VPN及目前Firewall 在DDoS 攻击防上的缺陷

自九O 年开始，网际网路在各国开始风行，加上许多的网站与应用程式的开发，也促成了上网的使用者在短时间内大量增加，渐渐的开始影响人们的生活，从教育娱乐知识经济等各方面都起了许多的变化，人们可透过网际网路与世界各国的友人互通讯息，也可进行远距教学来学习课业或透过图书馆的网页来进行资料检索，商业行为也可以经由网路达成，更重要的是网路造就了一个无实体距离的虚拟世界，跨越了现实生活里一切形式上的规。在网路众多的应用里，商业活动可以说是最重要的一环，利用网际网路进行的金融交易与行销活动，可不再受限於资本、人员、设备、区域、销售点等有形的限制，使的中小企业更有竞争力，更出现了许多前所未有的电子商务模式，像Business to Business(B to B)、Business to Client (B to C)、Client to Business( C to B)和Client to Client( C to C)等等，许多的投资者前後继的加入网际网路的行列，希望在这所谓第二次工业革命里，占有一席之地，在众多的些应用里，网路安全一直是核心议题之一，因为无论是企业或是使用者所传的资料往往牵涉到金钱或个人私有资料，所以资料的安全性是首要课题。

在以往，产业里要进行讯息的交换，无论是公司与公司或公司内各部门之间都可能要拉一条专线，这样非常的不经济并且有许多地域性或设备上的限制，企业希望真正进行通讯时能动态产生一条属於自己的网路连线，而不需要时就可离线以节省成本，加上网际网路的风行与技术简单性，许多人尝试着将机密重要的文件经网际网路来传输，却又怕资料被窃取或，导致无法弥补的损失，因此希望透过网际网路建立连线时资料传输的通道(tunnel)是绝对安全的，这就是VPN 的基本观念。

1 节省成本
使用网际网路VPN ，最浅而易见的的优点就是节省成本，传统的VPN 无论是架T1 或ISDN 专线，其费用是很吓人的，包含安装费，每月固定的月费，以及依据距离所增加的费用等等，其成本与网际网路VPN 相比高出许多。

2 富有弹性
企业可透过ISP 提供整合服务，传统点对点的连接，因为每个点所需所需频宽的不同，希望能配备不同频宽的线路，因此可能造成设备的繁琐与浪费，维护起来也是杂麻烦，但网际网路VPN 因为服务是由ISP 来提供，可依据ISP 所提供的频宽不同，针对每个个点选择你所需要的频宽，这样不但有弹性而且也可节省费用，并且依据不同的需要规划频宽。

3 富有扩展性
地理扩展性：一般的IPS 厂商，在一个国家或区域内通常都有许多的据点，因此当办公室的的规模改变而搬迁时，网路线的移动较为简单，仅需要修改单一点对ISP 的连线，而且一般行动型笔记电脑的使用者，也可以透过ISP 的拨接，来加入VPN 的体系里，使行动用户不再受限於线路的限制。频宽扩展性：当某分公司频宽不足时，我们可以轻易依据当地的ISP 所提供的服务进行升级，并不需要将大规模的修改线路。

通道（Tunnels ）
1 Virtual
VPN 与传统的专线连接最大的不同，在於组织有需要时才动态产生连线，VPN 通常并不维护一永久的连线，也就是当传输结束时，就进行离线释放频宽给予其他人使用，当两个端点间开启一个通道时，输出端通常会将所用到的IP封包加以处理後再送到网际网路上，通常这种处理包含将资料部分加密或增加认的资讯，并且重新计算IP Header ，当接收端收到此封包後就会去除IP Header并且重组，然後进行资料解码与认的动作。经过Tunneling 处里的封包通道一般可存在两种不同型态的端点间，也就是存在一般的工作站电脑或是安全闸道(Security Gateway)之间，安全闸道可能是路由器或防火墙所构成，此两种端点可任意组合成LAN-to-LAN 、LAN-to-Client 、Client-to-Client 的形式。

