2010年6月16日 星期三

6款免費檔案加密工具介紹

http://www.ithome.com.tw/itadm/article.php?c=57508

文/楊啟倫 (記者) 2009-10-21

利用壓縮檔案,並設定密碼的方式,仍有可能以軟體運算的方式破解,因此這裡我們介紹了6款免費的檔案加密工具,使得機密檔案可以更加安全地被保存


檔案加密是保護機密資料的常見做法,其中,一般最常使用的方式就是將檔案壓縮,同時設定一組解壓的密碼,限制檔案僅有知道密碼的人才有權限讀取。在多數情 況下,透過上述方式已能有效保護機密資料的安全,不過仍有可能利用軟體運算的方式加以破解(主要是透過字典檔的方式推算),因此,採用更強健的工具加密資 料就有其必要性。

此外,關於檔案的刪除,即使我們已經將檔案自資源回收筒當中清除,還是有可能加以復原,因此許多這一類型的工具都有額外提供將檔案自硬碟完整移除的能力,防止可能遺留下來的資料造成資料的外洩。

6款免費的檔案加密軟體
除了功能單一的加密產品之外,目前一些企業端的防毒軟體也開始將這項功能內建進來,不過利用免費的工具一樣能夠加密檔案,其中不乏由資安大廠所開發的套件,我們這次一共選擇了其中的6款加以介紹。

Axon Data AxCrypt 1.6.4.4
AxCrypt是一套開放原始碼的檔案加密工具,在我們這次測試的幾種同類型工具當中,它算是功能比較完整的一款套件。

AxCrypt可以讓我們透過右鍵選單,以AES演算法加密所選取的檔案,操作上十分容易;在此同時,可以設定成保留原始資料,僅製作出一份加密過後的副本,或者將其刪除。

另外,這套軟體也能打包成自動執行檔,可在沒有安裝AxCrypt的電腦上將檔案解密。

它也具備移除檔案的功能,我們可以透過AxCrypt處理檔案之後,再予以刪除,利用雙層的步驟,有效保護機密資料的安全。

InterCrypto Crypt4Free 5.1.6
Crypt4Free是一套具備檔案加密及壓縮的加密工具,透過它的應用程式介面,我們可以採用DESX、Blowfish等2種演算法當中的一種,來加密檔案,或者打包成ZIP格式的壓縮檔。

很特別的是,Crypt4Free提供了虛擬鍵盤的功能,當我們針對要檔案設定加密時,利用這項功能,可以防止解密的密碼在這時被惡意程式所側錄。

和這次其他大多數的工具一樣,我們可以設定在加密檔案時,刪除原始資料,防止未經加密的檔案外流,造成資安漏洞。

由於這套工具不提供製作執行檔的功能,因此如果想要在其他電腦上解密由它製作的檔案,就必須安裝Crypt4Free的主程式。

2BrightSparks EncryptOnClick 1.3.1.3
EncryptOnClick的應用程式介面,只有加、解密等2種功能鍵可供操作,除此之外,沒有其他的設定選項,在我們這次測試的6款檔案加密工具中,算是最容易操作的一種。

它可以加密的對象,除了單一檔案,另外也包括了資料夾。測試過程中,我們針對一個內含100多個檔案的資料夾採取加密,完成後,所有的資料都會轉換成副檔名為.EOC的加密檔。

由於不支援打包自行解密執行檔的能力,因此我們必須在其他臺電腦上也一併安裝EncryptOnClick的主程式,才能辨識加密過後的檔案格式,進而將檔案解密。

Encrypt Files 1.5
Encrypt Files同樣是一套免費版本的檔案加密工具,在我們這次測試的6款工具中,它所支援的加密演算法是最多的,它含常見的Blowfish、AES在內,一共有13種可供選擇。

在操作上,它必須透過工具本身的應用程式介面,對於所指定的檔案及資料夾採取加密,在此同時,我們可以一併加入隱藏屬性,使得其他人不易發現機密資料的存在,另外,針對原始資料則可以在檔案加密後,由Encrypt Files自動刪除。

Encrypt Files在功能上,也和我們先前介紹的EncryptOnClick一樣,不具備將加密的檔案打包成自動執行檔的能力,因此,只能在安裝該套軟體的電腦上,才能將檔案解密。

