網(wǎng)絡(luò)安全的需求 據(jù)統(tǒng)計(jì)，2000年企業(yè)及政府部門遭受駭客(Hacker)攻擊的概率高達(dá)85%，而網(wǎng)絡(luò)安全的漏洞不是防堵駭客入侵就解決了，其它像遭窺探者竊取機(jī)密性數(shù)據(jù)，或是心懷不滿的員工蓄意破壞系統(tǒng)內(nèi)重要檔案，警覺(jué)性不足的員工外泄重要密碼、不小心由Email引入計(jì)算機(jī)病毒等，都是威脅網(wǎng)絡(luò)安全的幾個(gè)危險(xiǎn)因子。  為了讓區(qū)域內(nèi)網(wǎng)絡(luò)維持安全運(yùn)作，建立一套安全防護(hù)網(wǎng)才是根本解決之道，較完整的防衛(wèi)機(jī)制大概分為三大類： （一）Network Security (網(wǎng)絡(luò)安全) (Firewalls, Intrusion detection system, Intrusion prevention System, Wireless security, Mail security, E-commerce security, Load balancer /High Availability) （二）Content Filtering (內(nèi)容過(guò)濾) (Antivirus, Internet /Web / URL filters, Spam filtering, Content security) （三）Encryption (加密) (Virtual Private Network, Public Key Infrastructure Certification Architecture, 三種市場(chǎng)應(yīng)用各有不同的系統(tǒng)規(guī)格需求，VPN 的系統(tǒng)需將訊息全數(shù)打亂再丟到網(wǎng)絡(luò)上，透過(guò)加密機(jī)制在公開(kāi)的網(wǎng)絡(luò)里建立起加密通道(Encrypted Tunnel)，接收端再解密取得真實(shí)訊息，在浩瀚的因特網(wǎng)內(nèi)建立起安全私密的虛擬局域網(wǎng)絡(luò)；Firewall則像大樓管理員，檢查來(lái)訪封包的通行許可證，包含檢查封包的來(lái)源、目的地、連接埠等字段，但是防火墻并沒(méi)有辦法擋掉所有的入侵者，此時(shí)就須要另一道防線IDS；IDS 就像網(wǎng)絡(luò)上的監(jiān)控?cái)z影機(jī)，可以分析流經(jīng)的封包數(shù)據(jù)，偵測(cè)未經(jīng)授權(quán)的行為，IDS大致區(qū)分為「網(wǎng)絡(luò)系統(tǒng)」跟「主機(jī)系統(tǒng)」兩類?；旧螴DS需求的系統(tǒng)處理能力可以涵蓋VPN及Firewall的需求. 入侵偵測(cè)系統(tǒng)的應(yīng)用 防火墻與IDP的差異在于, 防火墻僅能就網(wǎng)絡(luò)封包做到2到4層的檢測(cè)，就來(lái)源地址/端口號(hào)以及目的地址/服務(wù)進(jìn)行控管；而IDP可以做到4到7層(也就是應(yīng)用層)的檢測(cè)，因此IDP可以發(fā)覺(jué)包藏在應(yīng)用層里的惡意攻擊碼(譬如蠕蟲(chóng)攻擊、緩沖溢位攻擊便藏匿于此)，并予以狙擊。IDP內(nèi)建龐大的攻擊特征數(shù)據(jù)庫(kù)，可以有效阻絕已知的攻擊；IDP也透過(guò)「異常協(xié)議偵測(cè)」的方式，實(shí)時(shí)檢查并將不符合RFC規(guī)范的網(wǎng)絡(luò)封包丟棄。所以在「攻擊防御」方面，IDP遠(yuǎn)勝于防火墻之上。 由于IDP一般僅能就IP以及IP群組決定封包放行權(quán)限，所以在「資源存取權(quán)限管理」方面，防火墻較優(yōu)于IDP。