圖解網路安全

第一章 網路基礎安全

Unit 1-1 協　定

網路安全(network security)，顧名思義，明顯是兩個領域與概念的組合，一是網路，二是資訊安全。

資訊安全的歷史悠久，在一個完美沒有犯罪的世界，也許我們不需要強調資訊安全，然而，目前有太多惡意人士想藉由犯罪手段取得或是破壞使用者的資料，這些資料對許多公司企業與個人來說，往往是具有相當高

的重要性，例如公司的交易記錄、會員的帳號資料、網路通訊記錄或是個人手機裡的影像、簡訊記錄等，並不是說這些東西具有不可告人的性質，而是不管企業或個人，都有不欲與不能對外公開的資訊，而保護這些資訊的方法與技術，就是資訊安全。

我們會選擇各種方式來保護資訊，最常見的方式是使用密碼，沒有完整的密碼就無法取得資料的存取權。在戰爭中，軍情與命令的傳達，都需要使用「加密」的技術，加密後的資訊稱為「密文」，密文沒有適當的解密工具時，就沒有人可以看懂內容代表了什麼意義。

密文比「暗號」更為安全，因為暗號是固定的，如果當初沒有針對某個內容設定好暗號，就沒辦法使用暗號。

加密則是以一種特殊手法或工具對資訊進行偽裝，不同的資訊都可以進行加密，只要對方擁有適當的工具，就可以「解密」再閱讀內容。

在數位的世界中，所有的資料都可以用數值來表示，既然是數值，表示是可以進行計算的，所以加密、解密等技術，都可以用數學模型來表示。

要講網路安全，首先我們要了解網路是什麼。沒有網路的狀況下，會不會有資訊安全的問題？答案當然是肯定的，但是在網路環境中，資訊安全面對的攻擊者來自於所有可以透過網路進行連線的人，也就是來自世界的各個角落，可想而知，問題會更為棘手與複雜。

我們先從網路的基礎談起，當然並不是要介紹網路封包、廣域網路、繞送網路等細節，而是以較為常見、常用的網路設備，來了解網路是由哪些元件組成。

電腦網路(computer network) 是將不同位置的電腦系統，以通訊裝置和通訊線路將它們進行連線，這些電腦系統彼此是互相獨立的，透過連線的軟硬體設備，可以實現資源的共享和訊息的傳遞。如果我們將兩台電腦互相連線，就實現了一個電腦網路。

在一個網路中，我們說的電腦並不單純只指個人電腦，有太多的功能已經獨立出來，並以一種硬體設備的形式出現，這些硬體設備在網路的資訊傳遞過程中，都具備了一定的功能，扮演了重要的角色。兩台電腦彼此要溝通，就像兩個人要交談一般，首先要能夠明白彼此講的話，不然就會雞同鴨講。

在網路上，資訊的傳遞需要一種約定好的固定格式，傳送資訊的一方，以這種格式將資訊傳遞出去，而接收的一方，依約定好的格式來解讀，才能了解資訊的內容，這種格式就是通訊協定(Communication Protocol)。

目前的網路最常見的通訊協定是TCP/IP，TCP/IP 是由傳輸控制協定(Transmission Control Protocol) 與網際協定(Internet Protocol) 所組成，它是一種具備四個層級的架構，分別是應用層(Application Layer)、傳輸層(Transport Layer)、網路層(Internet Layer) 與連結層(Link Layer)，如圖1-1所示。

第一章 網路基礎安全

Unit 1-1 協　定

網路安全(network security)，顧名思義，明顯是兩個領域與概念的組合，一是網路，二是資訊安全。

資訊安全的歷史悠久，在一個完美沒有犯罪的世界，也許我們不需要強調資訊安全，然而，目前有太多惡意人士想藉由犯罪手段取得或是破壞使用者的資料，這些資料對許多公司企業與個人來說，往往是具有相當高

的重要性，例如公司的交易記錄、會員的帳號資料、網路通訊記錄或是個人手機裡的影像、簡訊記錄等，並不是說這些東西具有不可告人的性質，而是不管企業或個人，都有不欲與不能對外公開的資訊...

