방화벽이란 무엇입니까?
분석:
통속적인 점은 프로그램이 너의 컴퓨터나 너의 프로그램이 인터넷을 방문할 때 너에게 무엇을 일깨워 주는가이다. (존 F. 케네디, 컴퓨터명언)
전문적인 점은 바로 방화벽의 개념이다.
1. 원래 의도: 집이 목재 구조일 때 사람들은 집 주위에 석두 더미를 쌓아 화재를 방지한다. 이런 벽을 방화벽이라고 한다.
리치 코신스키 (국제 안보국 회장):
방화벽은 조직의 네트워크와 안전하지 않은 네트워크 사이에 장벽을 설치하여 정보 자원에 대한 불법 액세스를 방지하는 액세스 제어 기술입니다. 즉, 방화벽은 양방향 통신을 제어하는 문지방이다.
3. 윌리엄 체스빅과 스티브 벨로윈 (1994):
방화벽은 두 네트워크 사이에 배치되는 구성 요소 세트이며 다음 속성을 가집니다.
(1) 로컬 보안 정책에 의해 승인된 통신 정보만 통과할 수 있습니다.
(2) 양방향 통신 정보는 방화벽을 통과해야합니다.
(3) 방화벽 자체는 정보 유통에 영향을 미치지 않습니다.
4. 방화벽은 서로 다른 신뢰 수준을 가진 두 네트워크 (예: 기업 내부 네트워크 및 인터넷) 사이에 위치한 소프트웨어 또는 하드웨어 장치의 조합입니다. 두 네트워크 간의 통신을 제어하고 통합 보안 정책을 적용하여 중요한 정보 자원에 대한 불법 액세스를 방지함으로써 시스템 보안을 보호합니다.
참고: 방화벽은 주로 비보안 네트워크의 공격으로부터 보안 네트워크를 보호하는 데 사용됩니다.
전형적인 경우: 보안 네트워크는 기업 내부 네트워크이고 안전하지 않은 네트워크는 인터넷입니다.
그러나 방화벽은 인터넷뿐만 아니라 부서 내 네트워크 간에도 사용할 수 있습니다. (내부 방화벽). 예: 재무 부서와 마케팅 부서 사이.
5. 논리적으로 방화벽은 내부 네트워크와 외부 네트워크 간의 모든 활동을 효과적으로 모니터링하고 내부 네트워크의 보안을 보장하는 분리기, 리미터 및 분석기입니다.
물리적으로 방화벽은 일반적으로 하드웨어 디바이스 세트 (라우터, 호스트 또는 라우터, 컴퓨터 및 소프트웨어가 설치된 네트워크의 조합) 입니다.
방화벽은 일반적으로 여러 부분으로 나눌 수 있으며, 일부는 방화벽 기능 이외의 기능을 수행합니다. 예: 암호화 암호 해독 -VPN.
6. 방화벽의 본질은 한 쌍의 갈등 (또는 메커니즘) 이다: 데이터 흐름 통행을 제한하고 데이터 유통을 허용한다.
두 가지 극단적인 표현: 필요한 것 외에 금지하고 안전하지만 사용하기 어렵다. (제한 정책); 금지된 것 외에 모든 것이 허용되고 유용하지만 안전하지 않다. (완화 정책)
대부분의 방화벽은 둘 사이에 있습니다.
방화벽이 없는 환경에서 네트워크 보안은 전적으로 호스트 보안에 달려 있으며, 어떤 의미에서 모든 호스트는 일관된 높은 보안 표준을 충족하기 위해 함께 작동해야 합니다. 호스트 기반 보안 확장성은 좋지 않습니다. 사이트의 호스트 수가 늘어나면 각 호스트가 높은 보안 수준에서 필연적으로 성능을 저하시킬 수 있습니다. 네트워크 소프트웨어의 약점이 발견되면 방화벽 보호가 없는 사이트에서 노출된 각 시스템을 최대한 빨리 수정해야 합니다. 이는 비현실적입니다. 특히 여러 버전의 운영 체제가 사용 중인 경우에는 더욱 그렇습니다.
둘째, 방화벽의 역할
1. 사이버 보안의 첫 번째 방어선 (방범문, 도랑, 교통경찰, 경비원)
2. 방화벽은 모든 출입정보가 이 유일한 좁은 검사점을 통과하도록 강제할 수 있는 차단점입니다. 보안 정책의 중앙 집중식 시행을 용이하게 합니다.
3. 방화벽은 안전하지 않은 프로토콜 NFS 및 손가락 금지와 같은 필수 네트워크 보안 정책을 적용할 수 있습니다.
4. 네트워크 액세스 및 액세스를 모니터링하고 감사합니다. 예: 네트워크 사용 및 남용에 대한 기록 및 통계
5. 내부 방화벽을 사용하면 한 네트워크 세그먼트의 문제가 다른 네트워크 세그먼트로 확산되는 것을 방지할 수 있습니다.
