컴퓨터 지식 네트워크 - 컴퓨터 프로그래밍 - 방화벽이란 무엇입니까? 무슨 소용이 있습니까?

방화벽이란 무엇입니까? 무슨 소용이 있습니까?

범주: 컴퓨터/네트워크

분석:

1. 방화벽이란 무엇입니까

방화벽이란 서로 다른 네트워크 (예: 신뢰할 수 있는 인트라넷 및 신뢰할 수 없는 공용 네트워크) 또는 네트워크 보안 도메인 사이에 설정된 일련의 구성 요소 조합입니다. 방화벽을 통과하는 데이터 흐름을 모니터링, 제한 및 변경함으로써 네트워크의 내부 정보, 구조 및 운영을 가능한 한 외부에서 차단하여 네트워크를 보호합니다.

논리적으로 방화벽은 내부 네트워크와 외부 네트워크 간의 모든 활동을 효과적으로 모니터링하여 내부 네트워크의 보안을 보장하는 분리기, 리미터 및 분석기입니다.

2. 방화벽 사용의 이점

취약한 서비스 보호

안전하지 않은 서비스를 걸러냄으로써 방화벽은 네트워크 보안을 크게 향상시키고 서브넷의 호스트 위험을 줄일 수 있습니다. 예를 들어, 방화벽은 NIS 및 NFS 서비스 통과를 금지할 수 있으며, 방화벽은 소스 라우팅과 ICMP 리디렉션 패킷을 모두 거부할 수 있습니다.

시스템 액세스 제어

방화벽은 시스템에 대한 액세스 제어를 제공합니다. 예를 들어 일부 호스트는 외부에서 액세스할 수 있지만 다른 호스트는 액세스할 수 없습니다. 예를 들어 방화벽을 통해 특정 메일 서버 및 웹 서버에 대한 외부 액세스를 허용합니다.

중앙 집중식 보안 관리

방화벽은 기업 인트라넷에 대한 중앙 집중식 보안 관리를 구현합니다. 방화벽에 정의된 보안 규칙은 인트라넷의 각 시스템에 대한 보안 정책을 설정하지 않고도 전체 인트라넷 시스템에 적용될 수 있습니다. 방화벽은 각 시스템에 특정 인증 소프트웨어를 설치하지 않고도 다른 인증 방법을 정의할 수 있습니다. 외부 사용자는 한 번만 인증하면 인트라넷에 액세스할 수 있습니다.

향상된 기밀성

방화벽을 사용하면 공격자가 Figer 및 DNS 와 같은 네트워크 시스템을 공격하는 데 유용한 정보를 얻지 못하게 할 수 있습니다.

네트워크 사용 데이터 및 불법 사용 데이터를 기록하고 통계합니다.

방화벽은 방화벽을 통한 네트워크 통신을 기록하고 통계하며, 네트워크 사용에 대한 통계를 제공하며, 방화벽은 가능한 공격과 탐지를 판단하는 통계를 제공합니다.

정책 집행

방화벽은 네트워크 보안 정책을 개발하고 구현하는 방법을 제공합니다. 방화벽을 설정하지 않은 경우 네트워크 보안은 각 호스트의 사용자에 따라 달라집니다.

3. 방화벽 유형

방화벽은 일반적으로 패킷 필터링, 애플리케이션 계층 게이트웨이 및 프록시 서버로 구분됩니다.

패킷 필터링

패킷 필터링 기술은 시스템에 설정된 필터링 논리에 따라 네트워크 계층에서 패킷을 선택하는 것입니다. 이러한 필터링 논리를 액세스 제어 테이블이라고 합니다. 데이터 스트림에 있는 각 패킷의 소스 주소, 대상 주소, 사용된 포트 번호, 프로토콜 상태 및 기타 요소 또는 조합을 확인하여 패킷 통과 허용 여부를 결정합니다. 패킷 필터링 방화벽 논리는 간단하고 저렴하며 설치와 사용이 쉽고 네트워크 성능과 투명성이 뛰어납니다. 일반적으로 라우터에 설치됩니다. 라우터는 내부 네트워크를 인터넷에 연결하는 데 필요한 장치이므로 기존 네트워크에 이러한 방화벽을 추가하는 데 추가 비용이 거의 들지 않습니다.

