방화벽 분류 및 주요 기술?
방화벽은 다음 두 가지 개념 중 하나를 사용하여 방화벽이 따라야 하는 표준을 정의할 수 있습니다.
첫째, 설명 없이 허용된 것은 거절당했다. 방화벽은 모든 흐름 정보를 차단하며 각 서비스 요청 또는 어플리케이션의 구현은 항목별 검토를 기반으로 합니다. 이것은 매우 안전한 환경을 만드는 권장 방법입니다. 물론 이 개념의 단점은 보안을 지나치게 강조하고, 사용 편의성을 약화시키고, 사용자가 신청할 수 있는 서비스 수를 제한하는 것이다.
둘째, 거부를 선언하지 않은 것은 허용된다. 약속된 방화벽은 항상 모든 정보를 전송합니다. 즉, 모든 잠재적 위험은 항상 항목별 감사를 기반으로 제거할 수 있습니다. 물론, 이 개념의 단점은 가용성을 보안보다 더 중요한 위치에 두고 사설망 안전을 보장하는 데 어려움을 가중시킨다는 것이다.
2, 기업 네트워크 보안 전략
엔터프라이즈 네트워크에서 방화벽은 글로벌 보안 정책의 일부여야 하며 방화벽을 구축할 때 먼저 보호 범위를 고려해야 합니다. 기업 네트워크의 보안 전략은 상세한 보안 분석, 포괄적인 위험 가정 및 비즈니스 요구 사항 분석을 바탕으로 수립해야 합니다.
방화벽의 기본 개념
방화벽은 인트라넷과 인터넷 간에 특정 보안 정책을 구현하는 시스템 또는 시스템 그룹입니다.
효과적인 방화벽은 인터넷을 통해 들어오고 나가는 모든 정보가 방화벽을 통과할 수 있도록 해야 합니다. 방화벽을 통과하는 모든 정보를 확인해야 합니다.
인터넷 방화벽의 기능은 다음과 같습니다. 방화벽을 통해 외래 침입을 방지하는 키를 정의할 수 있습니다. 네트워크 보안 모니터링, 비정상적인 경우 경고 프롬프트, 특히 대량의 정보가 통과될 경우 검사 외에 로그 등록도 수행합니다. NAT (network address translation) 기능을 제공하여 IP 주소 자원의 부족을 완화하고 인트라넷이 ISP 를 교체할 때 번호를 다시 매기는 번거로움을 방지합니다. 방화벽은 인터넷 사용을 질의하거나 등록할 수 있으며, 인터넷 연결 비용과 잠재적 대역폭 병을 확인하여 비용 소비를 기업 내부 재무 모델에 맞출 수 있습니다. 방화벽은 고객에게 서비스를 제공하는 이상적인 장소입니다. 즉, 인터넷 사용자가 이러한 서비스에만 액세스할 수 있도록 적절한 WWW 및 FTP 서비스를 구성할 수 있고, 네트워크를 보호하는 다른 시스템에는 액세스할 수 없습니다.
4. 방화벽 분류 및 기능
기존 방화벽은 패킷 필터링, 프록시 서버, 복합 및 기타 유형 (이중 호스트, 호스트 필터링 및 암호화 라우터) 방화벽입니다.
패킷 필터링은 일반적으로 라우터에 설치되며 대부분의 상용 라우터는 패킷 필터링 기능을 제공합니다. 패킷 필터링 규칙은 IP 패킷 정보를 기준으로 IP 소스 주소, 대상 주소, 캡슐화 프로토콜, 포트 번호 등을 필터링합니다. 패킷 필터링은 네트워크 계층에서 수행됩니다.
프록시 서비스 방화벽은 일반적으로 서버측 프로그램과 클라이언트 프로그램의 두 부분으로 구성됩니다. 클라이언트 프로그램은 프록시 서버에 연결되며 프록시 서버는 실제로 서비스를 제공하는 서버에 연결됩니다. 패킷 필터링 방화벽과 달리 내부 및 외부 네트워크 간에는 직접 연결이 없으며 프록시 서버는 로그 및 감사 서비스를 제공합니다.
Hybfid 방화벽은 패킷 필터링과 프록시 서비스를 결합하여 Bastion 호스트에서 제공하는 새로운 방화벽을 형성합니다.
