機器名稱與 IP 位址的對應關係時,也可以定義在這個檔案中, 或是設定 NIS、DNS 等名稱服務(Name Service)的機制即可。/etc/hosts 的內容範例如下: #內容中,在#後方的任何文字會視為註解說明。 # Internet host table #IP Address 主機名稱 127.0.0.1 localhost 192.9.200.1 vpn1. 主機的別名 #系統 loopback 位址 loghost #設定主機的 IP Address 及主機名稱. 192.9.200.2 vpn2 … 而在 Solaris 8 及以後版本的作業系統中,若是啟動 IPv6 功能的話,則作業系統會參考 /etc/inet/ipnodes 這個檔案的內容來對應 IPv6 的搜尋,一般而言,通常會在 Solaris 的環境 內設定/etc/nsswitch.conf 的檔案內容,來決定作業系統在位址搜尋時所使用名稱服務的優先 順序關係,舉例而言,我們會在 /etc/nsswitch.conf 設定下列的定義: hosts:files nis ipnodes:files 此範例的意義為當作業系統要搜尋 IPv6 的位址時,會僅以/etc/ipnodes 檔案內的定義優 先參考,當要搜尋 IPv4 的位址定義時,則會參考 /etc/ipnodes 及 /etc/hosts 的檔案設定, 搜尋不到需要的位址對應關係時,則會繼續從 NIS 的資料庫中去找尋所需要的資料。關於 Solaris 環境中的名稱服務,可參考圖 17 及圖 18。. 29.
(39) 圖 17 名稱服務所使用的主機資料庫 (資料來源[9]). 圖 18 nsswitch.conf 與名稱服務之間的關係 ( 資料來源[9] ) 所以,在 Solaris 的作業系統中,將 IPv6 啟動的步驟為: 1.. 以超級使用者(super user)的身份登入想啟動 IPv6 的主機。 30.
(40) 2.. 執行下列指令(command)。 touch /etc/hostname6.interfacename 其中 interfacename 為網路介面名稱,需視實際情形而定,如 le0、le1。. 3.. 將機器重新啟動(reboot)。. 4.. 再以超級使用者登入,執行下列指令以確定 IPv6 的網路介面正常啟動。 ifconfig –a. 5.. 將 IPv6 的位址設定到對應的網路介面或是適當的名稱服務資料庫中。. 6.. 若此網路介面要以手動的方式設定時,則可以單純地使用 ifconfig 指令便能完成 所有的網路相關設定,但這種設定方式的缺點為,在每次主機重新開機之後,這 些以 ifconfig 指令設定的網路相關設定便會消失,不會再產生作用,所以便必須 再以 ifconfig 指令設定一次方能讓網路功能正常運作。. 當網路介面的設定完成之後,這台主機便可以開始與網路上的其他主機進行溝通,但 若要建立起一個資料溝通的專屬通道時,則必須在這通道二端的主機都完成在網路上的通 道相關設定,才能順利建構起一個資料溝通的專屬網路通道;專屬網路通道的設定方法如 同前面設定網路介面時所述的步驟一般,但通道二端的主機必須將彼此的 IP 位址都定義到 該通道網路介面中,且目的地位址與來源位址成對組合才行。 設定專屬網路通道範例如下: [root@vpn1]ifconfig hme0 plumb. #先設定主機 vpn1 的網路介面. [root@vpn1]ifconfig hme0 192.9.200.1 up [root@vpn1]ifconfig hme0 inet6 plumb up #設定主機 vpn1 的 IPv6 網路介面 [root@vpn1]ifconfig hme0:1 inet6 plumb [root@vpn1]ifconfig hme0:1 inet6 4ffe:400:350:2db3:a00:20ff:fee6:3195/64 [root@vpn1]ifconfig hme0:1 inet6 up [root@vpn1]ifconfig ip.tun0 inet6 plumb tsrc 192.9.200.1 tdst 192.9.200.2 up [root@vpn1]ifconfig ip.tun0 inet6 addif 4ffe:400:350:2db3:a00:20ff:fee6:3195 3ffe:400:350:2db3:a00:20ff:fee6:3196 up [root@vpn2]ifconfig hme0 plumb #再設定主機 vpn2 的網路介面 [root@vpn2]ifconfig hme0 192.9.200.2 up [root@vpn2]ifconfig hme0 inet6 plumb up #設定主機 vpn2 的 IPv6 網路介面 [root@vpn2]ifconfig hme0:1 inet6 plumb [root@vpn2]ifconfig hme0:1 inet6 3ffe:400:350:2db3:a00:20ff:fee6:3195/64 [root@vpn2]ifconfig hme0:1 inet6 up [root@vpn2]ifconfig ip.tun0 inet6 plumb tsrc 192.9.200.2 tdst 192.168.0.1 up [root@vpn2]ifconfig ip.tun0 inet6 addif 3ffe:400:350:2db3:a00:20ff:fee6:3196 31.
