網路架構(Network architecture)
Connect and Protect: Networks and Network Security
網路架構
Network architecture
您將會接觸到網路安全,並解釋其如何與持續存在的安全威脅與漏洞相關。您將學習網路架構以及保障網路安全的機制。
學習目標:
1. 定義網路類型。
2. 描述網路的實體元件。
3. 了解 TCP/IP 模型如何提供網路通訊的框架。
4. 解釋資料如何在網路上傳送與接收。
5. 說明網路架構。
Get started with the course
影片:Introduction to Course 3
這個影片介紹了網路安全以及課程內容。影片提到網路攻擊越來越頻繁且複雜,因此網路安全變得非常重要。課程會涵蓋網路架構(Network Architecture)、網路工具、網路操作(Network Operations)以及網路協定(Network Protocol)。接著會介紹常見的網路攻擊(Network Attack)以及如何防範網路入侵(Network Intrusion)。最後則會概述網路安全強化(Security Hardening)的實用方法。
Introduction to networks
影片:Welcome to module 1
這個影片在講解網路安全的基本概念,會先介紹網路架構 (Network architecture) 和網路運作 (Network operations) 的知識,包含網路的結構、常用的網路工具、雲端網路,以及網路通訊的基礎框架 TCP/IP 模型。接著會說明如何保護網路安全,避免網路威脅、風險和漏洞。
影片:Chris: My path to cybersecurity
- Chris 是 Google Fiber (谷歌光纖) 的資訊安全總監 (Chief Information Security Officer, CISO),負責維護網路安全、保護客戶資料,並支援執法單位等。
- 他的職涯之路並非一開始就決定。他最初在家族雜貨店擔任屠夫,後來在大學電腦中心工作,學習到電腦技能。大學畢業後,他成為軟體開發者,為美國農業部設計會計軟體。之後他陸續轉換跑道,最終進入一家早期的有線網路公司,負責管理電子郵件、網路服務等。
- 由於他經手的業務經常遭受攻擊,他因此投入網路安全領域,並發現其中的樂趣和發展機會。
- 在 Chris 初入行時,網路安全相關的培訓資源和學習管道非常有限,但他積極參與外部組織、產業協會、非營利組織、網路安全社群等,建立人脈和聲譽。
- Chris 也強調,網路安全產業的多元性意味著需要不斷學習,但只要具備基礎技能和背景知識,就有許多發展方向和機會。網路安全的持續變化也帶來了持續學習和探索的樂趣,讓從業者能不斷接觸新事物、轉換方向。
影片:What are networks?
這部影片主要介紹了電腦網路 (Computer Network) 的基本概念:
- 什麼是網路 (Network)?
- 網路是由一群互相連接的裝置 (Devices) 所組成。
- 家中的網路裝置可以是筆記型電腦、手機和平板電腦等。
- 公司的網路裝置則包括工作站、印表機和伺服器等。
- 網路的連接方式:
- 網路裝置可以使用網路線或無線網路連接。
- 家庭和辦公室的網路可以與其他地方的網路以及其上的裝置進行通訊。
- 網路位址 (Network Address):
- 裝置需要在網路上找到彼此才能建立通訊。
- 這些裝置會使用唯一的位址或識別碼來找到彼此,這些位址稱為 IP 位址和 MAC 位址 (IP Address, MAC Address)。
- 網路的類型:
- 區域網路 (LAN, Local Area Network):涵蓋範圍較小,例如辦公大樓、學校或家庭。
- 廣域網路 (WAN, Wide Area Network):涵蓋範圍較廣,例如城市、州或國家。網際網路 (Internet) 就是一個大型的廣域網路。
影片最後提到,接下來會介紹連接到網路的裝置。
影片:Tina: Working in network security
這個影片中,在 Google 擔任軟體工程師的 Tina 分享了她在網路安全領域 (Network Security) 的工作經驗。
以下是重點整理:
- Tina 在 Google 開發給網路安全工程師和網路工程師使用的內部工具 (Internal Tools)。
- 她強調網路安全的重要性,特別是在保護網路系統和使用者數據方面,以防止惡意駭客的攻擊。
- Tina 的日常工作包含寫程式、設計、和安全團隊與網路團隊溝通,了解他們的需求和遇到的問題,並找出解決方案。
- 她建議有志於網路安全領域的人要持續學習、保持好奇心,因為網路安全技術不斷變化。