패킷 필터링 방화벽에는 두 가지 단점이 있습니다. 하나는 불법 액세스가 방화벽을 돌파하면 호스트의 소프트웨어와 구성 취약점을 공격할 수 있다는 것입니다. 둘째, 패킷의 소스 주소, 대상 주소, IP 포트 번호는 모두 패킷의 머리에 있으며 도청되거나 가장될 가능성이 높습니다.

애플리케이션 계층 게이트웨이

애플리케이션 계층 게이트웨이는 네트워크 애플리케이션 계층에 프로토콜 필터링 및 전달을 설정하는 기능입니다. 특정 네트워크 애플리케이션 서비스 프로토콜에 대해 지정된 데이터 필터링 논리를 사용하여 필터링과 동시에 패킷에 필요한 분석, 등록 및 통계를 수행하여 보고서를 작성합니다. 실제 어플리케이션 게이트웨이는 일반적으로 전용 워크스테이션 시스템에 설치됩니다.

패킷 필터링과 게이트웨이 방화벽 적용의 동일한 특징은 특정 논리에만 의존하여 패킷 통과 허용 여부를 결정한다는 것입니다. 논리가 충족되면 방화벽 안팎의 컴퓨터 시스템이 직접 연결되며 방화벽 외부의 사용자는 방화벽 내부의 네트워크 구조와 작동 상태를 직접 알고 불법 액세스와 공격에 도움이 될 수 있습니다.

이성적인 서비스를 대표하다

프록시 서비스는 링크 수준 게이트웨이 또는 TCP 채널이라고도 하며 애플리케이션 계층 게이트웨이로 분류되는 사람들도 있습니다. 패킷 필터링 및 게이트웨이 기술의 단점을 극복하기 위해 도입된 방화벽 기술입니다. 방화벽을 통과하는 모든 네트워크 통신 링크를 두 부분으로 나누는 것이 특징입니다. 방화벽 안팎의 컴퓨터 시스템 간 애플리케이션 계층' 링크' 는 두 대의 측 프록시 서버의' 링크' 를 통해 이루어지며, 외부 컴퓨터의 네트워크 링크는 프록시 서버에만 도달할 수 있으므로 방화벽 안팎의 컴퓨터 시스템을 격리하는 역할을 합니다. 또한 프록시 서비스는 과거 패킷을 분석, 등록 및 보고합니다. 동시에 공격의 징후를 발견하면 네트워크 관리자에게 경고를 보내고 공격의 흔적을 유지합니다.

4. 방화벽 요소 설정

네트워크 전략

방화벽 시스템의 설계, 설치 및 사용에 영향을 미치는 네트워크 정책은 두 단계로 나눌 수 있습니다. 고급 네트워크 정책은 허용 및 금지 서비스와 사용 방법을 정의합니다. 하위 수준 네트워크 정책은 방화벽이 고급 정책에 정의된 서비스를 제한하고 필터링하는 방법을 설명합니다.

서비스 액세스 정책

서비스 액세스 정책은 내부 액세스 서비스 및 외부 네트워크 액세스 (예: 전화 접속 정책, SLIP/PPP 연결 등) 에 중점을 둡니다. ). 서비스 액세스 전략은 실행 가능하고 합리적이어야 합니다. 실행 가능한 전략은 알려진 네트워크 위험을 방지하는 것과 사용자에게 서비스를 제공하는 것 사이에 균형을 이루어야 합니다. 일반적인 서비스 액세스 정책은 필요한 경우 향상된 인증을 받은 사용자가 인터넷에서 일부 내부 호스트 및 서비스에 액세스할 수 있도록 허용하는 것입니다. 내부 사용자가 지정된 내부 호스트 및 서비스에 액세스할 수 있도록 합니다.

