메인스트림 네트워크 보안 기술의 모든 측면 개요 1. 네트워크 보안의 개념인 ISO (International Organization for Standardization) 는 데이터 처리 시스템을 위한 기술 및 관리 보안을 설정하여 컴퓨터 하드웨어, 소프트웨어 및 데이터를 사고 및 악의적인 원인으로부터 보호합니다. 따라서 컴퓨터 네트워크의 보안은 네트워크 데이터의 가용성, 무결성 및 기밀성을 보장하기 위해 다양한 기술 및 관리 조치를 취함으로써 네트워크 시스템이 제대로 작동할 수 있도록 하는 것으로 이해할 수 있습니다. 따라서 네트워크 보안 조치는 네트워크를 통해 전송 및 교환되는 데이터가 추가, 수정, 손실 및 유출되지 않도록 하기 위한 것입니다. 둘째, 인터넷에 존재하는 주요 보안 위험. 인터넷의 보안 위험은 주로 다음과 같은 측면에 나타난다: 1. 인터넷은 통제 메커니즘이 없는 개방형 네트워크이다. 해커는 종종 네트워크의 컴퓨터 시스템을 침입하거나, 기밀 데이터를 훔치고, 권한을 훔치거나, 중요한 데이터를 파괴하거나, 마비될 때까지 시스템 기능을 충분히 발휘하지 못하게 한다. 2. 인터넷 데이터 전송은 전송 중 정보 도난을 방지하는 보안 조치가 부족한 TCP/IP 통신 프로토콜을 기반으로 합니다. 3. 인터넷상의 대부분의 통신 서비스는 유닉스 운영 체제에서 지원되며 유닉스 운영 체제의 명백한 보안 취약점은 보안 서비스에 직접적인 영향을 미칩니다. 4. 컴퓨터에 저장, 전송, 처리한 전자정보는 전통적인 메일통신처럼 봉투 보호, 서명, 도장을 찍지 않았다. 정보원과 행방이 사실인지, 내용이 바뀌었는지, 유출되었는지 등. , 응용 프로그램 계층에서 지원하는 서비스 계약의 신사 계약에 의해 유지 관리됩니다. 이메일은 읽고, 오발하고, 위조될 가능성이 있다. 중요한 기밀 정보를 이메일로 전달하는 것은 매우 위험하다. 6. 컴퓨터 바이러스가 인터넷을 통해 퍼지면서 네티즌에게 큰 피해를 주었다. 바이러스는 컴퓨터와 컴퓨터 네트워크 시스템을 마비시키고 데이터와 파일을 잃을 수 있습니다. 인터넷을 통해 전파되는 바이러스는 공개 익명 FTP 파일 또는 메일 및 메일 첨부 파일을 통해 전파될 수 있습니다. 셋째, 네트워크 보안 예방 조치의 내용 안전한 컴퓨터 네트워크는 신뢰성, 가용성, 무결성, 기밀성 및 진실성의 특징을 가져야 합니다. 컴퓨터 네트워크는 컴퓨터 네트워크 장치와 컴퓨터 네트워크 시스템의 안전뿐만 아니라 데이터 보안도 보호해야 한다. 따라서 컴퓨터 네트워크 자체에 존재할 수 있는 보안 문제에 대해 네트워크 보안 보호 방안을 실시하여 컴퓨터 네트워크 자체의 보안을 보장하는 것은 모든 컴퓨터 네트워크가 진지하게 받아들여야 할 중요한 문제입니다. 사이버 보안 예방에는 두 가지 주요 측면이 있습니다. 하나는 컴퓨터 바이러스이고 다른 하나는 해커 범죄입니다. 컴퓨터 바이러스는 우리가 잘 알고 있는 파괴적인 프로그램으로, 컴퓨터 시스템과 네트워크의 안전을 위태롭게 한다. 해커 범죄란 개인이 컴퓨터 첨단 기술을 이용하여 비밀번호를 훔치고 다른 사람의 컴퓨터 네트워크를 침입하고, 정보를 불법적으로 획득하고, 은행 자금을 불법으로 이전하고, 쇼핑을 위해 다른 사람의 은행 계좌를 훔치는 등 권한을 훔치는 것을 말한다. 사이버 경제의 발전과 전자 상거래의 발전에 따라 해커의 침입을 방지하고 온라인 거래의 안전을 효과적으로 보호하는 것은 개인 자금과 상가 상품의 안전뿐만 아니라 국가의 경제 안보와 국가 경제 질서의 안정에 관한 것이므로, 각급 조직과 부서는 반드시 매우 중시해야 한다. 