- 網路安全需要團隊合作 (Teamwork),透過團隊合作才能找到最佳的解決方案。
影片:Emmanuel: Useful skills for network security
- 主講人 Emmanuel 是 Google 的一位攻擊性資安工程師 (Offensive Security Engineer),工作是模擬駭客攻擊 Google,藉此找出並強化 Google 基礎架構的防禦漏洞。
- 他在工作中會使用程式設計、作業系統、平台安全等技術,並強調了解電腦運作原理和基礎架構組成非常重要。
- 影片中也介紹了網路安全分析師 (Cybersecurity Analyst) 的職責和所需技能,包含:
- 命令列 (Command Line):用於與作業系統互動,例如管理記憶體、核心、應用程式等。
- 日誌分析 (Log Parsing):透過分析系統和應用程式的日誌找出問題根源並解決。
- 網路流量分析 (Network Traffic Analysis):分析網路流量以找出網路問題、確保網路安全、識別漏洞等。
- 最後,Emmanuel 也分享了他的職涯經驗,建議學習者勇於嘗試、不怕犯錯,並持續學習新知,才能在網路安全領域不斷成長。
影片:Network tools
這個影片介紹了構成網路的常見設備:
- 集線器 (Hub):將資訊廣播到網路上的每個設備,就像廣播電台一樣。
- 交換器 (Switch):在特定設備之間建立連線,只將數據傳送到預期目的地,比集線器更安全、高效。
- 路由器 (Router):連接多個網路,例如將資訊從一台電腦傳送到另一個網路上的平板電腦。
- 數據機 (Modem):將路由器連接到網際網路,為區域網路 (LAN) 帶來網際網路連線。
除了實體設備,還有虛擬化工具 (Virtualization tools) 可以執行網路操作,例如集線器、交換器、路由器或數據機的功能,它們由雲端服務供應商提供,具有成本效益和可擴展性的優勢。
閱讀:Network components, devices, and diagrams
本閱讀提供了對網路架構(網路設計)及常見網路設備的基本理解。以下是摘要版本:
網路設備:
- 網路設備:管理用戶的資訊與服務,通過有線或無線連接傳送資料包,這些資料包包含來源與目的地資訊。
- 防火牆 (Firewall):作為第一道防線,根據配置的安全規則監控並限制進出網路的流量。
- 伺服器 (Server):根據客戶端-伺服器模型,提供資訊與服務給設備(客戶端),範例包括 DNS 伺服器、檔案伺服器及郵件伺服器。
- 集線器 (Hub):提供設備的共同連接點,但會將資訊重複發送至所有端口,因此容易受到竊聽。
- 交換器 (Switch):較集線器優先,根據 MAC 位址在連接設備之間轉發資料包,提升性能與安全性。
- 路由器 (Router):連接不同網路,根據目的地 IP 位址引導流量,使不同網路設備之間能夠進行通訊。
- 數據機 (Modem):將家庭或辦公室連接到網際網路服務提供商 (ISP),負責將數位信號轉換為類比信號,反之亦然。
- 無線存取點 (WAP):使用無線電波創建無線網路,允許具有無線網卡的設備通過 Wi-Fi 連接。
網路圖:
- 網路圖是網路架構的視覺表示,顯示設備及其連接方式,幫助安全分析師制定安全策略。
關鍵要點:
- 客戶端-伺服器模型規範了客戶端如何請求並接收來自伺服器的服務。
- 像是路由器、伺服器、交換器與防火牆等網路設備是網路基礎設施的關鍵組成部分。
- 安全分析師依賴網路圖來理解並保護網路架構。
影片:Cloud networks
這個影片在講述公司網路架構的變遷,從傳統的自架網路 (on-premise network) 轉移到雲端網路 (cloud network)。以下是重點整理:
- 過去,公司會購買網路設備並放置在辦公室中管理。
- 現在,越來越多公司採用第三方供應商來管理網路,以節省成本並獲得更多網路資源。
- 雲端運算 (cloud computing) 的興起也促使公司簡化網路營運並降低成本。
- 雲端網路是指將資源和資料儲存在遠端資料中心 (remote data center) 的伺服器或電腦集合,並透過網際網路 (Internet) 存取。
- 雲端服務供應商 (cloud service providers) 提供隨需應變的儲存和處理能力,以及商業和網路分析服務。
- 隨著企業將網路服務遷移到雲端,雲端安全 (cloud security) 變得越來越重要。
閱讀:Cloud computing and software-defined networks
這篇文章在講述雲端運算 (Cloud Computing) 和雲端網路 (Cloud Networking)。