(41) 4ffe:400:350:2db3:a00:20ff:fee6:3195 up [root@vpn1]ifconfig –a #以 ifconfig 指令確認所有網路介面已正確建立 lo0:flags=1000849 mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843 mtu 1500 index 9 inet 192.9.200.1 netmask ffffff00 broadcast 192.9.200.255 ether 8:0:20:86:af:11 hme0:1:flags=2000841<UP,RUNNING,MULTICAST,IPv6> mtu 1500 index 9 inet6 4ffe:400:350:2db3:a00:20ff:fee6:3195/64 ip.tun0: flags=2200851 mtu 1480 index 11 inet tunnel src 192.9.200.1 tunnel dst 192.9.200.2 inet6 fe80::c0a8:2/10 --> fe80::c0a8:1 ip.tun0:1:flags=2202851 mtu 1480 index 11 inet6 4ffe:400:350:2db3:a00:20ff:fee6:3195/128 3ffe:400:350:2db3:a00:20ff:fee6:3196. 如此便可以啟動在 Solaris 環境中的網路功能,而且可以在網路中建構起一個安全的資 料通道。. 2.4.3 如何在 Solaris 環境中設定 IPSec 但是這個安全的資料通道是如何做到的呢?因為在昇陽電腦作業系統 Solaris8 或以後 的版本中,均已將 IPSec 的安全機制納入到作業系統中,所以同樣可以很輕易地透過一些 設定檔的設定之後,作業系統便能提供 IPSec 機制的安全性,而不需要再花費許多額外的 成本。 在 Solaris 作業系統中設定 IPSec 的方法說明如下: 在 Solaris 作業系統中,共提供了二個工具程式來輔助使用者完成 IPSec 的相關設定, 這二個工具程式分別為/usr/sbin/ipsecconf 及/usr/sbin/ipseckey。其中 ipsecconf 程式協助使用 者設定主機的 IPSec 規則(policy) ,不論是流入(inbound)或流出(outbound)的網路流 量(traffic),都會根據所定義的規則去決定所需採取的行動,而 ipseckey 程式則是協助使 用者管理整合在 IPSec 中的 SA,同時 ipseckey 程式也允許系統管理者 root 以手動的方式來 啟動 SA 的管理。當主機在開機的時候,會先自動檢查/etc/inet/ipsecinit.conf 的檔案是否存 在,若存在的話,便會自動依據設定檔中的設定來啟動 IPSec 的規則,其檔案的內容為 ipsecconf 相關的規則定義,每一個規則都需定義在個別的一行,其規則定義的格式如下: {pattern} action {properties} 當網路封包符合 pattern 欄位的定義時,便會再看 action 欄位定義的動作以決定要採取 什麼動作來處理這個封包,而 properties 則是定義要動作時的一些特性,下列為這三個欄 位定義值的參考表。. 32.