넷. 네트워크 보안을 보장하는 주요 기술 1, 방화벽 기술 네트워크 방화벽 기술은 네트워크 간 액세스 제어를 강화하고, 엑스트라넷 사용자가 인트라넷을 통해 불법으로 인트라넷에 진입하는 것을 방지하며, 인트라넷 리소스에 액세스하고, 인트라넷 운영 환경을 보호하는 전용 네트워크 상호 연결 장치입니다. 특정 보안 정책에 따라 두 개 이상의 네트워크 간에 전송되는 패킷 (예: 링크 모드) 을 검사하여 네트워크 간 통신을 허용할지 여부를 결정하고 네트워크 작동 상태를 모니터링합니다. 현재 방화벽 제품에는 주로 요새 호스트, 패킷 필터 라우터, 애플리케이션 계층 게이트웨이 (프록시 서버), 회로 계층 게이트웨이, 차폐 호스트 방화벽, 이중 호스트 등이 있습니다. 방화벽은 5 계층 네트워크 보안 시스템의 하단에 있으며 네트워크 계층 보안 기술의 범주에 속합니다. 네트워크 간 보안 인증 및 전송을 담당하지만, 네트워크 보안 기술의 전반적인 발전과 네트워크 어플리케이션의 변화에 따라 현대 방화벽 기술은 네트워크 계층 이외의 다른 보안 수준으로 점차 이동하고 있습니다. 기존 방화벽의 필터링 작업뿐만 아니라 다양한 네트워크 애플리케이션에 적합한 보안 서비스를 제공해야 합니다. 또한 다양한 방화벽 제품이 데이터 보안 및 사용자 인증 방향으로 발전하여 바이러스와 해커의 침입을 막고 있습니다. 방화벽이 사용하는 기술에 따라 패킷 필터링, 네트워크 주소 변환 -NAT, 에이전트 및 모니터링의 네 가지 기본 유형으로 나눌 수 있습니다. 구체적으로 (1) 패킷 필터링 제품은 방화벽의 초급 제품이며 네트워크의 패킷 전송 기술을 기반으로 합니다. 네트워크의 데이터는 패킷으로 전송되며, 데이터는 일정 크기의 패킷으로 나뉘며, 각 패킷에는 데이터의 소스 주소, 대상 주소, TCP/UDP 소스 포트, 대상 포트 등과 같은 특정 정보가 포함됩니다. 방화벽은 패킷의 주소 정보를 읽어 이러한 "패킷" 이 신뢰할 수 있는 보안 사이트에서 나온 것인지 여부를 확인할 수 있습니다. 위험한 사이트의 패킷이 발견되면 방화벽이 이를 거부합니다. 시스템 관리자도 실제 상황에 따라 판단 규칙을 유연하게 정할 수 있다. 패킷 필터링 기술의 장점은 간단하고 실용적이며 구현 비용이 낮다는 것입니다. 애플리케이션 환경이 간단한 경우 적은 비용으로 시스템 보안을 어느 정도 보장할 수 있습니다. 하지만 패킷 필터링 기술의 결함도 뚜렷하다. 패킷 필터링 기술은 패킷의 출처, 목적, 포트 등의 네트워크 정보로만 판단할 수 있는 완전한 네트워크 계층 기반 보안 기술로서 악의적인 Java 애플릿, 메시지에 첨부된 바이러스 등과 같은 애플리케이션 계층 기반 악의적인 침입을 인식하지 못합니다. 경험 많은 해커는 쉽게 IP 주소를 위조하고 패킷 필터링 방화벽을 속일 수 있다. (2) 네트워크 주소 변환 -NAT 네트워크 주소 변환은 IP 주소를 임시, 외부 및 등록된 IP 주소로 변환하는 표준입니다. 개인 IP 주소를 가진 내부 네트워크에서 인터넷에 액세스할 수 있습니다. 즉, 사용자가 네트워크의 각 시스템에 대한 등록 IP 주소를 얻을 수 없습니다. NAT 는 인트라넷이 보안 네트워크 카드를 통해 엑스트라넷에 액세스할 때 매핑 레코드를 생성하는 방식으로 작동합니다. 시스템은 송신 소스 주소와 소스 포트를 위장 주소와 포트에 매핑하고 안전하지 않은 네트워크 카드를 통해 위장 주소와 포트를 외부 네트워크에 연결하여 실제 인트라넷 주소를 외부에 숨깁니다. 