但它有一項特色,不同於這次我們所介紹的其他工具,我們可以為Encrypt Files設定一組管理者密碼,唯有具備密碼的使用者才可以開啟工具的應用程式介面,針對資料加、解密。

PGP
PGP(Pretty Good Privacy)是資安業界老牌的加密工具,它在功能上除了可以應付磁碟加密的需求,也可以針對磁碟,及我們透過郵件工具傳送出去的文字內容進行加密,是我們這次介紹的幾款工具當中,最為強大的一種,不過設定上也相對複雜一些。

9.0是目前最新的版本,不過它必須付費才能使用,在此以前的舊版,個人可免費使用其中的一部分功能。我們這次安裝了PGP的8.0.3版,在操作方式上,它和AxCrypt一樣,可透過右鍵選單的方式,啟用檔案的加密功能。

和這次介紹的其他工具不同的是,PGP採用非對稱式加密的做法從事檔案的加、解密,因此我們必須將加密的公鑰匯出到其他電腦,才能在不同的電腦上解密檔案。

加密檔案的同時,我們可以設定刪除原始資料,或者一併啟用Self Decrypting Archive(SDA)的功能,打包成自動執行檔,可在沒有安裝PGP主程式的電腦上,透過輸入密碼的方式解密檔案。

Sophos Free Encryption 2.40.0.9
Sophos的Free Encryption是另外一款同時具備檔案加密及壓縮等2種功能的加密工具,它本身提供了多種加密選項,可設定在檔案加密後刪除原始資料,或者製作成自動執行檔,方便使用者在未安裝這套工具的電腦上,也能將檔案解密。

Free Encryption的操作方式和PGP類同,利用右鍵選單可以針對先前選取好的檔案直接加密,或者在應用程式介面繼續匯入其他加密的檔案,除此之外,也可以將檔案在加密完成後以郵件的方式寄送,以及將指定的檔案從硬碟裡永久刪除。

這套軟體中,為了避免檔案加密後,因為遺失密碼,導致檔案無法繼續使用,因此我們可以將密碼同步寫入到指定的文字檔中保存。

我們可以設定在檔案加密時,同步將密碼寫入history.log的記錄檔中存放,第一次操作這項功能時,我們必須設定一組存取密碼,以便日後能夠透過Free Encryption的應用程式介面查詢檔案的解密密碼。文⊙楊啟倫


6款Windows平臺免費備份工具

http://www.ithome.com.tw/itadm/article.php?c=56878
文/張明德 (記者) 2009-09-13

Windows內建備份工具提供了基本的備份機制,但也有許多不足。若欲取得更完整的功能,一些免費的備份工具軟體可作為Windows基本備份工具外的另一種選擇


自Windows NT以來,微軟便在作業系統中內建一套由Veritas提供的NTBackup備份工具程式。長期以來,Windows都是以這套程式作為內建備份工具。

NTBackup實際上是Symantec著名的備份軟體Veritas Backup Exec早期版本的精簡版,就備份/還原操作來看,NTBackup功能算是非常中規中矩,擁有圖形化、精靈引導的介面,提供基本的完整、差異與增量備份 方式,也有日曆式排程功能,以及日誌報告、篩選檔案類型與備份後確認等附加功能選項。

這樣的功能對大多數個人用戶已經相當足夠,但對於有更高的資訊安全與管理機制要求的用戶,NTBackup就無法適用,如缺乏加密與遠端狀態通知 等管理功能。另外在備份操作上,由於NTBackup只能將資料備份到磁帶,或是轉成.bkf格式的備份檔案儲存在磁碟,用戶必須透過NTBackup的 還原功能才能取回資料,這雖然是正規程序,但對講求作業靈活性的用戶來說,仍有許多不便。

而到了Vista以後,情況開始有了改變。微軟在Vista的Business與Ultimate版內建稱為Windows Backup and Restore Center的備份功能,可提供個別檔案備份與磁碟映像類型的整機備份,操作便利性有所改善,支援的儲存媒體也更多。