다양한 방화벽 라우터 및 호스트는 구성 및 기능에 따라 다양한 유형의 방화벽을 구성할 수 있습니다. 주로 Dua 1-homed host 방화벽, 요새 호스트를 게이트웨이로 사용하여 방화벽 소프트웨어를 실행하고 내부 및 외부 네트워크 간의 통신은 요새 호스트를 통과해야 합니다. 차폐 호스트 방화벽은 외부 네트워크에 패킷 필터링 라우터를 연결하고 인트라넷에 요새 호스트를 설치하여 외부 네트워크에 도달할 수 있는 유일한 노드가 되도록 함으로써 외부 권한이 없는 사용자가 인트라넷을 공격하지 않도록 하는 것을 말합니다. Encryptinn 라우터, 라우터를 통한 정보 흐름을 암호화한 다음 엑스트라넷을 통해 대상으로 전송하여 압축을 풀고 해독합니다.
다양한 방화벽의 기본 기능, 기능 및 단점.
일반적인 방화벽에는 패킷 필터링 라우터, 애플리케이션 계층 게이트웨이 (또는 프록시 서버) 및 링크 계층 게이트웨이 중 하나 이상의 모듈이 포함되어야 합니다.
1, 패킷 필터링 라우터
패킷 필터링 라우터는 수신된 각 패킷을 허용/거부할지 여부를 결정합니다. 특히 패킷 필터링 규칙에 따라 각 데이터그램의 헤드를 결정하고, 규칙과 일치하는 패킷은 라우팅 테이블 정보에 따라 계속 전달되며, 그렇지 않으면 폐기됩니다.
서비스 관련 필터링은 대부분의 서비스 모니터링이 특정 TCP 에 상주하기 때문에 특정 서비스 기반 패킷 필터링을 의미합니다. UDP 포트를 사용하면 특정 서비스에 대한 모든 연결을 차단하기 위해 라우터는 특정 TCP/UDP 대상 포트가 포함된 모든 패킷을 버리기만 하면 됩니다.
서비스 필터링과는 별도로 사기성 소스 IP 주소 공격 (패킷에 잘못된 내부 시스템 소스 IP 주소가 포함되어 있으며 마스킹된 후 신뢰할 수 있는 내부 호스트에서 온 것 같습니다. 이때 필터링 규칙은 내부 소스 IP 주소의 패킷이 라우터의 외부 인터페이스에 도달하면 폐기된다는 것입니다. ), 소스 라우팅 공격, 작은 조각 공격 (침입자는 IP 분할 기술을 사용하여 패킷을 작은 조각으로 분할한 다음 TCP 보고 헤더의 정보를 패킷의 작은 조각에 삽입합니다. 필터링 규칙은 모든 TCP 프로토콜 유형 및 IP 프레임 오프셋이 1 인 패킷을 폐기하는 것입니다. 이런 온라인 공격은 바오터우 정보에만 의존하는 것은 식별하기 어렵다는 것을 알 수 있다. 이때 라우터는 라우팅 테이블을 확인하고, IP 선택을 지정하고, 지정된 프레임 오프셋을 검사하여 얻을 수 있는 기존 필터링 규칙에 추가 조건을 추가해야 합니다.
패킷 필터링 라우터의 장점은 대부분의 방화벽이 무상태형 패킷 필터링 라우터로 구성되어 있어 패킷 필터링을 구현하는 데 비용이 거의 들지 않는다는 점입니다. 또한 사용자 및 애플리케이션에 영향을 미치지 않으므로 호스트마다 특정 소프트웨어를 설치할 필요가 없으므로 사용이 더욱 편리합니다.
패킷 필터링 라우터의 한계는 패킷 필터링 정의는 복잡한 작업이며, 네트워크 관리자는 다양한 인터넷 서비스, 패킷 형식 및 각 도시에서 찾고자 하는 발생에 대해 충분히 이해해야 한다는 것입니다. 복잡한 필터링 요구 사항에 직면하여 필터링 규칙은 길고 복잡한 집합이며, 이해하고 관리하기가 어렵고, 규칙의 정확성을 테스트하기가 어렵습니다. 라우터를 직접 통과하는 패킷은 데이터 기반 공격을 시작하는 데 사용될 수 있습니다. 필터 수가 증가하면 라우터 패킷의 처리량이 감소하고 CPU 시간이 더 많이 소비되어 시스템 성능에 영향을 줍니다. 또한 IP 패킷 필터링은 특정 서비스를 허용하거나 거부할 수 있지만 특정 서비스의 내용이나 데이터를 이해할 수 없기 때문에 효과적인 흐름 제어가 어렵습니다.