然而，防火墻并無(wú)法有效管控企業(yè)內(nèi)部使用者使用P2P、實(shí)時(shí)通訊(Instant Messenger、Yahoo Messenger)等軟件、也無(wú)法杜絕利用Web-Mail或者Web-Post等方式將機(jī)密外泄，這些問(wèn)題需要能監(jiān)控4到7層的IDP設(shè)備才能控管。目前已經(jīng)有少部分的IDP產(chǎn)品采用IXP2xxx芯片利用其「深層檢測(cè)」的優(yōu)勢(shì)，有效地解決上述問(wèn)題。 IDP可以防止蠕蟲(chóng)由外入侵至企業(yè)網(wǎng)絡(luò)內(nèi)部，而如果防火墻要防止蠕蟲(chóng)攻擊，僅能消極地關(guān)閉某些Port。但一般的檔案型病毒，則不在IDP及防火墻的防護(hù)范圍內(nèi)。因此資安的最后一層防護(hù)網(wǎng)便是在使用者端安裝防毒軟件。 各項(xiàng)資安產(chǎn)品皆有其擅長(zhǎng)與不足之處，因此建議企業(yè)資安負(fù)責(zé)人員深入了解以及比較這些資安產(chǎn)品的差異，并依據(jù)企業(yè)的實(shí)際需要充分搭配使用，加強(qiáng)資安防護(hù)網(wǎng)的縱深，以確保企業(yè)的網(wǎng)絡(luò)安全。 后面我們就以較復(fù)雜的IDS為例做IXP-2400的應(yīng)用說(shuō)明。 網(wǎng)絡(luò)處理器的時(shí)代已經(jīng)來(lái)臨，它可有效解決網(wǎng)絡(luò)交通擁塞的問(wèn)題，也可處理復(fù)雜的封包運(yùn)算。不論如何，Inetel IXA架構(gòu)已經(jīng)正確的跨出第一步，接下來(lái)就須要更多的平臺(tái)設(shè)計(jì)者投入開(kāi)發(fā)工作，以及更多的應(yīng)用開(kāi)發(fā)者投入資源，發(fā)展軟件程序，逐步建立完整的可攜式Microblocks。網(wǎng)絡(luò)興起、頻寬加速拓展，使整個(gè)網(wǎng)絡(luò)通訊的市場(chǎng)板塊不斷的在調(diào)整、挪動(dòng)，凌華科技與Intel合作，共同推廣IXP-2XXX網(wǎng)絡(luò)處理器的應(yīng)用，針對(duì)網(wǎng)絡(luò)安全其中封包處理過(guò)程以下進(jìn)一步來(lái)討論。 何謂封包與功能： 在網(wǎng)絡(luò)安全論述中,所有傳輸動(dòng)作是經(jīng)由封包完成的, 封包就很像我們?cè)卩]寄信件的時(shí)候那個(gè)郵件的模樣了！信紙內(nèi)容總是得放入信封吧？而信封上面會(huì)寫(xiě)上發(fā)信人住址，受收信人住址與姓名. 所以，一封郵件主要會(huì)有兩個(gè)部分，分別是：『信封表面的信息部分、與信封內(nèi)部的信件內(nèi)容！』。同樣的，網(wǎng)絡(luò)的信息封包主要也是分為兩個(gè)部分，一個(gè)是表頭 ( Header ) 的部分，另一個(gè)則是內(nèi)容 ( messages ) 的部分！而一個(gè)封包要傳送到哪里去，都是通過(guò) Header 的訊息部分進(jìn)行分析而傳送的！那么 Header 有哪些重要的信息呢？主要就如同上面提到的，至少會(huì)有來(lái)源與目標(biāo) IP 、來(lái)源與目標(biāo) Port等等！封包是怎么在兩部主機(jī)之間進(jìn)行傳送的呢？事實(shí)上，封包的傳送是相當(dāng)復(fù)雜的，而且封包的狀態(tài)不同 (TCP/UDP) 也會(huì)有不一樣的傳送機(jī)制。這里舉一個(gè)『相對(duì)比較可靠的封包傳送方式』來(lái)介紹。如下圖所示：                    

較可靠的封包傳送狀態(tài)