而在稍後推出的Windows Server 2008上,則提供一個稱為「Windows Server Backup」的備份工具,採用磁區陰影複製服務(Volume Shadow Copy Service,VSS)作為備份機制,除了更快的備份速度與改良的介面外,還可利用snap-in讓使用者切換到其他電腦上執行備份。

雖然Windows Server Backup較NTBackup有所進步,但一些老問題依舊存在,如缺乏加密、遠端狀態通知機制,以及只能透過還原程序取回資料等,另外還帶來一些新問題。

如只能支援NTFS格式的磁碟區(不提供FAT或FAT32的支援)、備份時只能以整個磁碟區(Volume)為單位,不能只備份特定資料夾或檔 案(不過還原時可從複本中選擇特定檔案還原)等。而且Windows Server 2008只占Windows平臺用戶一小部分,多數Windows用戶的基本備份工具仍是NTBackup。

6款免費Windows平臺備份軟體
對於不滿意NTBackup或Windows Server Backup,但又不願意花錢購買市售備份軟體的Windows使用者,目前已有一些免費的備份工具程式,可提供較Windows內建備份程式更豐富的功 能與控制機制,在不花錢的前提下給使用者另外一種備份工具選擇,這裡我們介紹其中較知名的6種。

Cobian Backup 9.5
CobianSoft提供的Cobian Backup是目前的免費備份工具中,功能最完整的一款,已接近商用軟體的層次。可提供Windows內建備份工具沒有的作業狀況遠端郵件通知、備份前/ 後附加指令,還能讓使用者選擇以ZIP或7-Zip兩種方式壓縮備份檔案,以及RSA-Rijndael、Blowfish(128位元)、 Rijndael(128位元)與DES(64位元)等4種加密演算法。

唯一的缺點是Cobian Backup沒有還原精靈或還原介面,不過由於該軟體處理過的備份資料是維持原始檔案格式或ZIP、7-Zip壓縮格式,使用者可直接到儲存媒體上將複本拉回,或利用軟體附帶的程式解壓縮,操作上還不致於造成太大問題。

Comodo Backup 1.0.4
Comodo Backup的功能較Cobian Backup稍弱,雖也提供作業狀況遠端郵件通知、備份前/後附加指令、壓縮與加密等功能,不過壓縮格式只有ZIP,加密功能也只是搭配ZIP的密碼保 護。不過可提供鏡像同步複製,也能支援DVD-RW與CD-RW等可寫入的光學儲存媒體。

FBackup 4.2
FBackup功能涵蓋面與Comodo Backup相近,同樣有備份前/後附加指令,以及搭配ZIP格式的壓縮與加密功能,但少了作業狀況遠端郵件通知功能。雖然功能略少,但可支援的 Windows平臺更廣泛,從老舊的Windows 2000、XP到32或64位元的Windows Server 2003、2008都能支援。

另外FBackup操作介面的易用性也優於Cobian Backup與Comodo Backup,提供了容易使用的備份與還原精靈介面,使用者不需要到工作列上逐一尋找功能項。

GFI Backup 3.0
在我們這次介紹的6款備份軟體中,GFI Backup Home Edition的操作介面是最容易使用的,功能也算得上齊備,提供ZIP壓縮,以及搭配ZIP壓縮的加密與AES 256位元加密功能,而且還能支援Outlook資料的備份,另外也提供同步複製功能。較大的缺點是支援的平臺不夠廣,僅能安裝在Windows XP與Vista上。

TrueSafe 3.4.6
相較於前面幾款軟體,TrueSafe Personal Edition的功能算是比較簡陋,比起Windows內建備份工具,這款軟體的突出之處只有提供ZIP格式的備份檔案壓縮與遠端郵件通知功能。不過除了 免費的Personal版外,使用者可付費升級到Professional版,取得加密、遠端電腦備份、備份儲存容量、占用頻寬控管等功能。

資料備份精靈2.05
資料備份精靈是由國內紅淚網(HolaNet)站長開發的一套備份工具,這款軟體的功能雖不像其他軟體那樣多,不過也能提供7-Zip格式壓縮以及與之搭配的加密功能。