2 Private （私有化）
VPN 的成立条件之一就是当两端点间进行通讯时，必须要达成私有化的的议题，所谓的私有化就是经由通道的建立在共享的介质上进行资料传输，其结果相当於在专线上做传输，因此必须符合以下四个条件
Authentication (认)： 确定资料的来源是对方所声称的身份
Access Control （存取权）： 限制无使用权的人机进行资料的存取
Confidentiality （资料机密性）： 防止非法使用者阅读或拷贝资料内容
Data Integrity （资料完正性）： 确定传输的过程里资料没有被更改过
为达成上述条件，必须加入许多的额外程序例如加密的程序，电子签章的作程序，杂凑认法程序等，也由於双方有共同的机要资讯(key)称为金钥，故必须有一机制进行管理。

目前Firewall 在DDoS 攻击防上的缺陷

防火墙（Firewall ）是网路安全中非常重要的一环，大多数的企业机关多半也认为仅需安装一套「防火墙」设备，应该就可以解决他们的安全问题。它最主要是透过存取的限制，来保护自己内部的网路，不会遭受到攻击。然而，防火墙必须有正确的环境设定，才能发挥安全防护上的机制。因此，防火墙功能的强大与否，主要是取决於环境设定的层面，当防火墙依据多重安全规则，对不同服务进行Packet Filters 与Proxies 时，常常容易导致系统管理者将防火墙的环境设定错误，而留下一些系统安全漏洞，让入侵者有机可趁。Firewall 的Packet Filter 通常针对IP 封包的表头栏位与管理者制定的规则进行过滤，这些栏位主要为:

封包型别(Packet Type)，如：IP 、UDP 、ICMP 、或TCP来源主机之IP 位址目标主机之IP 位址，来源TCP/UDP 埠号码，目标TCP/UDP 埠号码

以目前Firewall 的产品，要来抵挡住DDoS 的攻击，实在是有许多的困难，原因如下：

1. Firewall 是由人力去手动设定（Static Configure ），因此，不适合於动态的设定（Dynamic Configure ），由於每次攻击的方式并不一定，你无法得知攻击者的来源位址，和用来攻击的通讯协定，除非你要做一个很完整的设定，不然，很难对DDoS 攻击做有效的防。
2. 而且，目前Firewall 的设定通常是采用宁可错杀一百也不可放过一人的方式，也就是它不会分辨正常封包与攻击封包之不同，举例来说，大部分的网路管理者为了抵挡住ICMP Ping的攻击，会设定Firewall 将所有进来的ICMPPing 的封包都挡掉，然而，它并不挡ICMP Ping Response的封包，这种方式使得在Firewall 外部的使用者，无法Ping在Firewall 内部的IP 位址，虽然是达到了防的目的，却不是一个很好的方式，而且，现在攻击的方式已经改采传送大量假造的ICMP Ping Response 的封包，如此，Firewall 只好连ICMP Ping Response 的封包都给挡掉，才能挡住这类的攻击封包，这会对Firewall 内部的User 造成不便。因此，我们急迫切的需要一个能有效侦测DDoS 攻击事件的工具，使得我们能在攻击的第一时间就做处理。

• ·微软欲起诉谷歌Chrome浏览器垄断
• ·精选ERP以技术为纲
• ·技术答疑：AC.NET标准会计软件--《会稽山》单机专业版[图]
• ·AC.NET标准会计软件--《会稽山》下载安装与操作流程
• ·敏捷开发和高级别CMMI

• ·Siemens PLM Software 技术技巧（12）[组图]
• ·Siemens PLM Software 技术技巧（11）[组图]
• ·用ANSYS计算变压器箱体涡流，可以加阻抗边界条件吗
• ·企业为什么要实施易拓软件
• ·网络管理系统的进步[图]