Jane a: 방화벽은 어떤 규칙에 따라 패키지를 버리거나 다시 전송합니까

방화벽의 개념 물론 목적이 점진적으로 이해되기 때문에 방화벽 개념을 먼저 이해해야 합니다. 방화벽은 자동차의 부품 이름입니다. 자동차에서는 방화벽을 사용하는 승객과 엔진을 분리해 자동차 엔진에 불을 지폈고, 방화벽은 승객의 안전을 보호하기 위한 것이 아니라 운전자가 엔진을 계속 제어할 수 있도록 했다. 컴퓨터 용어에서, 물론, 우리가 비유적으로 이해할 수 있다는 것을 의미하는 것은 아니다. 인터넷에서는 이른바' 방화벽' 이 독립된 기업 인트라넷과 공공 액세스 네트워크 (예: 인터넷) 에서 실제로는 격리 기술이라는 것을 의미한다. 방화벽은 두 개의 네트워크 통신에서 액세스 제어 스케일로, 데이터를 네트워크에 "동의" 할 수 있고, "동의하지 않음" 과 데이터를 동시에 네트워크의 해커가 네트워크에 액세스하는 것을 최소화할 수 있습니다. 즉, 방화벽을 통과하지 않으면 회사 내부의 사람들이 인터넷에 액세스할 수 없고, 사람들은 인터넷에서 회사 내부의 사람들과 소통할 수 있다.

방화벽 기능. 방화벽은 네트워크 보안의 장벽입니다. 방화벽 (차단 지점, 제어 지점) 은 내부 네트워크의 보안을 크게 향상시키고 안전하지 않은 서비스를 필터링하여 위험을 줄일 수 있습니다. 신중하게 선택한 응용 프로그램 프로토콜만 방화벽을 통과할 수 있으므로 네트워크 환경이 더욱 안전해집니다. 방화벽이 안전하지 않은 NFS 프로토콜 (예: 잘 알려진 보호 네트워크) 을 금지할 수 있는 경우 외부 공격자는 이러한 취약한 프로토콜을 사용하여 내부 네트워크를 공격할 수 없습니다. 방화벽은 또한 공격 및 ICMP 리디렉션의 IP 소스 라우팅 옵션에 대한 리디렉션 경로와 같은 라우팅 공격으로부터 네트워크를 보호합니다. 방화벽은 위의 모든 유형의 공격 메시지를 거부하고 방화벽 관리자에게 알릴 수 있어야 합니다.

방화벽은 네트워크 보안 정책을 강화할 수 있습니다.

보안 프로그램은 방화벽을 통해 구성되고 암호, 암호화, 인증, 감사 등과 같은 모든 보안 소프트웨어는 방화벽에 구성됩니다. 보다 경제적인 네트워크 보안 문제는 호스트, 방화벽의 중앙 집중식 보안 관리에 분산되어 있습니다. 숙주 액세스 (예: 비밀 암호 시스템 및 기타 인증 시스템이 다양한 네트워크에 완전히 분산되지 않고 방화벽 주체에 집중된 경우).

3. 감사 네트워크 액세스 및 액세스 모니터링:

모든 액세스가 방화벽을 통과할 경우 방화벽은 이러한 액세스를 기록하고 로그를 작성하여 네트워크 사용 통계를 제공합니다. 의심스러운 동작이 발생할 경우 방화벽은 적절한 경고를 수행할 수 있으며 제공된 네트워크는 모니터링과 공격에 대한 세부 정보입니다. 또한, 네트워크의 사용과 오용을 수집하는 것은 매우 중요하다. 첫 번째 이유는 방화벽이 공격의 탐지와 공격을 막을 수 있는지, 그리고 방화벽의 통제가 충분한지 알 수 있다는 것입니다. 인터넷 사용 통계는 네트워크 수요 분석과 위협 분석에도 중요하다.

4. 내부 정보 유출 방지: 방화벽을 활용하여 내부 네트워크, 인트라넷 중점 네트워크 세그먼트를 격리함으로써 로컬 중점 또는 민감한 문제, 네트워크 보안 영향의 글로벌 네트워크 분할을 제한합니다. 또한 프라이버시는 매우 우려되는 문제입니다. 내부 네트워크, 내부 네트워크의 보잘것없는 세부 사항에는 외부 공격자의 이익을 야기하는 보안 관련 단서가 포함될 수 있으며, 내부 네트워크의 보안 취약점도 노출될 수 있습니다. Finger, DNS 및 기타 서비스와 같은 내부 세부 사항을 공개하는 것은 방화벽을 사용하며 숨길 수 있습니다. 손가락 프로그램 진행자의 등록된 모든 사용자 이름, 실제 이름, 최종 로그인 시간 및 셸 유형 사용 손가락에 표시된 정보는 공격자에게 쉽게 알 수 있다. 공격자는 자주 사용하는 시스템, 이 시스템의 사용자가 인터넷에 연결되어 있는지 여부를 알 수 있으며, 이 시스템은 공격받고 있습니다. 방화벽은 또한 내부 네트워크를 차단할 수 있으며 도메인 이름과 IP 주소의 호스트에 대한 DNS 정보는 외부에 알려지지 않습니다. 또 다른 보안 역할, 방화벽, 인터넷 서비스는 기업 내 네트워크 기술 체계의 특징이며 VPN (가상 사설망) 도 지원합니다.