這些工具大多強調加密與易於管理
從前面的介紹,可觀察到當前免費備份軟體的趨勢,是強調比NTBackup更好的安全與管理便利性,雖然部份軟體只是利用壓縮加密功能,但也提供 了基本的保護。在管理操作上,由於這些軟體一般不會變更備份資料的檔案類型,或者是將檔案轉為共通的ZIP壓縮格式,使用者無須進入軟體操作介面,也能直 接取回備份檔案。文⊙張明德




新版個資法的因應之道

http://www.netadmin.com.tw/article_content.asp?sn=1006040006
文.花俊傑 2010/05

隨著新版個資法正式三讀通過,對於存在於各行各業且為數眾多的個人資料,總算有了保護的法源依據,就公務機關和企業組織而言,未來若沒有落實個資保護,很可能就會面臨難以負擔的刑事責任和行政處罰。

延宕多年的電腦處理個人資料保護法修正案,總算在今年4月27日順利三讀通過,除了將名稱正式更改為「個人資料保護法」,在法條內容方面也做了一些修訂。尤其在二讀時,針對新聞報導自由的部份,在過程中引起了社會關注與媒體的討論,因此對於媒體報導的內容,是否需要事先取得當事人的同意,還有在 Facebook上面分享拍攝的照片,會不會有洩露個資之虞,也作了適當的澄清,以避免民眾誤觸法網。


個資法修正前後的差異

過去在1995年公佈實施的電腦處理個人資料保護法,主要是參照經濟合作發展組織(OECD)所提出的個人資料保護八大原則,也就是要求限制蒐集、資料正確完整、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等原則,以避免個人人格權受到侵害,或是個資遭到不當利用。

當初,因考慮此法頒布實行之後,將會對民間業者衝擊過大,所以將適用範圍限縮在只經電腦處理的資料,適用行業除了公務機關之外,僅有特定的八大行業(徵信業、醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業)受到規範,後來,雖然也陸續透過指定方式,將期貨業、百貨公司、零售業、不動產仲介經紀業、人力銀行等九個行業納入適法範圍,但還是有許多會蒐集、處理、利用個資的企業和團體不在此法律適用範圍內,仍然有不夠完善之處。

新版個資法的修正原則,參照了亞太經濟合作論壇(APEC)隱私保護綱領,將取得個資的事先告知、蒐集限制和預防損害,納入個資保護的規範之內,並且要求各事業主管機關需要負起監督之責,以防範個人資料的不當使用與外洩,其修正重點與前後的主要差異如下:


資料類型與保護範圍擴大

電腦處理個人資料保護法的保護客體為經過電腦處理的資料,新法則擴大為不管是電腦處理或人工紙本的資料,統統都受到法律規範。至於適用的行業,過去只有公務機關及八大行業受到法令要求,新版個資法則包括所有個人、法人團體、一般企業等,只要擁有個人資料的單位和組織,一律都要遵守個資法的規範。


刑責加重和罰責提高

過去若是發生個資外洩事件,民事損害賠償的總額上限為2千萬元,新法則提高至2億元,若被害人不易或不能證明實際損害的金額時,可以請求法院依照受害的情節以5百元以上2萬元以下來計算。

同時為了方便受害者提出救濟賠償,新法還增加了團體訴訟機制,可透過眾人的力量來集體控訴。至於刑事責任方面,若是犯罪人意圖將個資用於營利行為,則可能受到5年以下有期徒刑,併科1百萬元以下罰金,並且被提起公訴。


個資蒐集限制與告知義務

新法中要求若是有關醫療、基因、犯罪前科等特種個資,必須在符合法律明文規定的嚴格要件下,才能進行蒐集、處理和利用。

未來無論是直接或間接地蒐集個資,都必須要盡到對當事人的告知義務,也就是要說明蒐集的目的和利用的方式,若是個資遭到不當外洩,資料保有者也必須依法查明後盡快通知當事人,以避免災害的擴大。


個人隱私與新聞自由的兼顧

新法二讀之後,在媒體上引起了一陣抗議波瀾,原因是個資法對於隱私的保護太過,若報導時都要對當事人告知並取得同意,在實務方面將會引起爭議與困難。因此在三讀時,為了基於對新聞自由的尊重,特別說明對於大眾傳播業者在進行新聞報導時,若基於「公益目的」,則可免為告知當事人,若是和公共利益有關或個資來自於一般可得之來源,也可以進行蒐集或處理。


