如何做好網路安全防護

在今日多數資安威脅都來自於網際網路的情況下，如何以最經濟的方式免於遭受網路攻擊或駭客入侵？在一些需要高度保全的環境裏，就是禁止連結網際網路，甚至連網路線都不配置。網路威脅層出不窮，拔掉網路線是最終極的作法，但並非所有企業都能這麼做。

網際網路對於企業作生意來說是越來越重要，今日企業得透過網站跟客戶或是夥伴交易，不論是B2B或是B2C皆是如此。以銀行而言，有些人已經不常走進銀行，而是使用網路銀行。因此，銀行即便採取與網際網路隔離的保全措施，但還是得因為網路銀行而面對網際網路。

現在的企業不得不面對網際網路，但是網際網路有太多已知風險及更多潛在未知的風險，你有足夠的防護措施嗎？相信有不少人已經建置防火牆等阻擋設備，但是，我們必須告訴你，以目前的攻擊趨勢而言，光是靠目前的防火牆來阻擋還是不夠，因為針對網站應用程式的攻擊越來越多。

防火牆可以封鎖特定的通訊埠，過濾不法的存取行為，但是，為了能夠存取網際網路，防火牆通常是不阻擋80埠，也因此駭客與其去費盡心力去突破防火牆的封鎖，倒不如從敞開的80埠大門中混進去，攻擊由80埠提供服務的網站伺服器或是網站應用程式。例如在HTTP封包中載入惡意程式碼，透過HTTP攻擊應用程式的漏洞。以這個例子而言，目前立基於狀態檢測技術的防火牆，會檢查封包表頭，只要是防火牆開啟80埠，就會讓這個封包通過，但這個封包內是否有夾雜不法的程式碼或字串，狀態檢測防火牆就力有未逮了。這時候需要有能夠檢查第4層至第7層內容的防火牆，這類防火牆稱之為應用程式防火牆，它能檢查封包內容，判別攻擊手法，例如SQL Injection，並依據防火牆政策來阻擋。

自去年起，國內多家廠商陸續引進多款防護網站安全的應用程式防火牆，本期的企業採購特輯──「網站安全防護解決方案」，我們將告訴你5家廠商所推出的網站應用程式防火牆解決方案。

為何我們會強調是解決方案呢？因為網站應用程式防火牆可不像目前主流的狀態檢測防火牆一般，只要接上網路，再設定阻擋政策即可。應用程式防火牆與應用程式習習相關，在建置前，必須先針對應用程式執行弱點掃瞄，以找出應用程式的漏洞及弱點，有了這些資訊之後，才能據此設定應用程式防火牆的政策。因此，應用程式火牆解決方案，需要仰賴設備廠商提供一些服務，而使用者日後仍需持續監控網路活動的記錄，找出新攻擊的癥兆，據此調整防火牆政策。

為了能夠具體呈現網站應用程式防火牆解決方案，我們根據一些網站型式，規畫出虛擬的導入案例，請5家廠商針對案例的狀況設計建置的方案，藉此呈現整套系統的建置方式與價格。

本期IT經理人開講單元，由彰化銀行資訊處處長曾芳明來現身說法，分享他在2000年參與彰化銀行轉換銀行核心系統的經驗。因為有了那一次「漫長且充滿挑戰」的任務，彰化銀行在一年的時間內就規畫好了新的任務──收編海外分行系統，預計10月就會開始轉換，他說這像是彰化銀行的「第二波核心系統轉換」。