煎餃的線上課程筆記

C3W2_網路運作與通訊

閱讀時間約 24 分鐘

關聯筆記Google Cybersecurity Certificate > C3 課程總覽 > W1 網路架構

C3W2 — 網路運作與通訊(Network operations)

Module 2: Network operations — 協定、防火牆、VPN、安全區域、代理伺服器

目錄

一、網路協定的三大類

核心觀念

網路協定(network protocol):兩台以上裝置在網路上傳資料時共用的「語法規則」。協定告訴收件端:資料要怎麼切、怎麼排、怎麼解讀。

協定依功能分三類:通訊、管理、安全

類別做什麼代表協定
通訊協定(Communication)建立連線、傳輸資料、控制流量與重送TCP、UDP、HTTP、DNS、SMTP
管理協定(Management)監控網路、除錯、配置裝置ICMP、SNMP、DHCP、ARP
安全協定(Security)加密、驗證、確保傳輸機密性與完整性HTTPS、SFTP、SSH、IPSec、SSL/TLS

為什麼要分類?

面試常考「這個協定屬於哪一類?走什麼 port?在 TCP/IP 哪一層?」三件事同時答得出來才算懂。

三類協定的管道比喻

  • 通訊協定:水管的規格——決定管徑大小與接頭形狀,負責「能不能通」,不管「安不安全」
  • 安全協定:管壁內的加密塗層——確保資料路途中不被窺視(機密性)或篡改(完整性)
  • 管理協定:裝在管線上的數位壓力表——不負責運水,但回報「流量正常嗎?有沒有未授權的介入?」

二、常見協定與連接埠

通訊協定

協定功能TCP/IP 層Port
TCP三向交握(SYN → SYN/ACK → ACK),可靠連線Transport
UDP無連線、快但不可靠Transport
HTTPWeb 用戶端 ↔ 伺服器(明文)Application80
HTTPSHTTP + SSL/TLS 加密Application443
DNS域名 → IP 位址對照ApplicationUDP 53(大量回應改走 TCP)
SMTP寄信Application25(不加密)/ 587(TLS)
POP3收信(下載到本機後可刪)Application110 / 995(SSL/TLS)
IMAP收信(保留在伺服器多裝置同步)Application143 / 993(TLS)
  用戶端(Client)            伺服器(Server)
       │                          │
       │──── SYN ─────────────→   │   ① 我想連線
       │                          │
       │  ←─── SYN/ACK ──────────│   ② 好,我也準備好了
       │                          │
       │──── ACK ─────────────→   │   ③ 收到,開始傳
       │                          │
       │═══════ 資料傳輸開始 ══════│

(三次握手完成後才開始傳資料,這就是 TCP「可靠」的原因)

TCP vs. UDP:何時用哪個

  • TCP:三向交握、有重送,確保完整送達(網頁瀏覽、檔案傳輸)
  • UDP:無連線、直接丟出去,快但不保證到(DNS 查詢、串流、線上遊戲)

視訊通話為例:TCP 遺失 0.1 秒音訊會停下來補傳 → 通話卡頓;UDP 遺失就繼續 → 頂多音質微降但保持流暢。低延遲比完整送達更重要時,UDP 的「不可靠」反而是優勢。

管理協定

協定功能TCP/IP 層Port
ICMP傳輸錯誤回報、ping 用這個Internet
SNMP監控與管理網路裝置Application
DHCP動態分派 IP、DNS、預設閘道ApplicationUDP 67(server)/ 68(client)
ARPIP → MAC 位址對照Network access(L2)無 port(因為 port 屬於 L7)

安全協定

協定功能Port
SSH加密遠端登入、取代 TelnetTCP 22
Telnet遠端登入但明文傳輸(不安全)TCP 23
SFTP以 SSH 加密的檔案傳輸,雲端儲存常用TCP 22
SSL/TLS傳輸層加密(HTTPS、IMAPS 都依賴它)
IPSec封包層加密,VPN 常用

SSL/TLS 的加密範圍

安全協定(SSL/TLS、IPSec)只加密資料內容,不隱藏封包的來源 / 目標 IP 位址。就算攔截到加密封包,攻擊者仍能知道你在跟哪個伺服器通訊。

SSH 的雙重身份

  • 技術層面:SSH 是安全協定(提供加密 + 身分驗證)
  • 功能層面:通常用於遠端管理(相當於打開伺服器維修艙門的加密通道)