當(dāng)發(fā)送封包者發(fā)送出一個(gè)封包給接受者后，接受者在『正確的接到』這個(gè)封包之后，會(huì)回復(fù)一個(gè)響應(yīng)封包 ( Acknowledgment ) 給發(fā)送者，告訴他接受者已經(jīng)收到了！當(dāng)發(fā)送端收到這個(gè)響應(yīng)封包后，才會(huì)繼續(xù)發(fā)送下一個(gè)封包出去，否則就會(huì)將剛剛的封包重新發(fā)送一次！這種封包的傳遞方式因?yàn)榭紤]到對(duì)方接到的封包的狀態(tài)，所以算是比較可靠的一種方式。目前因特網(wǎng)上面常見(jiàn)的封包是 TCP 與 UDP ，其中 TCP 的聯(lián)機(jī)方式中，會(huì)考慮到較多的參數(shù)，他是一種聯(lián)機(jī)模式(Connection Oriented)的可靠傳輸，至于 UDP 則省略了響應(yīng)封包的步驟，所以是一種非聯(lián)機(jī)導(dǎo)向的非可靠傳輸。在一個(gè) TCP 封包的傳送過(guò)程中，因?yàn)橹辽傩枰獋魉团c響應(yīng)等封包來(lái)確定傳送出去的數(shù)據(jù)沒(méi)有問(wèn)題，所以他是相當(dāng)可靠的一種傳輸方式，不過(guò)就是傳輸與響應(yīng)之間的時(shí)間可能會(huì)拖比較久一點(diǎn)。至于 UDP 封包就因?yàn)樯倭四莻€(gè)確認(rèn)的動(dòng)作，所以雖然他是較不可靠一點(diǎn)，但是速度上就比 TCP 封包要來(lái)的快！底下我們將繼續(xù)介紹 TCP, UDP 以及 ICMP 等封包信息的內(nèi)容. TCP 與 UDP 封包的建立是有差異存在的！針對(duì)TCP封包Header的內(nèi)容作個(gè)簡(jiǎn)單的介紹！ TCP 封包的 Header 內(nèi)容主要如下：                    

TCP 封包的 Header 信息

Source Port & Destination Port ( 來(lái)源端口口 & 目標(biāo)端口口 )：來(lái)源與目標(biāo)的端口，這個(gè)容易了解吧！上面剛剛提過(guò)那個(gè)埠口的觀念。再次的強(qiáng)調(diào)一下，小于 1024 以下的 Port 只有 root 身份才能啟用，至于一般 Client 發(fā)起的聯(lián)機(jī)，通常是使用大于 1024 以上的埠口！ Sequence Number ( 封包序號(hào) )：在OSI 七層協(xié)定里面提到過(guò)，由于種種的限制，所以一次傳送的封包大小大約僅有數(shù)千 bytes ，但是我們的資料可能大于這個(gè)封包所允許的最大容量，所以就得將我們的數(shù)據(jù)拆成數(shù)個(gè)封包來(lái)進(jìn)行傳送到目的地主機(jī)的動(dòng)作。那么對(duì)方主機(jī)怎么知道這些封包是有關(guān)連性的呢？就得通過(guò)這個(gè) Sequence Number 來(lái)輔助了。當(dāng)發(fā)送端要發(fā)送封包時(shí)，會(huì)為這個(gè)封包設(shè)定一個(gè)序號(hào)，然后再依據(jù)要傳送的數(shù)據(jù)長(zhǎng)度，依序的增加序號(hào)。也就是說(shuō)，我們可以使用遞增的值來(lái)替下一個(gè)封包作為它序號(hào)的設(shè)定！ Acknowledgment Number ( 回應(yīng)序號(hào) ) ：封包傳輸過(guò)程中，我們知道在接受端接收了封包之后，會(huì)響應(yīng)發(fā)送端一個(gè)響應(yīng)封包，那個(gè)響應(yīng)的信息就是在這里。