초보 질문: 방화벽이란 무엇인가요? 어디에서 조정할 수 있나요?
방화벽은 서로 다른 네트워크(예: 신뢰할 수 있는 기업 인트라넷 및 신뢰할 수 없는 공용 네트워크) 또는 네트워크 보안 도메인 사이에 설정된 일련의 구성 요소의 조합을 의미합니다. 방화벽을 통과하는 데이터 흐름을 모니터링, 제한, 변경하고, 네트워크의 정보, 구조, 운영 상태를 외부로부터 최대한 보호함으로써 네트워크 보안 보호를 달성할 수 있습니다.
논리적으로 방화벽은 인트라넷과 인터넷 사이의 모든 활동을 효과적으로 모니터링하고 내부 네트워크의 보안을 보장하는 분리기, 제한기 및 분석기입니다.
방화벽 사용의 이점
취약한 서비스 보호
방화벽은 안전하지 않은 서비스를 필터링함으로써 네트워크 보안을 크게 향상시키고 서브넷에 있는 호스트의 위험을 줄일 수 있습니다. 위험. 예를 들어 방화벽은 NIS 및 NFS 서비스 통과를 금지할 수 있으며 소스 라우팅 및 ICMP 리디렉션 패킷도 거부할 수 있습니다.
시스템에 대한 액세스 제어
방화벽은 시스템에 대한 액세스 제어를 제공할 수 있습니다. 예를 들어 특정 호스트에 대한 외부 액세스는 허용되지만 다른 호스트에 대한 액세스는 금지됩니다. 예를 들어 방화벽은 특정 메일 서버 및 웹 서버에 대한 외부 액세스를 허용합니다.
중앙 집중식 보안 관리
방화벽은 기업 인트라넷에 대한 중앙 집중식 보안 관리를 구현합니다. 방화벽에 정의된 보안 규칙은 인트라넷에서 각 서버를 구성할 필요 없이 전체 내부 네트워크 시스템에서 실행될 수 있습니다. . 머신에 각각 보안 정책을 설정합니다. 방화벽은 각 시스템에 특정 인증 소프트웨어를 설치할 필요 없이 다양한 인증 방법을 정의할 수 있습니다. 외부 사용자는 인트라넷에 액세스하기 위해 한 번만 인증하면 됩니다.
강화된 기밀성
방화벽을 사용하면 공격자가 Figer 및 DNS와 같은 네트워크 시스템을 공격하는 데 유용한 정보를 얻는 것을 방지할 수 있습니다.
네트워크 사용 데이터 및 불법 사용 데이터 기록 및 계산
방화벽은 방화벽을 통한 네트워크 통신을 기록 및 계산하고, 네트워크 사용에 대한 통계 데이터를 제공할 수 있으며, 방화벽은 통계 데이터를 제공하여 가능한 공격 및 탐지.
정책 실행
방화벽은 네트워크 보안 정책을 수립하고 실행하는 수단을 제공합니다. 방화벽이 설정되지 않은 경우 네트워크 보안은 각 호스트의 사용자에 따라 달라집니다.
방화벽 유형
방화벽은 일반적으로 패킷 필터링, 애플리케이션 수준 게이트웨이, 프록시 서버 등 여러 유형으로 구분됩니다.
패킷 필터링
패킷 필터링 기술은 액세스 제어 테이블이라고 하는 시스템에 설정된 필터링 논리를 기반으로 네트워크 계층에서 데이터 패킷을 선택합니다. 데이터 흐름에 있는 각 데이터 패킷의 소스 주소, 대상 주소, 사용된 포트 번호, 프로토콜 상태 및 기타 요소 또는 이들의 조합을 확인하여 데이터 패킷의 통과를 허용할지 여부를 결정합니다. 패킷 필터링 방화벽 논리는 간단하고 저렴하며 설치 및 사용이 쉽고 일반적으로 라우터에 설치됩니다. 라우터는 내부 네트워크를 인터넷에 연결하는 데 없어서는 안 될 장치이므로 원래 네트워크에 이러한 방화벽을 추가하면 추가 비용이 거의 들지 않습니다.