所以 SSH 既是「裝甲」,也是「通往遙控閥門的專用通道」。SFTP 把檔案傳輸的邏輯塞進 SSH 隧道,因此兩者同走 TCP 22。FTP 的「S」= 加了 SSH 加密,不是另一套協定。

面試必記(背起來沒商量)

  • HTTP 80、HTTPS 443、SSH/SFTP 22、Telnet 23、DNS 53
  • SMTP 25/587、POP3 110/995、IMAP 143/993
  • DHCP 67(server)/ 68(client)

Network Address Translation(NAT)

路由器把 LAN 內的私有 IP(如 192.168.x.x)轉成一個公開 IP 再送出去,回來時反向替換。

  • 私有 IP 範圍:10.0.0.0/8172.16.0.0/12192.168.0.0/16
  • NAT 跨 TCP/IP 的 Internet 層 + Transport 層

三、無線安全協定的演進

協定年份技術重點狀態
WEP1999靜態金鑰、短密鑰高風險,已淘汰
WPA2003TKIP 動態金鑰、訊息完整性檢查過渡方案,仍有漏洞
WPA22004AES 加密 + CCMP,目前主流仍受 KRACK 攻擊威脅
WPA32018SAE(同時對等認證)修補 KRACK、128-bit 加密(企業 192-bit)最新主流

WPA2/WPA3 兩種模式

模式用途機制
Personal家用網路全網共用同一個 passphrase
Enterprise企業網路中央驗證、個別使用者控管、金鑰不外流到用戶端

KRACK 攻擊

Key Reinstallation Attack:攻擊者介入 WPA 交握流程,把加密金鑰替換成全零 → 等於沒加密。WPA2 受影響,WPA3 才修好。

Personal vs. Enterprise:鑰匙模型

  • Personal:全家共用一把大門鑰匙——一旦洩漏,全家要換鎖(改密碼)
  • Enterprise:每人有自己的員工證(個別帳號 / 數位憑證)——有人離職只要撤銷帳號,其他人不受影響,加密金鑰也不外流到用戶端

四、防火牆與網路安全措施

防火牆是什麼

Firewall:硬體或虛擬設備,位在內網與外網之間,根據規則檢查並過濾封包。傳統防火牆的規則依 port + IP 決定擋或放。

防火牆分類

類別特徵規則方向
Stateless(無狀態)只看單一封包、不記連線狀態雙向都要設規則
Stateful(有狀態)維護 state table 追蹤連線、主動過濾威脅單向設規則即可(回程自動比對)
NGFW(次世代)Stateful + 深層封包檢查(DPI) + 入侵偵測、可識別應用層協定可依「應用」擋,不只 port/IP

NGFW 多了什麼

  • DPI(Deep Packet Inspection):不只看表頭,連 payload 都看
  • Malware Sandboxing、DNS/URL 過濾、防病毒
  • 規則可寫「擋 Facebook App」而不是「擋 port 443」

三種防火牆的擬人化比喻

  • Stateless = 沒記性的查票員:員工出門時放行,員工要進門時它已經忘了他是誰——除非另寫一條規則允許進門。這是 90 年代古董邏輯,現在僅在追求極致效能的場景(如超大型資料中心內部分流)使用
  • Stateful = 有筆記本的偵緝官:在 state table 上記「[你的 IP] 正在跟 [Google] 用 Port 443 講話」,回程自動比對放行——Windows 防火牆就是這一種,預設擋掉所有「主動從外面連進來」,但允許「出門後再回來」
  • NGFW = X 光機:不只看包裹上的 Port,還拆開看裡面的資料結構。所以能識別「Facebook 網頁流量」vs「Facebook 裡的遊戲流量」,傳統防火牆做不到(兩者都是 Port 443)

NGFW 的加密悖論:SSL Inspection

現在 95% 的網路流量都是 HTTPS 加密,NGFW 憑什麼能看穿應用層?