셋째, 방화벽 아키텍처
1. 기본 원칙
(1) 방화벽은 특수한 네트워크 간 액세스 제어 시설입니다. Inter 의 일부를 격리하고, 다른 Inter 부분과의 자유로운 데이터 흐름을 제한하고, 신뢰할 수 없는 상호 연결 네트워크에 신뢰할 수 있는 서브넷을 만들기 위해 네트워크 경계에 배치됩니다.
(2) 보안 도메인: 컴퓨터 서브넷에서 동일한 보안 정책을 가진 컴퓨터의 * * * 도메인입니다.
(3) 필터: 특정 유형의 트래픽을 차단하기 위해 교차 트래픽을 제어하는 로컬 보안 정책의 구체적인 표현입니다.
2. 방화벽 분류
(1) 패킷 필터링 방화벽이라고도 하는 IP 방화벽.
원칙: 메시지의 출처, 목적 및 비즈니스 유형에 따라 라우팅 소프트웨어에서 메시지 필터링 기능을 구현합니다.
특징: 좋은 네트워크 성능, 투명하고 편리한; 특정 사용자 및 특정 요청에 대해 세분화할 수 없습니다.
(2) 응용 프로그램 수준 방화벽 (프록시 방화벽이라고도 함).
원칙: 2 소켓 호스트 격리 내부 및 외부 직접 연결, 양단 에이전트 역할을 합니다.
특징: 직접적인 메시지 교환이 없고, 보안이 우수하며, 입도가 정확하고 완전하다. 그러나 효율성이 낮아 전문화 서비스에만 국한성이 있다.
(3) 링크 수준 방화벽
원칙: 2 소켓 호스트는 범용 TCP/UDP 연결 릴레이 서비스를 제공합니다.
3. 방화벽 사용
(1) 일반 원칙
1) 방화벽 사용은 추가 하드웨어 및 소프트웨어 장치와 시스템 성능 저하를 대가로 한다.
2) 방화벽 설정은 네트워크의 보안 요구 사항, 감당할 수 있는 경제적 능력, 시스템 파괴 후 발생할 수 있는 결과의 심각성에 따라 달라집니다.
3) 방화벽은 내부 호스트 보안 관리가 엄격하지 않은 대규모 조직에 적합합니다.
(2) 방화벽 사용 형태
1) 라우터 필터 방화벽
인트라넷과 엑스트라넷 사이의 주요 경로에 메시지 필터링 기능이 있는 라우터를 설정하고 필터링 규칙을 설정하여 로컬 네트워크의 보안 정책을 정확하게 표현합니다.
2) 2 점 게이트웨이 방화벽
이중 포트 호스트는 두 개의 인터페이스를 사용하여 각각 내부 및 외부 네트워크를 연결하고 두 네트워크 간의 직접 IP 메시지 교환을 격리합니다. 두 가지 액세스 제어 방법, 즉 프록시 서비스와 사용자 직접 로그인이 있습니다.
3) 호스트 필터링 방화벽
보안을 제공하는 요새 호스트는 인트라넷에만 연결되고, 인트라넷과 엑스트라넷은 필터 라우터를 통해 연결되며, 엑스트라넷은 요새 호스트에만 액세스할 수 있습니다. 더욱 안전하고 운영성이 뛰어납니다.
4) 서브넷 필터링 모드 방화벽: DMZ 모드 (비군사 지역 모드)
호스트 필터링을 기반으로 서브넷 필터링을 늘리고, 보루 호스트를 인트라넷에서 격리하며, 공격자가 보루 호스트를 침입한 후 인트라넷에 미치는 영향을 줄입니다.
5) 내부 방화벽
액세스 제어에서 신뢰 관계 전송을 방지하기 위해 대규모 네트워크에서 서브넷을 구분하는 데 사용됩니다.
(3) 방화벽 사용 문제
1) 복잡한 네트워크 상호 연결 형식을 만족시킬 수 있는 유연성이 부족합니다.
2) 방화벽은 네트워크 전송 방어에 중점을 두고 있으며 상위 계층 프로토콜의 보안을 보장하지 않습니다.
3) 방화벽은 반드시 라우팅의 관건에 설치해야 하며, 보안 도메인 내에 대체 우회 경로가 있어서는 안 된다.
4. 방화벽 관리
(1) 방화벽 로그: 보안 추적에 사용.
(2) 백업: 방화벽 시스템의 모든 구성 파일 및 시스템 파일.
넷. IP 방화벽
1. 작동 방식
(1) 다중 터미널 * * * 교환 장치, 메시지 헤더에 따라 필터링 규칙을 실행하여 메시지를 전달합니다.
(2) 전송 제어 테이블
1) 필터링 규칙을 정의하고 메시지가 규칙이 일치할 때까지 각 규칙을 차례로 적용한 다음 적절한 작업을 수행합니다.