網路使用個資行為之澄清

民眾在部落格或Facebook張貼與他人合影的照片,若是屬於單純個人或是家庭生活的目的,則可適用第51條的排除規定。若是蒐集、分享沒有和其他資料結合而可識別出特定個人的影音資料,只要是基於便利性及合照本身的合法使用目的相當明確,也可以排除在法規之外。至於人肉搜索的行為,若是屬於公共利益或取自於一般可得之來源,也屬於個資法主張的合理使用範圍內。


個資法重點條文之解讀

新版個資法全文分為六章共56條條款,第一章為總則(第1∼14條),第二章為公務機關對個人資料之蒐集、處理及利用(第15∼18條),第三章為非公務機關對個人資料之蒐集、處理及利用(第19∼27條),第四章為損害賠償及團體訴訟(第28∼40條),第五章為罰則(第41∼50條),第六章為附則(第51∼56條)。

關於新法修訂的目的,在第一章第一條開宗明義即提到「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」

至於個人資料涵蓋的範圍,第二條明確指出個人資料是「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

其中有關個人之醫療、基因、性生活、健康檢查、犯罪前科等,必須在法律明文規定之下,或是公務機關執法或非公務機關履行法定義務,並有適當的安全保護措施下才可進行,若是公務機關或學術研究機構為了醫療、衛生或犯罪預防的目的,也必須經過一定之程序才能蒐集、處理或利用個人資料作為統計或學術研究之用。


個資法實施之後的衝擊

對公務機關而言,在新版個資法實施之後,有許多和過去不同的要求,包括必須要將個人資料保有的依據和特定目的、檔案名稱和類別、機關名稱和聯絡方式公布在網站上(第17條),換句話說,相關單位如何進行個資的清查和制訂公布的程序,就顯得十分重要。

另外,保有個人資料檔案的公務機關,必須要指定專人來負責個資安全維護事項,以防止個資受到竊取、竄改、毀損或洩漏(第18條)。 也就是說,這位專人勢必要對資安防護具有相當的專業知識,才足以擔負起個資維護的重責大任,這對於某些資安專才不足的單位,恐怕也需要一番的規劃與考量,才可推派出適當人選。

對於非公務機關來說,尤其是不屬於舊法適用的企業,由於以往從未受到要求,恐怕在個資相關的作業流程和維護方式,往往是聊備一格的,所以特別需要熟悉新法中的種種要求。

例如,新法中提到,非公務機關利用個資進行首次行銷時,應提供當事人表示拒絕接受行銷之方式,若當事人表示拒絕接受行銷時,就要停止利用其個人資料來進行行銷活動(第20條)。

新法第27條則要求,「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」也就是說企業必須要制訂「個資安全維護計畫」,並且說明業務終止後個人資料的處理方法。

未來,若是其事業所屬的主管機關或縣市政府,接受檢舉或認為該企業有違反個資法之虞時,可以依照法定程序派員進行檢查,要求相關人員進行必要的說明配合,並提出已盡到個資保護的相關佐證資料(第22條)。若是有違反個資法行為而遭糾舉且屆期未改正者,將會按次處以2萬元以上,20萬元以下的罰鍰(第48 條)。

此外,如果發現企業有違法的情形,將會公布違反人員之姓名和負責人(第25條),若是導致個人資料遭到不法蒐集、處理、利用或其他侵害當事人權利者,還要負起損害賠償責任(第29條)。當然,如果企業能夠自行舉證並證明無故意或過失的責任,則不在此限,但這也就表示,企業若缺少適當的管理制度和表單紀錄,要舉證恐怕不是一件容易的事。


請提早因應並做好準備

雖然目前新版個資法的施行細則尚未完成,還須等待法務部參考多方意見來制訂並進行審查,預估最快也要到明年才會公布實施,因此對於公務機關和一般企業組織,還有一些因應的準備時間,但在此還是要提醒眾多單位主管及企業負責人,個資保護已有如箭在弦上,不得不發,所以提早因應做好準備,才是最佳應對之道。