當(dāng)接收端收到 TCP 封包并且通過(guò)檢驗(yàn)確認(rèn)接收該封包后，就會(huì)依照原 TCP 封包的發(fā)送序號(hào)再加上數(shù)據(jù)長(zhǎng)度以產(chǎn)生一個(gè)響應(yīng)的序號(hào)，而附在回應(yīng)給發(fā)送端的響應(yīng)封包上面，這樣發(fā)送端就可以知道接收端已經(jīng)正確的接收成功該 TCP 封包了！所以說(shuō)， Sequence 與 Acknowledgment number 是 TCP 封包之所以可靠的保證！因?yàn)樗梢杂脕?lái)檢測(cè)封包是否正確的被接受者所接收！ 　 Data Offset (資料補(bǔ)償)：這是用來(lái)記錄表頭長(zhǎng)度用的一個(gè)字段。 　 Reserved (保留)：未使用的保留字段。 　 Control Flag (控制標(biāo)志碼)：控制標(biāo)志碼在 TCP 封包的聯(lián)機(jī)過(guò)程當(dāng)中，是相當(dāng)重要的一個(gè)標(biāo)志，先來(lái)說(shuō)一說(shuō)這六個(gè)句柄，然后再來(lái)討論吧： Urgent data ：如果 URG 為 1 時(shí)，表示這是一個(gè)緊急的封包數(shù)據(jù)，接收端應(yīng)該優(yōu)先處理； Acknowledge field significant ：當(dāng) ACK 這個(gè) Flag 為 1 時(shí)，表示這個(gè)封包的 Acknowledge Number 是有效的，也就是我們上面提到的那個(gè)回應(yīng)封包。 Push function ：如果 PSH 為 1 的時(shí)候，該封包連同傳送緩沖區(qū)的其它封包應(yīng)立即進(jìn)行傳送，而無(wú)需等待緩沖區(qū)滿了才送。接收端必須盡快將此數(shù)據(jù)交給程序處理。 Reset ：如果 RST 為 1 的時(shí)候，表示聯(lián)機(jī)會(huì)被馬上結(jié)束，而無(wú)需等待終止確認(rèn)手續(xù)。 Synchronize sequence number ：這就是 SYN 標(biāo)志啦！當(dāng) SYN 為 1 時(shí)，那就表示發(fā)送端要求雙方進(jìn)行同步處理，也就是要求建立聯(lián)機(jī)的意思，這個(gè) SYN 是相當(dāng)重要的一個(gè) Flag 喔！ No more data fro sender (Finish) ：如果封包的 FIN 為 1 的時(shí)候，就表示傳送結(jié)束，然后雙方發(fā)出結(jié)束響應(yīng)，進(jìn)而正式進(jìn)入 TCP 傳送的終止流程。 　 Window (滑動(dòng)窗口)：與接收者的緩沖區(qū)大小有關(guān)的一個(gè)參數(shù)。 Checksum(確認(rèn))：當(dāng)數(shù)據(jù)要由發(fā)送端送出前，會(huì)進(jìn)行一個(gè)檢驗(yàn)的動(dòng)作，并將該動(dòng)作的檢驗(yàn)值標(biāo)注在這個(gè)字段上；而接收者收到這個(gè)封包之后，會(huì)再次的對(duì)封包進(jìn)行驗(yàn)證，并且比對(duì)原發(fā)送的 Checksum 值是否相符，如果相符就接受，若不符就會(huì)假設(shè)該封包已經(jīng)損毀，進(jìn)而要求對(duì)方重新發(fā)送此封包！ Urgent Pointer：指示緊急數(shù)據(jù)所在位置的字段。 Option：當(dāng)需要 client 與 Server 同步動(dòng)作的程序，例如 Telnet ，那么要處理好兩端的交互模式，就會(huì)用到這個(gè)字段來(lái)指定數(shù)據(jù)封包的大小，不過(guò)，這個(gè)字段還是比較少用的！ 為什么需要用到 Intel IXP-2XXX 網(wǎng)絡(luò)處理器 因特網(wǎng)、企業(yè)網(wǎng)絡(luò)等