2) 전송 제어 목록 구축: 보안 정책 → 공식 설명 → 방화벽 소프트웨어 구문 형식.
3) 필터링 규칙 개발: 규칙은 상호 배타적이지 않고 긴 접두사 일치가 우선입니다.
4) IP 방화벽 제품마다 전송 제어 테이블 형식이 다릅니다.
2. 메일 필터링 규칙
(1)SMTP 처리: 서버 포트 25, 클라이언트 포트 >; 1023
(2)POP 처리: 서버 포트 1 10, 클라이언트 포트 >; 1023
(3)HTTP 처리: 서버 포트 80, 클라이언트 포트 >; 1023
(4)FTP 처리: 서버 제어 연결 포트 2 1, 데이터 연결 포트 20 및 클라이언트 포트 >; 1023
(5)Tel 처리: 서버 포트 23, 클라이언트 포트 >; 1023
(6)DNS 처리: 서버 포트 53, 클라이언트 포트 >; 1023
(7)RPC 처리: 포트 매핑 서버 1 1 1, 안전하지 않은 환경에서 RPC 서비스를 제공하지 않습니다.
(8)UDP 처리: 제어 및 검증이 어렵고 UDP 메시지가 응용 계층 방화벽을 통해 거부됩니다.
(9)ICMP 처리: DOS 공격에 취약하며, ICMP 필터링의 범위는 네트워크의 관리 도메인에 따라 달라집니다.
(10) 라우팅 처리: 내부 라우팅 정보는 차단되어야 하고 외부 라우팅 정보는 차단되어야 합니다.
(1 1)IP 세그먼트 메시지 처리: 네트워크의 보안 요구 사항에 따라 필요한 경우 컨텍스트를 설정합니다.
(12)IP 터널: 오버헤드가 크기 때문에 IP 방화벽은 일반적으로 IP 터널을 필터링하지 않습니다.
3. 내부 라우팅 및 방화벽 혼합 구조
인트라넷은 라우터를 사용하여 내부 라우팅 및 외부 방화벽 기능을 모두 처리합니다. 이때 방화벽은 라우터의 포트에 맞게 정의되며 라우터의 각 포트에 대한 라우팅 테이블은 협조해야 합니다.
4.IP 방화벽 정책 제어
(1) 인증: 사용자의 id 를 확인합니다.
(2) 승인: 사용자가 요청된 자원에 액세스할 수 있는지 여부를 결정합니다.
5. 출처 id
(1) 대상: 자원 도용 및 서비스 실패 공격을 방지합니다.
(2) 검증 형태: 샘플링 검사
1) 현장 샘플링 검사 메시지 프로세스.
2) 전달과 동시에 배경 검사 샘플링을 수행합니다.
3) 샘플을 로그에 기록하고 사후 감사를 실시합니다.
(3) 인증 방법: 필터링 기준, 임시 비밀번호, 메시지 요약, 메시지 서명.
6.IP 방화벽 기술 평가
(1) 이점 (P 19 1)
(2) 존재하는 문제 (P 192)
동사 (verb 의 약어) 응용 프로그램 계층 방화벽
1. 기본 원칙
(1) 애플리케이션 프록시 서버를 사용하여 요새 호스트 내부 네트워크와 외부 네트워크 간의 메시지 교환을 제어합니다.
(2) 이점
1) 인트라넷 안팎의 특정 어플리케이션 서비스 사용을 효과적으로 통제하며, 매우 구체적이고 구체적입니다.
2) 내부 네트워크의 사용자 이름이 방화벽의 이름으로 대체되어 공격자가 대상을 찾기가 더 어려워집니다.
3) 과거의 조작은 검사하고 통제할 수 있어 안전하지 않은 행위를 금지할 수 있다.
4) 메시지 필터링 기능을 제공하여 전송 시간과 대역폭을 제어하는 방법을 제공합니다.
(3) 단점
1) 공통성이 없으므로 각 어플리케이션 프로토콜에 대해 서로 다른 프록시 서버를 구성해야 합니다.
2) 정상적인 클라이언트 소프트웨어를 적절히 조정하거나 수정해야 합니다.
3) 새로운 서비스의 출현과 해당 에이전트의 출현 사이에 큰 지연이 있어 새로운 안전하지 않은 요소가 되었다.
(4) 설계 원칙 (P 193)
1) 인트라넷이 외부 직접 IP 와 상호 작용하는 것을 허용하지 않으며 경계 방화벽이 필요합니다.
2) 내부 사용자가 외부 FTP 및 이메일을 시작할 수 있도록 허용하지만 프록시를 통해 감사할 수 있습니다.
3) 엑스트라넷 사용자는 신뢰할 수 없으며 인증 기능이 있어야합니다.
4) 내부 사용자가 사용하는 엑스트라넷 관련 서비스는 통제할 수 있어야 합니다.
5) 방화벽의 기능은 외부 네트워크에 액세스하는 것입니다.