- 傳統網路稱為地端網路 (On-premise Networks),所有設備都位於公司擁有的實體位置。
- 雲端運算使用由雲端服務供應商 (Cloud Service Provider, CSP) 託管的遠端伺服器、應用程式和網路服務。
- CSP 提供三種主要服務:軟體即服務 (Software as a Service, SaaS)、基礎設施即服務 (Infrastructure as a Service, IaaS) 和平台即服務 (Platform as a Service, PaaS)。
- 混合雲環境 (Hybrid Cloud Environment) 結合了 CSP 服務和地端網路。
- 軟體定義網路 (Software-Defined Networks, SDNs) 由虛擬網路設備和服務組成。
- 雲端運算的優點:可靠性 (Reliability)、降低成本 (Cost) 和可擴展性 (Scalability)。
總之,企業可以利用 CSP 提供的網路服務來提高可靠性、節省成本並快速擴展業務,而不用自己建立和維護網路基礎設施。
Network communication
影片:Introduction to network communication
這個影片講述了網路通訊(Network Communication)的基礎概念。
- 網路(Network)幫助組織進行通訊和連接,但也增加了網路攻擊的風險。
- 資料封包(Data Packet)是網路通訊的基本單位,就像實體信件一樣,包含標頭(Header)、主體(Body)和結尾(Footer)。
- 標頭包含目的地 IP 位址(Internet Protocol Address)和 MAC 位址(Media Access Control Address)等資訊。
- 網路效能可以透過頻寬(Bandwidth)和速度(Speed)來衡量。
- 封包嗅探(Packet Sniffing)是一種擷取和檢查網路資料封包的做法。
影片接下來將會介紹支援網路通訊的協定。
影片:The TCP/IP model
這個影片主要在說明 TCP/IP 模型 (TCP/IP model),它是網路通訊的標準模型。
TCP (Transmission Control Protocol) 是一種網路通訊協定,允許兩個裝置建立連線並傳輸資料。它負責:
- 組織資料,以便在網路上傳輸。
- 建立兩個裝置之間的連線。
- 確保資料封包 (data packets) 到達正確的目的地。
IP (Internet Protocol) 是一組用於在網路上的裝置之間路由和定址資料封包的標準,每個私有網路都有自己的 IP 地址 (IP address)。
此外,影片也提到了埠 (port) 的概念,它是網路裝置作業系統中的一個軟體定位,用於組織裝置之間的資料傳送和接收。每個埠號 (port number) 代表不同的服務,例如:
- 埠 25:電子郵件
- 埠 443:安全的網際網路通訊
- 埠 20:大型檔案傳輸
影片:The four layers of the TCP/IP model
這個影片在講解網路安全中一個很重要的模型,稱為 TCP/IP 模型 (TCP/IP model)。這個模型幫助我們理解資料如何在網路中傳輸,並且找出潛在的安全問題。
影片中提到了 TCP/IP 模型的四個層級:
- 網路存取層 (Network Access Layer):處理資料封包的建立和傳輸,包含實體的網路設備,例如網路線、交換器等等。
- 網際網路層 (Internet Layer):在這個層級,資料封包會被加上 IP 位址 (IP address),用來辨識傳送端和接收端的位置。
- 傳輸層 (Transport Layer):負責控制網路流量,確保資料能夠順利地傳送,並處理錯誤控制。
- 應用層 (Application Layer):定義了資料封包如何與接收裝置互動,例如檔案傳輸和電子郵件服務。
透過了解 TCP/IP 模型的各個層級,網路安全專家就能夠有效地監控網路活動,並防範潛在的風險。
閱讀:Learn more about the TCP/IP model
這份文件主要在說明兩種網路模型:TCP/IP 模型 (TCP/IP model) 和 OSI 模型 (OSI model),它們幫助我們理解網路資料傳輸的過程。
簡單來說:
- TCP/IP 模型 像是一份實用的網路地圖,它把網路分成四層,告訴我們資料在網路中是如何傳輸的。
- OSI 模型 則像是一本詳細的網路百科全書,它把網路分成七層,更全面地描述了網路的各個功能。
重點整理:
- 兩種模型都將網路通訊分層,方便我們理解和處理網路問題。
- TCP/IP 模型較為簡潔,著重實際應用;OSI 模型較為理論,但有助於更深入地理解網路。