答案是 SSL Inspection(SSL 檢查)——防火牆攔下加密封包、自己先解密看過、確認沒毒後再重新加密發給使用者。這等於是合法的「中間人攻擊」

這是企業資安的爭議技術:為了防止內鬼帶毒入侵,要不要犧牲員工的端對端加密?

五、VPN 與加密隧道

VPN 做兩件事

  1. 換掉你的公開 IP(隱藏位置)
  2. 加密封包內容(保護資料)

封裝(Encapsulation)

把你原本的封包「整個包起來」再加密,外層放 VPN 伺服器的 IP。像把信件塞進不透明信封再寄出,途中有人攔也看不到內容、看不到收件人。

原始封包(明文):
   [你的 IP → 銀行 IP]|[內容:救命]
    ↑ 看得到誰寄給誰        ↑ 看得到內容
 
HTTPS 加密:
   [你的 IP → 銀行 IP]|[內容:%&*#$]
    ↑ 仍看得到誰寄給誰      ↑ 看不到內容了
 
VPN 封裝後:
   [你的 IP → VPN 伺服器]|[加密層:(你的 IP → 銀行 IP|%&*#$)]
    ↑ 路人只看到你跟 VPN 通訊  ↑ 整個原封包包進黑箱

加密封包 ≠ VPN

  • HTTPS 加密:路人攔到信也看不懂內容,但仍知道你在跟誰通訊(中繼資訊暴露)
  • VPN:把整封信塞進防彈黑箱,路人連收件人都不知道,只看到你在跟「隧道入口」(VPN 伺服器)通訊

所以單純 HTTPS 保護「資料」,VPN 額外保護「行蹤」——這也是 VPN 能用來翻牆、隱藏蹤跡的原因。

VPN 類型

類型使用者場景
Remote access VPN個人裝置 ↔ VPN 伺服器在家連公司、翻牆保護隱私
Site-to-site VPN網路 ↔ 網路(辦公室對辦公室)跨國企業串聯分部,常用 IPSec

Site-to-site 的代價

Site-to-site VPN 的設定與維護複雜度遠高於 Remote access VPN——每增加一個據點都要額外配置加密隧道與路由規則。

兩種類型的隱藏資安風險

類型風險點
Remote Access單點崩潰:使用者裝置若被植入木馬,VPN 隧道內部的流量會被直接竊聽
Site-to-Site信任過度:分公司被駭,駭客可透過這條「永久隧道」直搗總部核心

VPN 協定:WireGuard vs. IPSec

VPN 類型 vs. VPN 協定(不要搞混)

  • 類型 = 需求場景(要去哪?):Remote access、Site-to-site
  • 協定 = 達成手段(用什麼引擎?):IPSec、WireGuard

不管你選哪種類型,都得挑一個協定來驅動加密隧道。IPSec = 老牌柴油引擎(厚重穩定)、WireGuard = 電動馬達(輕快極速)。

項目WireGuardIPSec
誕生時間較新較舊、歷史悠久
程式碼量約 4,000 行(精簡)40 萬行以上(臃腫)
攻擊面程式碼少 → 易審查 → 漏洞少程式碼多 → 漏洞可能多、配置複雜
連線速度秒連慢(交握繁瑣)
漫遊(Wi-Fi ↔ 5G)不會斷線重連會斷線
隱身性沉默——不認識的封包直接丟棄,駭客掃不到會回應掃描,容易被發現
開源部分
用途Site-to-site + RemoteSite-to-site 為主
舒適區Remote Access(手機/筆電省電、行動辦公)Site-to-Site(企業設備硬體加速、生態成熟)

WireGuard 那麼快,為什麼 IPSec 還沒死?