如果還不清楚該從何著手,建議先將法條內容瀏覽一遍,明瞭所處單位所受的規範要求,這是初步且必要的工作,然後去清查目前所保有的個資內容與評估其可能的安全風險,接著還需要針對個資蒐集、處理、利用的各個階段,將相關人員應扮演的角色責任明訂清楚,日後一旦施行細則公布之後,就可以參照必要的規範來運作,相信就能大幅降低觸犯法規的風險。

以開源碼L7-filter實作L7防火牆

http://www.netadmin.com.tw/article_content.asp?sn=1006040010
文.吳惠麟

隨著網路服務的多樣化,有越來越多的服務,不再採用固定埠的服務方式,轉而採用動態埠的服務方式,亦即每次傳輸所使用的埠均不相同。例如經常令企業頭痛不已的P2P下載,所使用的埠即是採用變動的方式,而有些服務會隱藏常見的通訊埠,譬如利用80埠。
在目前網路災情頻傳的情況下,傳統基本的L4防火牆已無法能夠正常地控管這些服務,而需要更高階的L7防火牆,直接根據應用層的特徵來辨識網路服務,進而控管該網路服務,如禁止使用P2P傳輸。

本文將利用開源碼社群中的L7-filter搭配netfilter機制來實作L7防火牆,直接根據應用層的特徵來控管企業內的網路服務,以補L4防火牆的不足。在本解決方案中,將會使用下表中的開源碼軟體:

何謂netfilter/iptables

netfilter/iptables是Linux系統最有名的L4防火牆(Firewall)軟體。所謂的L4(Level 4),意指OSI模型中的第四層。在1977年,國際標準組織開始發展一套共通標準化的通訊協定標準,並於1984年時頒布OSI(Open system Interconnection)模型,將網路通訊協定區分為7層,各層各司其職,如下圖示。

時至90年代中期,網際網路興起,使得TCP/IP通訊協定成為全世界利用最廣的通訊協定。TCP/IP可視為精簡的OSI模型,將網路通訊分為4層,如下圖示。

TCP/IP模型分為「應用層」、「傳輸層」、「網路層」及「連結層」。「應用層」主要定義點與點的交換方法,如HTTP、FTP等通訊協定。「傳輸層」 主要定義資料傳遞的方法,如TCP(可靠性傳輸)或UDP(不可靠性傳輸),在此層中含有主機IP、埠、MAC等資訊,「網路層」則用來定義IP、 ICMP、ARP等通訊協定,並定義封包路由(ROUTING)的方式,好讓不同網域的主機可相互通訊,而「連結層」定義網路底層的架構資訊,主要的目的 在於傳送與接收實體層所傳送的訊號。

而netfilter僅能針對上述模型中的傳輸層的封包進行控管,此即稱L4防火牆,這也是為什麼使用動態埠的網路服務需要L7防火牆的原因。因為傳統的 L4防火牆僅能利用IP(來源IP或目的IP)、通訊埠(如來源Port)或MAC(來源MAC或目的MAC)來控管往來的封包,當某個網路服務使用動態 埠或偽裝成一般埠如80埠時,傳統的L4防火牆即無能為力。在本文中即是利用L7-filter來為netfilter機制加上L7的過濾功能,讓 netfilter能直接從應用層的封包特徵中定義出網路服務類型再加以控管。

接下來簡單介紹netfilter機制。netfilter分為模心模組與應用程式,以下分別加以說明。

核心模組

netfilter提供各式的核心模組(Module)以掛鈎(Hook)的方式,將模組掛鈎於核心處理封包的流程上,並提供檢查點(Hook Ponit)機制,針對通過的封包實施檢查及過濾。 netfilter提供了五個檢查點,系統架構如下圖所示:

圖中的PREROUING代表當封包進入時即會經過PREROUTING檢查點,這也是封包進入後所遇到的第一個檢查點。接下來,封包會判斷是否已經到達 目的主機,如果確定,則會進入INPUT檢查點,否則即進入FORWARD檢查點。 而INPUT是當封包發現已到達目標主機時即會進入本機並經過INPUT檢查點,否則將進入。FORWARD則是檢查點,繼續往下個目標主機前進。 OUTPUT的作用為當封包經由本機發出即會經過OUTPUT檢查點。