- 網路安全專家需要了解這些模型,才能分析網路攻擊發生的位置,並採取相應的防禦措施。
這份文件還提到了:
- TCP/IP 模型的四層分別是:網路存取層 (Network Access Layer)、網際網路層 (Internet Layer)、傳輸層 (Transport Layer) 和應用層 (Application Layer)。
- OSI 模型的七層分別是:實體層 (Physical Layer)、資料連結層 (Data Link Layer)、網路層 (Network Layer)、傳輸層 (Transport Layer)、會話層 (Session Layer)、表示層 (Presentation Layer) 和應用層 (Application Layer)。
- 文件中也詳細介紹了每個層級的功能和常見的網路協定 (Network Protocol)。
閱讀:The OSI model
這篇文章對 TCP/IP 與 OSI 模型的關鍵摘要進行了分解,重點如下:
兩種模型的目的:
- 這些是概念模型,提供理解網路的框架,而非具體的建網指引。
- 它們幫助網路專業人士:
- 設計網路流程與協定。
- 理解資料在系統間的傳輸方式。
- 討論潛在的問題或安全威脅。
TCP/IP 模型(傳輸控制協定/網際網路協定):
- 重點:強調實用性,通常用於可視化資料的組織與傳輸。
- 層級(4 層,較 OSI 模型粗略):
- 網路存取層:處理實體網路存取(如網卡)。
- 網際網路層:負責不同網路之間的資料包路由(如 IP 位址)。
- 傳輸層:設備間資料傳遞,分段與流量控制(如 TCP、UDP)。
- 應用層:面向用戶,提供應用程式的網路協定(如 HTTP、SMTP)。
OSI 模型(開放式系統互連):
- 重點:標準化,層次細化,用於故障排除與溝通。
- 層級(7 層,更加詳盡):
- 實體層:實體硬體(如電纜、集線器、信號)。
- 資料鏈結層:網路內資料傳輸(如交換機、MAC 位址)。
- 網路層:跨網路的路由(如 IP 位址、路由器)。
- 傳輸層:與 TCP/IP 模型相同,負責資料傳遞、分段(如 TCP、UDP)。
- 會話層:管理設備之間的連線(如身份驗證、檢查點)。
- 表示層:資料格式化、加密與解密(如 SSL)。
- 應用層:與 TCP/IP 模型相同,處理用戶與網路的互動(如 HTTP、SMTP)。
主要差異:
- OSI 模型更具理論性與細節,用於標準化和故障排除。
- TCP/IP 模型更偏向實際應用,通常用於網路設計與實作。
Local and wide network communication
影片:IP addresses and network communication
- 網路通訊仰賴 IP 位址 (IP address) 來進行,每個連上網路的裝置都有一個獨特的 IP 位址。
- IP 位址分為 IPv4 和 IPv6 兩種版本:
- IPv4 由四組以點號分隔的數字組成 (例如:192.168.1.1)。
- IPv6 由 32 個字元組成,提供更多可用的位址空間。
- IP 位址可以是公開的 (public) 或私人的 (private):
- 公開 IP 位址由網路服務供應商 (ISP) 指派,用於在網際網路上識別您的裝置。
- 私人 IP 位址僅限於區域網路 (LAN) 內使用,例如家中的網路。
- MAC 位址 (MAC address) 是另一個用於網路通訊的識別碼,它與網路卡硬體綁定,確保每個裝置在區域網路內都有獨特的識別。
閱讀:Components of network layer communication
這篇文章在講解網路層(Network Layer)的運作方式,它是 OSI 模型(Open Systems Interconnection model)的第三層。網路層負責將資料封包(Data Packet)從來源裝置傳送到目的地裝置,過程中會經過多個路由器(Router)。以下是重點摘要:
- 網路層的功能:
- 處理資料封包的定址和傳遞。
- 將封包從一個路由器引導到另一個路由器,直到到達目的地網路的 IP 地址(Internet Protocol Address)。
- IP 封包(IP Packet):
- 也稱為資料封包,在 TCP 連線中稱為 IP 封包,在 UDP 連線中稱為資料包。
- 包含標頭(Header)和資料(Data)兩部分。
- 標頭包含 IP 位址、封包大小、使用的協定等資訊。
- IPv4 與 IPv6 的差異:
- 位址長度和格式不同。
- IPv6 提供更有效率的路由,並解決 IPv4 位址耗盡的問題。
- IP 封包的安全性:
- 分析 IP 封包的資訊可以了解封包的來源、目的地和使用的協定,有助於做出安全性決策。
留言
張貼留言