EC-COUNCIL CND

單一防禦層極易被突破。縱深防禦 (Defense-in-Depth) 強調多層次的安全控制，即使一層失效，攻擊者仍面臨後續阻礙。

• Perimeter: 防火牆、邊界路由器。
• Network: IDS/IPS、NAC、VLAN 隔離。
• Host: Endpoint Security、HIDS、Patching。
• Data: 加密 (Encryption)、ACLs。

Instructor Tip: 不要只依賴防火牆。攻擊者若透過釣魚郵件繞過邊界，內部網路必須有偵測機制 (如 IDS)。

防火牆是根據規則過濾流量的守門員。了解不同世代技術的差異至關重要。

• Packet Filtering (Stateless): 僅檢查標頭 (IP, Port)。速度快但無法理解連線狀態，容易被 IP Spoofing 欺騙。
• Stateful Inspection: 維護狀態表 (State Table)，追蹤 TCP Handshake (SYN, SYN-ACK, ACK)。能阻擋未經請求的入站流量。
• NGFW (Next-Gen): 第 7 層 (Application Layer) 檢測。能識別應用程式 (如 Facebook 遊戲 vs. 聊天) 並整合 IPS 功能。

Config Rule: 最後一條規則永遠是 Implicit Deny (隱式拒絕)，確保未明確允許的流量都被阻擋。

DMZ 是位於不受信任網路 (Internet) 與受信任內部網路 (LAN) 之間的緩衝區。

• 用途: 放置對外公開的服務 (Web Server, Mail Relay, DNS)。
• Bastion Host (堡壘主機): 位於 DMZ 的伺服器，必須經過高度強化 (Hardening)，關閉所有不必要服務，安裝最新補丁。
• 架構: 建議採用雙防火牆 (Screened Subnet) 架構，一層對外，一層對內，增加安全性。

偵測與防禦系統是網路的「監視器」與「自動警衛」。

• IDS (Intrusion Detection): 旁路監聽 (Passive)。發現攻擊時發出警報 (Alert)，不會中斷流量。適合不想影響網路效能時使用。
• IPS (Intrusion Prevention): 串接 (Inline)。主動阻擋攻擊流量。需小心誤報 (False Positive) 導致正常流量被斷。
• 偵測方法:
  - Signature-based: 比對已知病毒特徵 (如 Snort rules)。
  - Anomaly-based: 建立行為基準 (Baseline)，偵測異常流量 (如突然的大量封包)。