방화벽 설계 정책

방화벽 설계 정책은 특정 방화벽을 기반으로 하며 서비스 액세스 정책을 완료하는 규칙을 정의합니다. 일반적으로 두 가지 기본 설계 전략이 있습니다. 즉, 명시적으로 금지하지 않는 한 모든 서비스를 허용합니다. 명시적으로 허용하지 않는 한 어떠한 서비스도 허용되지 않습니다. 첫 번째는 안전하지만 사용하기 어렵고, 두 번째는 사용하기 쉽지만 안전하지 않다. 일반적으로 두 번째 설계 전략을 사용합니다. 대부분의 방화벽은 둘 사이에 있습니다.

향상된 인증

Inter 에 대한 많은 침입은 취약한 기존 사용자/암호 메커니즘에서 비롯됩니다. 수년 동안 사용자들은 추측하고 해독하기 어려운 암호를 사용하라는 말을 들었다. 그럼에도 불구하고 공격자는 여전히 인터넷에서 전송된 암호문을 수신하여 기존의 암호 메커니즘을 허위로 만들었다. 향상된 인증 메커니즘으로는 스마트 카드, 인증 토큰, 생리적 특징 (지문) 및 소프트웨어 기반 (RSA) 기술이 있어 기존 암호의 약점을 극복할 수 있습니다. 많은 인증 기술이 있지만 향상된 인증 메커니즘을 사용하여 공격자가 재사용하기 어려운 암호와 키를 생성합니다. 현재 널리 사용되는 많은 향상 메커니즘은 일회용 유효 암호와 키 (예: 스마트 카드 및 인증 토큰) 를 사용합니다.

5. 대형 네트워크 시스템에 방화벽 배치

네트워크 시스템의 보안 요구 사항에 따라 방화벽을 다음 위치에 배치할 수 있습니다.

LAN 에서 VLAN 간의 정보 흐름을 제어할 때

Intra 와 Inter 간에 연결할 때 (엔터프라이즈 단위가 외부 네트워크에 연결될 때의 애플리케이션 게이트웨이).

WAN 시스템에서는 보안상의 이유로 본사의 LAN 이 각 지점의 LAN 을 안전하지 않은 시스템으로 간주할 수 있습니다. (공용 네트워크 ChinaPac, ChinaDDN, 프레임 릴레이 등을 통해 연결. ) 본사 LAN 이 각 지사에 연결될 때 방화벽을 통해 격리되어 VPN 을 통해 가상 사설망을 형성합니다.

본사 LAN 과 지사 LAN 은 Inter 연결을 통해 방화벽을 별도로 설치하고 NetScreen 의 VPN 을 사용하여 가상 사설망을 구성해야 합니다.

원격 사용자가 전화 접속 액세스를 할 때 가상 사설망에 가입합니다.

ISP 는 NetScreen 의 로드 밸런싱 기능을 활용하여 공용 액세스 서버와 클라이언트 사이에 방화벽을 추가하여 로드 공유, 액세스 제어, 사용자 인증, 트래픽 제어, 로깅 등의 기능을 제공합니다.

두 네트워크가 연결되면 NetScreen 하드웨어 방화벽은 게이트웨이 장치로 NAT (주소 변환), map (주소 매핑), DMZ (네트워크 격리) 및 액세스 보안 제어를 구현함으로써 기존 소프트웨어 방화벽의 병목 현상을 제거할 수 있습니다.

네트워크 시스템에서 방화벽의 역할

방화벽은 외부 침입을 효과적으로 방지하며 네트워크 시스템에서 다음과 같은 역할을 합니다.

네트워크에 들어오고 나가는 정보 흐름 및 패킷을 제어합니다.

사용 및 트래픽 기록 및 감사 제공

내부 IP 주소 및 네트워크 구조에 대한 세부 정보를 숨깁니다.

VPN 기능을 제공합니다.

上篇: 장범이 항저우 고위급 인재로 인정받는 것을 중단한 것에 대해 어떻게 생각하십니까? 下篇: 6대 글쓰기 소프트웨어 기능 설명, 온라인 작가들의 필수 코드워드 소프트웨어 가이드
관련 내용