(42) 表 6. 設定值. /etc/inet/ipsecinit.conf 設定檔欄位參考表. 定義 Pattern. Saddr. 來源主機的 IP。. daddr. 目的地主機的 IP。. smask. 來源的網路遮罩。. dmask. 目的地的網路遮罩。. Sport. 來源埠。. Dport. 目的埠。. Ulp. 通訊協定,如 TCP、UDP 或其它的 layer4 的通訊協定。 Action. apply. 當 pattern 符合時,便根據 properties 欄位定義其動作。. permit. 若符合 pattern 及 properties 二個欄位的定義時才允許後續動作。. bypass. 當符合 pattern 時便不再檢查其他的規則。 properties. auth_algs. AH 所使用的演算法,如 MD5 或 SHA1. encr_algs. ESP 所使用的加密演算法。. encr_auth_algs. AH 及 ESP 所用的加密演算法。. Dir. 定義該規則是針對 inbound 或是 outbound。. Sa. 定義 SA 的特性,可能為 unique 或是 shared 之一。. ipsecinit.conf 範例如下: 在主機 vpn1 的/etc/inet/ipsecinit.conf 的設定如下: {saddr vpn1 daddr vpn2} {saddr vpn2 daddr vpn1}. apply permit. {auth_algs MD5 sa shared} {auth_algs MD5}. 第一行的規則定義了從 vpn1 到 vpn2 的所有網路封包都會加上 AH 標頭,並且使用 MD5 為認証的演算法,同時使用己存在的 SA 資料。而第二行則定義了從 vpn2 到 vpn1 的所有 封包如果有加上 AH 標頭且使用 MD5 為其認証演算法時,則允許這個封包通過。同樣地, 在 vpn2 的 /etc/inet/ipsecinit.conf 也必須有相對應的設定,如此在 vpn1 與 vpn2 這二台主機 33.
(43) 間的所有互相溝通的封包便都會受到 IPSec 安全機制的保護。 當 IPSec 的規則定義完成之後,便需要設定一個 SA,在 solaris 的環境中,這項功能可 以透過/usr/sbin/ipseckey 這個程式的協助來完成,其格式如下: [add|update|delete|get|flush|dump|save] [ah|esp] spi [spi#] dst [dst addr] [options] ipseckey 程式是在命令模式下一一輸入 SA 的相關資訊,而 SA 所使用的金鑰便會在此 時由使用者設定完成。若在機器重新開機之後,仍要維持相同的 SA 設定時,則可以在設 定 SA 相關資訊完成之後,便將相關設定存放在一個設定檔案中,在每次需要使用到 SA 的資訊時,便以 “ipseckey –f 設定檔”的方式來將 SA 相關設定讀入系統中來完成設定。 ipseckey 的範例如下: [root@vpn1]ipseckey. #此時會進入 ipseckey 的命令模式. ipseckey>add ah spi 5457 src 192.9.200.1 dst 192.9.200.2 authalg MD5 authkey AF123BCDE89C53482AA4221CF89E343D #key 可以由使用者自行決定 ipseckey>add ah spi 6543 src 192.9.200.2 dst 192.9.200.1 authalg MD5 authkey F123BCE6583132CF68DACB9FC8339D4B ipseckey>dump #顯示所有的 SA 相關資訊 Base message (version 2) type DUMP, SA type AH. Message length 136 bytes, seq=3, pid=27140. SA: SADB_ASSOC spi=0x198f, replay=0, state=MATURE SA: Authentication algorithm = MD5 #使用 MD5 為認証演算法 SA: flags=0x0 < > SRC: Source address (proto=0/) SRC: AF_INET: port = 0, 192.9.200.1 (vpn1). DST: Destination address (proto=0/) DST: AF_INET: port = 0, 192.9.200.2 (vpn2). AKY: Authentication key. AKY: f123bce6583132cf68dacb9fc8339d4b/128 LT: Lifetime information CLT: 0 bytes protected, 0 allocations used. . . . Dump succeeded for SA type 0. ipseckey>save ah /etc/inet/key #將 SA 的相關資訊存在/etc/inet/key 檔案中 ipseckey>^D [root@vpn1]cat /etc/inet/key #This key file was generated by the ipseckey(1m) command's 'save' feature. #begin assoc 34.