此外,如果封包發現並非到達目標主機,即會經過FORWARD檢查點。至於POSTROUTING,則是當封包要離開系統主機時會經過POSTROUTING檢查點,這也是封包進入後所遇到的最後一個檢查點。

應用程式

netfilter提供iptables應用程式來設定netfilter檢查點的過濾規則。設定規則是以表格(Table)及鏈(Chain)的概念來設定,netfilter總共提供三個表格及五個規則鏈。
Filter:主要提供封包過濾,可過濾TCP、UDP、MAC、ICMP等類型封包,包含INPUT、forward、output等規則鏈。
nat:提供SNAT及DNAT等功能,可用來IP偽裝,讓網域內的多台電腦可共用一個公共IP上網。本表格包含prerouting、postrouting、output等規則鏈。

mangle:主要用來修改封包內容,包含PREROUTING、POSTROUTING、FORWARD、INPUT、OUTPUT等規則鏈。 接下來,簡略說明iptables的語法結構,如下所示: iptables [-t table] command [match][-j target/jump]

相關參數說明如下:

[-t table]:用來指定要設定那個表格的規則,如未指定即預設為filter。 Command:命令,通常後會接鏈名稱。常用命令包括:「-A」可在指定的鏈之後新增一個規則、「-D」可在指定的鏈之後刪除一個規則、「-F」表示清 除規則、「-L」則用來顯示規則。

[match]:比對條件。常用的比對條件有「-d」可指定套用規則的目的主機或IP位址,而「-I」是當封包進入FORWARD,OUTPUT或 POSTROUTING所通過的網路介面名稱(如eth0)。其實netfilter比對條件相當強大,有興趣的讀者請自行參閱手冊。

[-j]:目標(表示設定規則的目的),常用目的選項有ACCEPT表示允許封包通過,DROP表示丟棄封包,RETURN代表直接離開目前規則,直接跳到下個規則比對,而QUEUE表示將封包重導到本機的佇列(Queue)中,通常用來供其他應用程式處理。

再舉一個實際的設定範例,應該就會很清楚。範例內容如下:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT 其中,「-A INPUT」代表在INPUT的鏈上新增一條規則,「-p tcp --dport 80」是比對條件,如果通訊協定為tcp且目的埠為80。「-j ACCEPT」即表示接受。整段的規則為如果封包為tcp型式且目標埠為80,就讓它通過。<…未完.更多精采文章,請見網管人53期雜誌>

電力線聯盟將推新標準,傳輸效率上600Mbps

http://www.ithome.com.tw/itadm/article.php?c=61787

文/劉哲銘 (記者) 2010-06-16

家用電力線聯盟日前宣布了推出新傳輸標準的進程,預計在2011年第一季推出HomePlug AV2,傳輸效能將突破600Mbps


由電力線網路(Power Line Communication,PLC)相關廠商所組成的家用電力線聯盟(Home Plug Alliance,HPA),日前宣布了推出新傳輸標準的進程,預計在2011年第一季推出HomePlug AV2,傳輸效能將突破600Mbps。而第一個符合此標準的設備,也預計將在2011年問世。

晶片廠商Atheros產品行銷經理Ganesh Swaminathan表示,目前HPA所制定的PLC標準HomePlug AV,能提供理論值200Mbps的傳輸效能,實際使用上,TCP/IP協定的傳輸可以達到75Mbps;UDP協定的傳輸可以達到95Mbps。而未來 HomePlug AV2,能夠提供理論值600Mbps以上的傳輸效率。

過去PLC傳輸不穩定,容易遺漏封包的問題,也已經在HomePlug AV標準中,透過名為Turbo Code技術的補強解決了。不過Turbo Code也會占用一定的傳輸頻寬,例如HomePlug AV就必須使用50Mbps的頻寬來做Turbo Code。至於跨電表傳輸等問題,也已經早就解決。

此外,隨著智慧電網(Smart Grid)的需求攀升,HPA主席Rob Ranck表示,除了現在和Zigbee聯盟合作之外,未來HPA也將和Wi-Fi聯盟在智慧電網上正式合作,組成3個聯盟的鐵三角進軍這個市場,做到相關產品都能互通。文⊙劉哲銘