  • 遺產系統:金融、政府舊設備不支援 WireGuard
  • 認證生態:IPSec 有成熟的數位憑證、雙重認證(2FA)整合方案;WireGuard 配套還在追趕
  • 硬體加速:Cisco、Fortinet、Palo Alto 等網通設備在硬體晶片層級做了 IPSec 加速

所以企業 site-to-site 場景,IPSec 仍是主流。

六、安全區域(Security zones)

網路分段(Network segmentation)

把一個大網路切成多個受信任等級不同的區域,用防火牆或路由控制各區之間能不能互通。這是縱深防禦的重要手段。

區域信任等級典型內容
Uncontrolled zone組織外部,完全不受控公開網際網路
Controlled zone組織內部、受控一般員工辦公用網路
DMZ(Demilitarized zone)半受控緩衝區對外的 Web、郵件伺服器
Restricted zone最高機密資料庫、財務系統、研發資料
  ┌─────────────────────────────────────────────────────┐
  │  Uncontrolled Zone(公開 internet)                  │
  │  ┌───────────────────────────────────────────────┐  │
  │  │  Controlled Zone(一般員工辦公網路)            │  │
  │  │  ┌─────────────────────────────────────────┐  │  │
  │  │  │  DMZ(Web 伺服器 · 郵件 · DNS 對外服務) │  │  │
  │  │  ├─────────────────────────────────────────┤  │  │
  │  │  │  Restricted Zone(資料庫 · 財務 · 研發) │  │  │
  │  │  └─────────────────────────────────────────┘  │  │
  │  └───────────────────────────────────────────────┘  │
  └─────────────────────────────────────────────────────┘
         每向內一層,都要通過防火牆 + 存取驗證

為什麼要分區

就算外圍被攻破,內層還有防線。每跨一層就要再通過一次驗證和檢查。

七、代理伺服器(Proxy servers)

Proxy 是什麼

代理伺服器放在用戶端與目標伺服器之間,代替雙方轉送請求。利用 NAT 作為屏障,藏起真實 IP,也能加過濾規則。

類型方向做什麼
Forward proxy內部用戶 → 外部網際網路管控員工上網、擋惡意網站
Reverse proxy外部請求 → 內部伺服器保護後端伺服器、負載平衡、藏 IP

判斷 Forward vs. Reverse 的一句話

看誰是「被保護的那一邊」:Forward 保護用戶端(員工不會亂連外),Reverse 保護伺服器(外部無法直接打進來)。

Proxy 也能當過濾器

代理伺服器也能像防火牆一樣設規則——例如建立過濾清單,封鎖已知含惡意軟體的網站。

擬人化比喻

  • Forward Proxy = 富豪的保姆:富豪不想被知道去買菸,請保姆出門幫他買。店家只看到保姆,不知道背後的雇主是誰;保姆還能拒絕幫忙買菸(過濾規則)
  • Reverse Proxy = 明星的經紀人:粉絲想找明星,只能跟住在市中心辦公室的經紀人說話。粉絲以為經紀人就是明星,連明星家住哪(伺服器真實 IP)都不知道;如果有黑粉鬧事,經紀人擋下來,深山裡的明星毫髮無傷
Forward Proxy                  Reverse Proxy
 
員工 ──→ Proxy ──→ 網路         外部 ──→ Proxy ──→ 後端伺服器
        (隱藏員工身分)                   (隱藏伺服器位置)
 
保護「發起請求的人」              保護「提供服務的人」
受惠者:用戶、公司主管            受惠者:網站擁有者、工程師
關鍵字:翻牆、管控、匿名          關鍵字:安全、提速、藏 IP

八、子網切割與 CIDR

                    ┌──────────┐
                    │  Router  │   ← 跨子網才經過 Router
                    └─────┬────┘

              ┌───────────┴───────────┐
              │                       │
        10.0.1.0/24              10.0.2.0/24
              │                       │
         ┌────▼────┐             ┌────▼────┐
         │ Switch  │             │ Switch  │   ← 同子網流量直接轉
         └─┬──┬──┬─┘             └─┬──┬──┬─┘
           │  │  │                 │  │  │
          PC PC PC                PC PC PC
 
         Subnet A                  Subnet B
        (行政部門)              (研發部門)

(一個 Router 連兩個子網;同子網內的裝置靠 switch 直接通訊,跨子網才繞 Router 走)

Subnetting

把大網路切成多個小的 subnet。像城市裡分出社區,每個社區有自己的地址範圍。

好處

  • 效率:同一子網的流量 switch 直接轉,不必繞 router
  • 安全:搭配實體隔離、路由設定與防火牆,建立隔離子網路與安全區域
  • IP 利用率:把閒置的 IP 切得更細

CIDR(Classless Inter-Domain Routing)