數據
![圖 2 IPv6 基本標頭格式 (資料來源:[3])](https://thumb-ap.123doks.com/thumbv2/9libinfo/8531232.187231/15.892.108.735.554.1156/圖2IPv6基本標頭格式資料來源3.webp)
+7
![圖 5 Client to Site 的 VPN 模式 ( 資料來源 [6] )](https://thumb-ap.123doks.com/thumbv2/9libinfo/8531232.187231/20.892.107.808.128.1113/圖5ClienttoSite的VPN模式資料來源6.webp)
![圖 6 Site to Site 的 VPN 模式 ( 資料來源 [6] ) 2.2.2 虛擬私有網路的保護對象 一般人在談到網路上所需要保護的對象,第一個聯想到的通常是保護系統內的檔案資 料:公司的企劃書、財務報表、薪資及稅單或是研發的成果。這些檔案資料固然十分的重 要,但是網路所帶來的便利及好處並不僅僅如此而已,網路所帶來的好處更可能包括了提 昇公司的企業形象或商譽等無形的資產,若是不好好地小心保護網路內的重要資料,當網 路上機密資料遭別人所盜取而利用時,所損失的可能不只是檔案資料這種有形的](https://thumb-ap.123doks.com/thumbv2/9libinfo/8531232.187231/21.892.136.710.162.731/一般人要保護第一個聯想到料公司昇公司或商譽等無形資產若是形的.webp)
![圖 7 防火牆常見的架構之封包過濾路由器 ( 資料來源:[7] )](https://thumb-ap.123doks.com/thumbv2/9libinfo/8531232.187231/23.892.107.721.112.852/圖7防火牆常見的架構之封包過濾路由器資料來源7.webp)
![圖 8 防火牆常見的架構之防禦主機 ( 資料來源:[7] )](https://thumb-ap.123doks.com/thumbv2/9libinfo/8531232.187231/24.892.106.737.103.881/圖8防火牆常見的架構之防禦主機資料來源7.webp)
![圖 9 防火牆常見的架構之鄰界網路 ( 資料來源:[7] )](https://thumb-ap.123doks.com/thumbv2/9libinfo/8531232.187231/25.892.111.722.100.892/圖9防火牆常見的架構之鄰界網路資料來源7.webp)
![圖 10 防火牆常見的架構之 Proxy 伺服器 ( 資料來源:[7] ) 2.2.3.2 身份驗證(Authentication) 有人想透過網路與你連線,你無法看到他,也無法聽到他,如何確定跟你連線的人, 真的就是你所想的人,而不是另一個人,。因此如何正確地辨識合法的使用者與設備,使 真正需要連線的人或設備能夠互相溝通,形成一個虛擬私有網路並讓駭客不易侵入,這就 是身份驗證的技術,最常使用的技術有使用者的名稱、密碼或是智慧卡等。](https://thumb-ap.123doks.com/thumbv2/9libinfo/8531232.187231/26.892.108.709.108.904/伺服器另一個人備使真正需要連線人或設備能夠互相溝通形成虛擬.webp)
相關文件
本刊“99年第3季(7~9月)就業服務統計資訊"主要資料來源為「行政院勞
為維護中高齡者及高齡者就業權益,建構 友善就業環境,並促進人力資源運用,總統於 2019 年 12 月 4 日公布「中高齡者及高齡者就 業促進法」(以下簡稱本法),並自 2020 年
亞洲‧矽谷學院 工業技術研究院 資訊工業策進會 產業人才投資方案.
英國第四季經濟增長由第三季的 0.9%放緩至 0.4%,製造業及企業投資分別減少了 0.9% 及
二、為因應國內外環境、我國產業發展及人口結構之改變,勞動部推動
要成為成功的國際業務員,把企業的通路打 通成可以繞著地球賣東西,靠的不是白紙黑
圖4 1 整合資訊系統風險 圖4.1 整合資訊系統風險..
一、 勞動部(以下簡稱本部)為維護中高齡者及高齡者就業權益,建構
