EC-Council CND 網路防禦課程

MODULE 04: NETWORK PERIMETER SECURITY

本模組深入探討構建與維護安全網路邊界的核心技術。作為 CND 認證網路防禦者,您的任務不僅是部署設備,更是理解流量如何在邊界流動,並設計出能抵禦進階持續性威脅 (APT) 的縱深防禦架構。

1. 防火牆技術架構 (Firewall Architectures)

LAYER 3/4

Packet Filtering (封包過濾)

定義:最基礎的防火牆,僅檢查封包標頭 (IP, Port, Protocol),不檢查 Payload。通常在 Router 上透過 ACL 實作。

Stateless (無狀態):每一個封包被視為獨立事件。無法分辨該封包是屬於現有連線還是新的攻擊。

弱點:容易受到 IP Spoofing 攻擊;無法防禦應用層攻擊。

Blue Team Tactic

確保最後一條規則永遠是 "Explicit Deny" (Deny All)。
LAYER 3/4 + STATE

Stateful Inspection (狀態檢測)

定義:除了檢查標頭,還維護一張「狀態表 (State Table)」。它知道封包是否屬於已建立的連線 (Established)。

運作:如果一個 ACK 封包進入,但狀態表中沒有對應的 SYN 記錄,則該封包會被丟棄。

優勢:比單純過濾更安全,效能比 Proxy 好。是現代防火牆的基礎。
LAYER 7

Application Proxy (應用層代理)

定義:防火牆作為中間人 (Middleman)。客戶端連到 Proxy,Proxy 再連到伺服器。完全切斷了內外網的直接連線。

深度檢測:可以理解應用層協議 (如 HTTP, FTP),能阻擋不符合 RFC 標準的指令。

Blue Team Tactic

使用 Proxy 來過濾特定的 HTTP 方法 (如阻擋 DELETE 或 TRACE) 以減少攻擊面。

2. 網路拓樸與 DMZ 設計 (Topology & DMZ)

DMZ (非軍事區)

概念:一個位於不受信任網路 (Internet) 與受信任內部網路 (LAN) 之間的緩衝區。

用途:放置必須對外提供服務的伺服器 (Public-Facing Servers),例如:

  • Web Server (HTTP/HTTPS)
  • Mail Server (SMTP Relay)
  • DNS Server (External)
關鍵規則:DMZ 中的主機絕對不應能夠直接發起連線進入內部網路 (LAN)。

Bastion Host (堡壘主機)

定義:為了承受攻擊而特別強化的電腦。通常放置在 DMZ 中。

Hardening (強化措施):

  • 移除所有不必要的服務與帳號。
  • 安裝最新的安全修補程式。
  • 關閉不必要的連接埠。

Screened Subnet

架構:使用兩個防火牆的架構。

1. 外部防火牆:過濾 Internet 到 DMZ 的流量。

2. 內部防火牆:過濾 DMZ 到 Internal LAN 的流量。

Blue Team Tactic

建議內外防火牆使用不同廠商的設備 (Vendor Diversity),以避免單一漏洞導致全面淪陷。

3. 入侵偵測與防禦 (IDS & IPS)

Placement Strategy (部署策略)

IDS 與 IPS 的部署位置決定了它們的效能與可視性。

Signature-Based (特徵碼偵測)

比對已知的攻擊特徵 (Pattern Matching)。

優點:誤報率 (False Positive) 低,偵測已知攻擊極快。

缺點:無法偵測 Zero-Day 攻擊。

Anomaly-Based (行為/異常偵測)

先建立「正常流量基線 (Baseline)」,任何偏離基線的行為視為異常。

優點:可偵測未知的 Zero-Day 攻擊。

缺點:誤報率高 (例如流量突增可能只是因為促銷活動)。

/// SYSTEM EVALUATION: CND SIMULATION EXAM ///

Instructions: Select the best defensive action or analysis for the given scenarios.