방화벽 분류

는 기반 네트워크 아키텍처를 기반으로 하며 다음과 같은 유형의 방화벽을 가질 수 있습니다.

1. 네트워크 수준 방화벽 의 판단은 소스 및 대상 주소, 애플리케이션 또는 프로토콜 및 각 IP 패킷의 포트를 기반으로 합니다. 라우터는 대부분의 라우터가 수신된 패킷 전달을 확인할 수 있는 "전통적인" 네트워크 수준 방화벽이지만 IP 패킷이 어디서 왔는지 확인할 수는 없습니다. 고급 네트워크 수준 방화벽은 연결 상태 및 일부 데이터 스트림의 내용을 설명하는 내부 정보를 제공하여 규칙 테이블의 정보와 비교하는 규칙 테이블에 정의된 다양한 규칙을 결정하여 패키지 통과에 동의하거나 거부할지 여부를 나타냅니다. 패킷 필터링 방화벽은 규칙이 충족될 때까지 각 패킷에 대한 규칙을 확인합니다. 규칙이 일치하는 방화벽이 없으면 기본 규칙을 사용합니다. 일반적으로 기본 규칙은 방화벽이 패킷을 폐기한다는 것입니다. 둘째, 방화벽은 TCP 또는 UDP 포트 번호를 기반으로 패킷을 정의하여 텔넷, FTP 연결과 같은 특정 연결을 허용할지 여부를 결정할 수 있습니다.

네트워크 수준 방화벽에 대한 액세스 제어 규칙입니다.

(1) 네트워크 21.34.. 은 FTP(21 포트) 를 사용하여 호스트 192.168.1.1 에 액세스할 수 있습니다. BR />

(2) IP 주소 및 호스트 192.168.1.2 21.34..27 허용, 사용자 텔넷 (23 포트);

(3) 모든 주소의 e-메일 (25 포트) 을 호스트 192.168.1.5 로 허용

(4) 모든 WWW 데이터 허용 (8);

(5) 다른 패킷은 들어갈 수 없습니다.

네트워크 수준 방화벽은 간단하고, 빠르고, 비용이 저렴하며, 사용자에게 투명하지만, 네트워크 보호는 의 주소와 포트만 검사할 수 있고, 이해하지 못하는 네트워크 정보의 더 높은 프로토콜 계층 기능이 있기 때문에 매우 제한적입니다. 패킷 필터, 사용자 수준 권한 부여, 판단이 안전하지 않습니다. IPV4 패킷의 헤더 패킷 필터링 조건으로 인해 위조되거나 도난될 가능성이 높습니다. 네트워크 계층 기반 보안 기술은 상위 계층 프로토콜을 통한 공격 구현을 감지할 수 없습니다.

의 ipchains 는 이러한 유형의 소프트웨어가 Linux 에 있다는 것입니다.

2. 애플리케이션 계층 게이트웨이 애플리케이션 계층 게이트웨이 프록시 서버' 는 출입을 점검하고 게이트웨이 복제를 통해 데이터를 전달하며 신뢰할 수 있는 서버와 클라이언트 간의 직접적인 연락이 신뢰할 수 없는 호스트라고 말하는 경우가 많다. 애플리케이션 수준 게이트웨이의 애플리케이션 계층 프로토콜은 복잡한 액세스 제어, 세밀한 등록 및 감사를 이해할 수 있습니다. 그러나 각 프로토콜에는 네트워크 수준 방화벽보다 비효율적인 과중한 작업량을 사용하는 에이전트 소프트웨어가 필요합니다. 일반적인 어플리케이션 수준 방화벽은 해당 프록시 서버 (예: HTTP, NNTP, FTP, 원격 로그인, 원격 로그인, X 창 등) 보다 많지만 새로 개발된 어플리케이션의 경우 해당 기관 서비스의 경우 네트워크 수준 방화벽과 일반 프록시 서비스를 제공합니다.