本書撰寫的目的，主要是為了讓資訊安全的觀念能用淺顯易懂的方式傳播給

更多的人。

資訊安全並不是一個只存在於教科書內的名詞，而是每個注重個人隱私的使用者都應該要具備的基本常識。隨著智慧型手機等裝置的普及，安全性風險也隨之增加，風險來自何處？攻擊來自何方？防禦有什麼方法？這些都需要具有基本概念，才能提升資料的安全保護。

本書藉由書中內容將生活中、工作上可能遇到的資安狀況做廣泛的介紹；全書篇幅並不足以完全介紹到所有的資訊安全範疇，例如「駭客入侵是如何利用漏洞來完成？」，即使只是一種攻擊手法的分析，可能都需要一整個章節的篇幅做闡述，這些較專門的領域就不在本書深入討論，期望讀者具備本書的知識後，可

以在許多地方察覺到，資訊安全的觀念若不完善，可能會造成什麼樣的風險與損

失。

雖然我們常說「道高一尺，魔高一丈」、「沒有最安全，只有更安全」，但這並不是指資訊安全是多做無益的事情，建造了又高又厚的城牆，保護城內人民數十年，可能今天就被巨人一腳踹破；並不是城牆不夠穩固，而是攻擊手法與強度一直在翻新、強化，當然我們就要從知識面對資訊安全做通盤的了解，才能盡

可能的避免被惡意攻擊，或是減少遭受攻擊的損失。

感謝五南出版社的邀約，讓我有這個機會可以將我對資訊安全的心得與經驗彙整出版；五南出版社的編輯群具有相當的耐心細心與包容，讓本書可以在精美的編排下如期完成；感謝所有資訊安全領域的前輩專家，讓本書在撰寫過程中有各種資料可以參考引用；感謝本書在撰寫過程中，各方朋友的支持與建議。

若讀者對本書有任何建議與指教，竭誠歡迎您來信與我聯繫。

林忠億

jungyilin@gmail

本書撰寫的目的，主要是為了讓資訊安全的觀念能用淺顯易懂的方式傳播給

更多的人。

資訊安全並不是一個只存在於教科書內的名詞，而是每個注重個人隱私的使用者都應該要具備的基本常識。隨著智慧型手機等裝置的普及，安全性風險也隨之增加，風險來自何處？攻擊來自何方？防禦有什麼方法？這些都需要具有基本概念，才能提升資料的安全保護。

本書藉由書中內容將生活中、工作上可能遇到的資安狀況做廣泛的介紹；全書篇幅並不足以完全介紹到所有的資訊安全範疇，例如「駭客入侵是如何利用漏洞來完成？」，即使只是一種攻擊手法的...

第 1 章 網路安全基礎
Unit 1-1 協　定
Unit 1-2 網路相關硬體
習題
第 2 章 安全性技術
Unit 2-1 公開金鑰架構
Unit 2-2 OpenSSL
Unit 2-3 加密與雜湊演算法
Unit 2-4 SSL 與 TLS
Unit 2-5 PGP
Unit 2-6 IPSec
習題
第 3 章 網路威脅和防護
Unit 3-1 資料庫由來與攻擊手法
Unit 3-2 竊取存取權
Unit 3-3 針對 TCP/IP 的攻擊
習題
第 4 章 存取控制
Unit 4-1 識別、驗證、授權與稽核
Unit 4-2 通 道
Unit 4-3 驗 證
Unit 4-4 存取控制
Unit 4-5 產品安全性認證
習題
第 5 章 系統安全與弱點掃瞄
Unit 5-1 作業系統
Unit 5-2 應用程式與 web
Unit 5-3 滲透測試
Unit 5-4 弱點掃描
Unit 5-5 攻擊測試
Unit 5-6 系統日誌
習題
第 6 章 無線區域網路安全
Unit 6-1 無線區域網路協定
Unit 6-2 安全協定
Unit 6-3 無線區域網路的攻擊
習題

第 1 章 網路安全基礎
Unit 1-1 協　定
Unit 1-2 網路相關硬體
習題
第 2 章 安全性技術
Unit 2-1 公開金鑰架構
Unit 2-2 OpenSSL
Unit 2-3 加密與雜湊演算法
Unit 2-4 SSL 與 TLS
Unit 2-5 PGP
Unit 2-6 IPSec
習題
第 3 章 網路威脅和防護
Unit 3-1 資料庫由來與攻擊手法
Unit 3-2 竊取存取權
Unit 3-3 針對 TCP/IP 的攻擊
習題
第 4 章 存取控制
Unit 4-1 識別、驗證、授權與稽核
Unit 4-2 通 道
Unit 4-3 驗 證
Unit 4-4 存取控制
Unit 4-5 產品安全性認證
習題
第 5 章 系統安全與弱點掃瞄
Unit 5-1 作業系...