패킷 필터링 방화벽에는 두 가지 단점이 있습니다. 첫째, 불법 액세스가 방화벽을 뚫고 나면 호스트의 소프트웨어 및 구성 취약점이 공격받을 수 있습니다. 둘째, 데이터의 소스 주소, 대상 주소 및 IP가 공격받을 수 있습니다. 패킷 포트 번호는 데이터 패킷의 헤더에 있으며 도청되거나 위조될 가능성이 높습니다.
애플리케이션 수준 게이트웨이
애플리케이션 수준 게이트웨이는 네트워크 애플리케이션 계층에서 프로토콜 필터링 및 전달 기능을 설정합니다. 특정 네트워크 응용 프로그램 서비스 프로토콜에 대해 지정된 데이터 필터링 논리를 사용하고, 필터링하는 동안 데이터 패킷에 대한 필요한 분석, 등록 및 통계를 수행하여 보고서를 작성합니다. 실제로 애플리케이션 게이트웨이는 일반적으로 전용 워크스테이션 시스템에 설치됩니다.
데이터 패킷 필터링과 애플리케이션 게이트웨이 방화벽은 동일한 특성을 가지고 있습니다. 즉, 특정 논리에만 의존하여 데이터 패킷 통과를 허용할지 여부를 결정합니다. 논리가 충족되면 방화벽 내부와 외부의 컴퓨터 시스템 간에 직접적인 접촉이 이루어지며, 방화벽 외부의 사용자는 방화벽 내부의 네트워크 구조와 운영 상태를 직접 이해할 수 있어 불법적인 접근과 공격이 가능해집니다.
프록시 서비스
프록시 서비스는 링크 수준 게이트웨이 또는 TCP 터널(회로 수준 게이트웨이 또는 TCP 터널)이라고도 합니다. 패킷 필터링과 애플리케이션 게이트웨이 기술의 단점을 보완하기 위해 도입된 방화벽 기술로, 방화벽을 통과하는 모든 네트워크 통신 링크가 두 부분으로 나누어지는 것이 특징입니다. 방화벽 내부와 외부 컴퓨터 시스템 간의 애플리케이션 계층의 "링크"는 프록시 서버를 종료하는 두 개의 "링크"로 실현됩니다. 외부 컴퓨터의 네트워크 링크는 프록시 서버에만 도달할 수 있으므로 방화벽 내부와 외부의 컴퓨터 시스템이 격리됩니다. 또한 프록시 서비스는 과거 데이터 패킷을 분석하고 등록하여 보고서를 작성하는 동시에 공격 징후가 발견되면 네트워크 관리자에게 알리고 공격 추적을 유지합니다.
방화벽 설정 요소
네트워크 정책
방화벽 시스템의 설계, 설치 및 사용에 영향을 미치는 네트워크 정책은 두 가지 수준으로 나눌 수 있습니다. 고급 네트워크 정책 정의는 서비스를 허용 및 금지하고 서비스 사용 방법을 설명합니다. 하위 수준 네트워크 정책은 방화벽이 상위 수준 정책에 정의된 서비스를 제한하고 필터링하는 방법을 설명합니다.
서비스 액세스 정책
서비스 액세스 정책은 인터넷 액세스 서비스 및 외부 네트워크 액세스(예: 전화 접속 정책, SLIP/PPP 연결 등)에 중점을 둡니다. 서비스 접근 정책은 실현 가능하고 합리적이어야 합니다. 실행 가능한 전략은 알려진 사이버 위험 차단과 사용자 서비스 제공 간의 균형을 유지해야 합니다. 일반적인 서비스 액세스 정책은 강화된 인증을 통과한 사용자가 필요한 경우 인터넷에서 특정 내부 호스트 및 서비스에 액세스하도록 허용하고, 내부 사용자가 지정된 인터넷 호스트 및 서비스에 액세스하도록 허용합니다.