애플리케이션 계층 게이트웨이는 더 나은 액세스 제어, 가장 안전한 방화벽 기술이지만 구현하기 어렵고 일부 애플리케이션 수준 게이트웨이에는 "투명성" 이 부족합니다. 실제로 사용 중인 사용자는 방화벽을 통해 인터넷 신뢰 네트워크에 액세스할 때 인터넷 또는 인터넷 (로그인) 에 여러 번 로그인해야 하는 지연 시간이 있는 경우가 많습니다. 패킷 필터링 방화벽의 한 가지 * * * 는 패킷 통과가 허용되는지 여부를 결정하기 위해 특정 논리에만 의존한다는 점입니다. 일단 조건이 충족되면 방화벽 안팎의 컴퓨터 시스템이 직접 연결을 설정하고 방화벽 외부 네트워크의 직접 지식 내부 네트워크의 구조와 작동 상태를 파악하여 무단 액세스 공격의 기회를 크게 증가시킵니다.

SQUID 등의 소프트웨어.

3. 회로 수준 게이트웨이 신뢰 및 신뢰할 수 없는 호스트 세션 (Session) 결정의 합법성, 회로 수준 게이트웨이는 메시지 필터링, 회로 수준 게이트웨이는 클라이언트 또는 서버 간 TCP 핸드셰이킹을 모니터링하는 데 사용되며, OSI 모델의 세션 계층에서 패킷 필터링 방화벽보다 2 층 높습니다.

실제로 존재하지 않는 회로 수준 게이트웨이는 다른 애플리케이션 수준 게이트웨이와 결합된 별도의 제품으로 사용됩니다. 또한 회로 수준 게이트웨이는 중요한 보안 기능을 제공합니다. 즉, 방화벽에서 "주소 변환" 이라고 하는 프로세스를 실행하는 프록시 서버 (액세스 프록시 서버) 입니다. 모든 내부 IP 주소는 방화벽에서 사용하는 "보안" IP 주소에 매핑됩니다. 그러나 게이트웨이가 세션 계층에서 작동하며 응용 프로그램 레벨 패킷을 확인할 수 없기 때문에 회로 레벨 게이트웨이로는 몇 가지 결함이 있습니다. 두 호스트가 접속 핸드셰이크 정보를 설정하여 세션 요청이 합법적인지 여부를 확인하는 프록시 서비스를 제공합니다. 세션이 연결되면 게이트웨이는 데이터만 복제하고 전송합니다. IP 계층에서 다양한 고위급 회의를 대리하여 내부 네트워크의 정보와 투명성을 숨기는 기능. 그러나 특정 콘텐츠는 더 이상 추가 분석을 하지 않고 세션이 설정된 후 전송되므로 보안이 낮습니다.

양말은 이런 유형의 방화벽에 속한다.

4. 제외 검사 방화벽 방화벽은 패킷 필터링 방화벽, 회로 수준 게이트웨이 및 어플리케이션 수준 게이트웨이 기능을 결합합니다. 패킷 필터링 방화벽 규칙은 OSI 네트워크 계층에서 방화벽의 IP 주소와 포트 번호를 검사하여 들어오고 나가는 패킷을 필터링합니다. 회로 수준 게이트웨이와 마찬가지로 SYN 및 ACK 플래그 및 직렬 디지털 논리가 설정되어 있는지 확인할 수 있습니다. 물론 응용 프로그램 수준 게이트웨이에서도 OSI 응용 프로그램 계층에서 패킷 내용을 검사하여 해당 회사와의 네트워크 보안 규칙을 확인할 수 있습니다.

규칙 검사 방화벽은 상위 3 위 안에 통합되지만 애플리케이션급 게이트웨이와는 달리 고객을 해치지 않습니까? 기계/서버 모델의 애플리케이션 계층은 데이터를 분석하여 대리인의 모든 클라이언트와 신뢰할 수 없는 호스트가 직접 접속할 수 있도록 합니다. 규칙검사 방화벽은 애플리케이션 계층 에이전트에 의존하지 않고 알려진 합법적인 패킷의 패킷 패턴을 비교하는 알고리즘에 의존하여 애플리케이션 계층 데이터를 인식하므로 이론적으로 수평 에이전트를 적용하는 것보다 패킷을 더 효율적으로 필터링할 수 있습니다. 동적 기록, 각 접속 상태에 대한 프로토콜 유지, 네트워크 계층의 모든 수준에서 통신 감지 등을 통해 방화벽을 통과할 수 있는지 여부를 결정합니다. 따라서 높은 수준의 효율성과 보안이며 다양한 네트워크 프로토콜 및 어플리케이션을 지원할 수 있으며 다양한 표준 서비스를 지원하도록 쉽게 확장할 수 있습니다.