取代 1980 年代的 Classful 分級(A/B/C/D/E),在 IP 後面加 /數字 表示網路前綴。

  • 格式:198.51.100.0/24
  • /24 表示前 24 bits 是網路部分,後 8 bits 是主機部分
  • 該範圍涵蓋 198.51.100.0 ~ 198.51.100.255

Classful vs. CIDR 比喻

  • Classful(傳統分級)= 制式制服:全世界只有大、中、小三種尺寸(Class A/B/C)。看到開頭 192 就強制套 Class C 規矩,一給就是 256 個 IP
  • CIDR = 量身定做:你需要 8 個 IP 就給你 /29(8 個 IP);不再依賴開頭數字猜分類,而是用斜槓精確聲明領土大小

公寓大廈感應器比喻(核心三角)

CIDR 出現之前,網路像沒有隔間的大通鋪——一人感冒全家中招。CIDR 之後,網路被切成一棟棟獨立公寓:

角色公寓比喻實際意義
Subnet(子網)實體牆壁把財務部關在 A 棟、工程部關在 B 棟
CIDR(斜槓標記)感應器的識別準則/28 = 只認這 16 個住戶,其他人刷卡門不會開
不互通(Isolation)感應卡限定本棟A 棟設備被駭,駭客身上只有 A 棟卡,進不了 B 棟

「不互通」這件事在資安界有正式術語:Lateral Movement Protection(阻斷橫向移動)——這是現代企業內網防禦的核心原則。

CIDR 的三個資安價值

  1. 縮小爆炸半徑(Blast Radius):公司只有 5 台印表機卻拿到 256 個 IP,剩下 251 個變「鬼城」——駭客進來後可以在裡面橫向移動而不被發現。CIDR 給 /29 只有 8 個 IP,多餘空間在路由表上根本不存在,這就是「最小權限」原則的網路層實作
  2. 微分割(Micro-segmentation):把財務部 (/28) 跟業務部 (/28) 用 CIDR 鎖死隔離。即便業務部某台電腦中了勒索病毒,病毒跨不到財務部(= Lateral Movement Protection 的具體實作)
  3. 乾淨的防火牆規則:傳統分級擋 256 個 IP 要寫 256 條規則,CIDR 一條 10.0.0.0/24 搞定。規則少 → 防火牆運算快 → 漏網之魚少
傳統 Classful(256 個 IP 一發):
   ┌──────────────────────────────────────────┐
   │  你的 5 台設備    +    251 個鬼城 IP       │  ← 駭客的橫向移動樂園
   └──────────────────────────────────────────┘
 
CIDR 微分割(量身定做):
   ┌─────────┐  ┌─────────┐  ┌─────────┐
   │ 財務 /28│  │ 業務 /28│  │ 研發 /28│  ← 各自隔離,病毒跨不過去
   └─────────┘  └─────────┘  └─────────┘

駭客掃描的視角

駭客攻擊第一步通常是掃描網段

  • 用傳統 Classful(譬如 192.168.1.0/24)→ 掃一次就掌握全貌
  • 用 CIDR 做零散的微分割 → 駭客掃描時遇到大量「斷層」與「死胡同」,大幅增加被 IDS(入侵偵測系統)抓到的機率

九、術語速查表

術語英文定義
網路協定Network protocol裝置間傳資料的規則
封裝EncapsulationVPN 把原封包包進加密外層的過程
子網Subnet從大網路切出來的小網路
端口過濾Port filtering防火牆根據 port 擋或放的機制
狀態防火牆Stateful firewall維護連線狀態主動過濾
無狀態防火牆Stateless firewall只看單一封包、依規則處理
NGFWNext Generation Firewall具 DPI、應用識別的新一代防火牆
前向代理Forward proxy幫用戶端向外轉送請求
反向代理Reverse proxy幫伺服器接收外部請求
DMZDemilitarized zone內外網之間的緩衝區
端點Endpoint連接在網路上的任何裝置(電腦、手機、伺服器)
SD-WANSoftware-defined WAN軟體定義的廣域網路

下一步W3 網路攻擊與入侵(DoS、封包嗅探、IP 偽造)

關係圖譜

反向連結