방화벽 설계 전략
방화벽 설계 전략은 특정 방화벽을 기반으로 서비스 접근 정책을 완성하기 위한 규칙을 정의합니다. 일반적으로 두 가지 기본 설계 전략이 있습니다. 명시적으로 금지되지 않는 한 모든 서비스를 허용하고, 명시적으로 허용되지 않는 한 모든 서비스를 비활성화합니다. 첫 번째 유형은 안전하지만 사용하기 쉽지 않은 것이 특징이고, 두 번째 유형은 사용하기 쉽지만 안전하지 않은 것이 일반적입니다. 대부분의 방화벽은 둘 사이의 절충안입니다.
강화된 인증
인터넷에서 발생하는 많은 침입은 취약한 기존 사용자/비밀번호 메커니즘에서 비롯됩니다. 수년 동안 사용자는 추측하고 해독하기 어려운 비밀번호를 사용하라는 지시를 받았습니다. 그럼에도 불구하고 공격자는 인터넷을 통해 전송되는 비밀번호의 일반 텍스트를 계속 모니터링하여 기존 비밀번호 메커니즘을 쓸모없게 만듭니다. 향상된 인증 메커니즘에는 스마트 카드, 인증 토큰, 생리적 특성(지문) 및 소프트웨어 기반(RSA) 기술이 포함되어 기존 비밀번호의 약점을 극복합니다. 다양한 인증 기술이 존재하지만 모두 향상된 인증 메커니즘을 사용하여 공격자가 재사용하기 어려운 암호와 키를 생성합니다. 현재 널리 사용되는 많은 개선 메커니즘은 일회성 유효한 비밀번호 및 키(예: 스마트카드 및 인증 토큰)를 사용합니다.
대규모 네트워크 시스템에 방화벽 배치
네트워크 시스템의 보안 요구에 따라 다음 위치에 방화벽을 배치할 수 있습니다.
VLAN 간 제어 LAN에서 정보가 흐를 때;
인트라넷과 인터넷 사이에 연결될 때(기업 단위가 외부 네트워크에 연결될 때 애플리케이션 게이트웨이);
WAN 시스템에서 보안상의 필요에 따라 본사 LAN은 각 지점의 LAN을 안전하지 않은 시스템으로 간주할 수 있습니다. (공중망인 ChinaPac, ChinaDDN, Frame Relay 등을 통해 연결) 본사와 각 지점의 LAN 연결 시 방화벽 격리를 사용합니다. VPN을 사용하여 가상 사설망을 구성합니다.
본사 LAN과 지점 LAN을 각각 인터넷으로 연결하고 NetScreen의 VPN을 사용하여 가상 사설망을 구성해야 합니다. ;
원격 사용자가 액세스를 위해 전화 접속하면 가상 사설망에 가입합니다.
ISP는 NetScreen의 로드 밸런싱 기능을 사용하여 로드 공유를 위해 공용 액세스 서버와 클라이언트 사이에 방화벽을 추가할 수 있습니다. 액세스 제어, 사용자 인증, 흐름 제어, 로깅 및 기타 기능;
두 네트워크가 연결되면 NetScreen 하드웨어 방화벽을 게이트웨이 장치로 사용하여 NAT(주소 변환), 주소 매핑( MAP), 네트워크 격리(DMZ) 및 액세스 보안 제어를 통해 기존 소프트웨어 방화벽의 병목 현상 문제를 제거합니다.
네트워크 시스템에서 방화벽의 역할
방화벽은 외부 침입을 효과적으로 방지할 수 있습니다. 네트워크 시스템에서 방화벽의 기능은 다음과 같습니다.
네트워크에 대한 액세스를 제어합니다. 정보 흐름 방향 및 정보 패킷,
사용, 트래픽 로그 및 감사 제공,
내부 IP 주소 및 네트워크 구조 세부정보 숨기기,
VPN 기능 제공.