엑스트라넷이 안전하지 않은 네트워크 카드를 통해 인트라넷에 액세스할 때는 인트라넷의 연결을 알지 못하고 개방형 IP 주소와 포트를 통해서만 액세스를 요청합니다. OLM 방화벽은 미리 정의된 매핑 규칙에 따라 액세스가 안전한지 여부를 결정합니다. 규칙을 준수할 때 방화벽은 액세스가 안전하다고 생각하여 액세스 요청을 수락하거나 연결 요청을 다른 내부 컴퓨터에 매핑할 수 있습니다. 규칙을 준수하지 않을 경우 방화벽은 액세스가 안전하지 않고 용납할 수 없다고 판단하며 방화벽은 외부 연결 요청을 마스킹합니다. 네트워크 주소 변환 프로세스는 사용자에게 투명하며 사용자가 설정할 필요가 없습니다. 일반적인 작업만 하면 됩니다. (3) 프록시 방화벽은 프록시 서버라고도 할 수 있으며 패킷 필터링 제품보다 더 안전하며 애플리케이션 계층으로 발전하기 시작했습니다. 프록시 서버는 클라이언트와 서버 사이에 위치하여 둘 사이의 데이터 교환을 완전히 차단합니다. 클라이언트 관점에서 볼 때 프록시 서버는 실제 서버와 같습니다. 서버 관점에서 프록시 서버는 실제 클라이언트입니다. 클라이언트가 서버의 데이터를 사용해야 할 경우 먼저 프록시 서버에 데이터 요청을 보낸 다음 프록시 서버가 이 요청에 따라 서버에 데이터를 요청한 다음 프록시 서버가 데이터를 클라이언트로 전송합니다. 외부 시스템과 내부 서버 사이에 직접적인 데이터 채널이 없기 때문에 외부 악성 침해는 기업 내부 네트워크 시스템에 해를 끼치기 어렵다. 프록시 방화벽의 장점은 보안이 높고 애플리케이션 계층을 감지하고 검색할 수 있어 애플리케이션 계층 기반 침입 및 바이러스에 매우 효과적입니다. 단점은 시스템의 전체 성능에 큰 영향을 미치며 클라이언트가 생성할 수 있는 모든 응용 프로그램 유형에 대해 프록시 서버를 하나씩 설정해야 하기 때문에 시스템 관리의 복잡성이 크게 증가한다는 것입니다. (4) 방화벽 모니터링은 차세대 제품이며, 이 기술은 사실상 방화벽의 초기 정의를 뛰어넘었다. 방화벽을 모니터링하면 다양한 계층의 데이터를 실시간으로 사전 예방적으로 모니터링할 수 있습니다. 이러한 데이터의 분석을 바탕으로 모니터링 방화벽은 각 계층의 불법 침입을 효과적으로 판단할 수 있습니다. 한편, 방화벽 제품을 탐지하는 데는 일반적으로 다양한 애플리케이션 서버 및 기타 네트워크 노드에 설치되는 분산 감지 장치가 있어 네트워크 외부의 공격을 감지할 수 있을 뿐만 아니라 내부로부터의 악의적인 파괴에도 강력한 예방 효과가 있습니다. 권위 기관 통계에 따르면 인터넷 시스템에 대한 공격의 상당 비율은 인터넷 내부에서 나온 것으로 나타났다. 따라서 모니터링 방화벽은 기존 방화벽의 정의뿐만 아니라 보안상 이전 두 세대 제품도 능가합니다. 모니터링 방화벽의 보안이 패킷 필터링 방화벽 및 프록시 서버 방화벽을 능가하고 있지만 모니터링 방화벽 기술 구현 비용이 높고 관리가 어렵기 때문에 현재 2 세대 프록시 방화벽 제품은 여전히 주요 제품이지만 모니터링 방화벽도 일부 방면에서 사용되고 있습니다. 시스템 비용과 보안 기술 비용의 포괄적인 고려 사항에 따라 일부 모니터링 기술을 선택적으로 사용할 수 있습니다. 이렇게 하면 네트워크 시스템의 보안 요구 사항을 보장할 수 있을 뿐만 아니라 보안 시스템의 총소유비용 (TCO) 을 효과적으로 제어할 수 있습니다. 방화벽은 해커의 공격으로부터 네트워크를 보호하는 효과적인 수단이지만 방화벽 외부의 다른 경로로부터의 공격을 막을 수 없고, 내부 탈북자와 임시 사용자의 위협을 막을 수 없고, 감염된 소프트웨어나 파일의 전파를 완전히 막을 수 없고, 데이터 기반 공격을 막을 수 없다는 점도 눈에 띈다. 참고 자료: