네트워크 방화벽을 추천해 주세요. 요구 사항은 다음과 같습니다.
방화벽의 기능은 다음과 같습니다.
1. 안전하지 않은 서비스와 불법 사용자를 필터링합니다.
2. 특별 웹 사이트에 대한 액세스 제어
3. 인터넷 보안 모니터링 및 경보를 위한 편리한 터미널을 제공합니다.
인터넷의 개방성으로 인해 여러 가지 예방 기능을 갖춘 방화벽에도 몇 가지 무방비 상태가 있습니다.
1, 방화벽은 방화벽을 통과하지 않는 공격을 막을 수 없습니다. 예를 들어, 보호된 네트워크 내에서 무제한 전화 접속을 허용하면 일부 사용자는 인터넷에 직접 연결하여 방화벽을 우회하여 잠재적인 백도어 공격 채널을 형성할 수 있습니다.
2. 방화벽은 바이러스에 감염된 소프트웨어나 파일의 전송을 막을 수 없습니다. 이렇게 하면 각 호스트에만 바이러스 백신 소프트웨어를 설치할 수 있습니다.
방화벽은 데이터 기반 공격을 막을 수 없습니다. 무해해 보이는 일부 데이터가 인터넷 호스트로 우송되거나 복사되어 공격을 시작할 때 데이터 기반 공격이 발생합니다.
따라서 방화벽은 전체 보안 정책의 일부일 뿐입니다. 이 보안 정책에는 사용자가 자신의 책임, 직원 교육 프로그램 및 네트워크 액세스, 로컬 및 원격 사용자 인증, 전화 접속 및 전화 접속, 디스크 및 데이터 암호화, 바이러스 보호와 관련된 정책을 이해할 수 있도록 개방형 보안 가이드가 포함되어야 합니다.
방화벽의 특징
일반 방화벽에는 다음과 같은 특징이 있습니다.
1. 광범위한 서비스 지원: 인증, WWW 브라우저, HTTP 서버, FTP 등과 동적 및 어플리케이션 수준 필터링 기능을 결합함으로써. 실현될 수 있습니다.
2. 개인 데이터에 대한 암호화 지원: 가상 사설 네트워크와 인터넷을 통한 비즈니스 활동이 손상되지 않도록 합니다.
3. 고객 인증은 지정된 사용자만 내부 네트워크에 액세스하거나 서비스를 선택할 수 있도록 허용합니다. 기업 로컬 네트워크와 지사, 비즈니스 파트너 및 모바일 사용자 간의 보안 통신의 추가 부분
4. 부정 방지: 사기는 외부에서 네트워크 액세스를 얻는 일반적인 수단으로, 패킷을 네트워크 내부에서 온 것처럼 보이게 합니다. 방화벽은 이러한 패킷을 모니터링하고 폐기할 수 있습니다.
5.C/S 모드 및 크로스 플랫폼 지원: 한 플랫폼에서 실행되는 관리 모듈은 다른 플랫폼에서 실행되는 모니터링 모듈을 제어할 수 있습니다.
방화벽 구현 기술
방화벽 구현은 패킷 필터링과 애플리케이션 계층 게이트웨이의 두 가지 유형으로 나눌 수 있습니다.
패킷 필터링은 IP 계층에서 이루어지므로 라우터에서만 수행할 수 있습니다. 메시지 필터링은 소스 IP 주소, 대상 IP 주소, 소스 포트, 대상 포트, 메시지 전송 방향 등의 헤더 정보를 기준으로 메시지 통과를 허용할지 여부를 결정합니다. 메시지 데이터 영역의 내용을 분석하는 스마트 메시지 필터도 있습니다.
메일 필터는 CPU 가 메일 필터링을 처리하는 데 걸리는 시간을 무시할 수 있기 때문에 널리 사용됩니다. 또한 이러한 보호 조치는 사용자에게 투명하며, 합법적인 사용자는 네트워크에 출입할 때 그 존재를 전혀 느끼지 못하여 사용하기가 매우 편리하다. 메시지 필터링의 또 다른 주요 약점은 사용자 수준에서 필터링할 수 없다는 것입니다. 즉, 다른 사용자를 인식하지 못하고 IP 주소 도용을 방지합니다. 공격자가 자신의 호스트의 IP 주소를 합법적인 호스트의 IP 주소로 설정하면 패킷을 통해 쉽게 필터링할 수 있습니다.
응용 프로그램 계층 게이트웨이는 메시지 필터링의 약점을 해결할 수 있습니다. 응용 프로그램 계층 방화벽에는 여러 가지 구현 방법이 있습니다. 다음은 여러 응용 계층 방화벽의 설계 및 구현입니다.
1. 응용 프로그램 게이트웨이 에이전트
네트워크 응용 프로그램 계층에서 권한 확인 및 프록시 서비스를 제공합니다. 외부 호스트가 보호된 네트워크에 액세스하려고 할 때 먼저 방화벽에서 인증해야 합니다. 인증 후 방화벽은 네트워크용으로 특별히 설계된 프로그램을 실행하여 외부 호스트를 내부 호스트에 연결합니다. 이 과정에서 방화벽은 사용자가 액세스하는 호스트, 액세스 시간 및 액세스 방식을 제한할 수 있습니다. 마찬가지로, 보호된 네트워크의 사용자가 엑스트라넷에 액세스할 경우 먼저 방화벽에 로그인한 다음 인증을 받아야 액세스할 수 있습니다.
게이트웨이 에이전트를 적용하면 내부 IP 주소를 숨기고 개별 사용자에게 권한을 부여할 수 있다는 장점이 있습니다. 공격자가 합법적인 IP 주소를 도용하더라도 엄격한 인증을 통과하지 못합니다. 따라서 응용 프로그램 게이트웨이는 메시지 필터링보다 더 높은 보안을 제공합니다. 하지만 이런 인증은 응용 프로그램 게이트웨이를 불투명하게 만들고 사용자가 연결할 때마다 인증해야 하기 때문에 사용자에게 많은 불편을 안겨 줍니다. 이 에이전트 기술은 각 응용 프로그램에 대한 전용 프로그램을 작성해야 합니다.
2. 루프 수준 프록시 서버
즉, 다양한 프로토콜에 적용되는 일반적인 프록시 서버이지만 응용 프로그램 프로토콜을 해석할 수 없으며 다른 방법으로 정보를 얻어야 합니다. 따라서 루프 수준 프록시 서버는 일반적으로 사용자 프로그램을 수정해야 합니다.
소켓 서버는 루프 수준 프록시 서버입니다. 소켓은 네트워크 응용 프로그램 계층의 국제 표준입니다. 보호되는 네트워크의 클라이언트가 외부 네트워크와 정보를 교환해야 하는 경우 방화벽의 suite 서버는 클라이언트의 사용자 ID, IP 소스 주소 및 IP 대상 주소를 확인하고 확인 후 suite 서버가 외부 서버와 연결을 설정합니다. 사용자에게 보호된 네트워크와 외부 네트워크 간의 정보 교환은 투명하며 방화벽이 없습니다. 네트워크 사용자는 방화벽에 로그인할 필요가 없기 때문입니다. 그러나 클라이언트 애플리케이션 소프트웨어는' Socketsified API' 를 지원해야 하며, 보호되는 네트워크 사용자가 공용 네트워크에 액세스하는 데 사용하는 IP 주소도 방화벽의 IP 주소입니다.
3. 관리 서버
호스팅 서버 기술은 FTP, 텔넷 등 안전하지 않은 서비스를 방화벽에 배치하여 서버 역할을 하고 외부 요청에 응답할 수 있도록 하는 것입니다. 관리 서버 기술은 애플리케이션 계층 에이전트 구현에 비해 각 서비스에 대한 프로그램을 작성할 필요가 없습니다. 또한 보호되는 네트워크의 사용자가 엑스트라넷에 액세스하려면 먼저 방화벽에 로그인한 다음 외부에 요청을 해야 합니다. 이렇게 하면 엑스트라넷 내부에서만 방화벽을 볼 수 있으므로 내부 주소가 숨겨지고 보안이 향상됩니다.
4, IP 채널 (IP 터널)
대기업의 두 자회사가 멀리 떨어져 있다면 인터넷을 통해 소통한다. 이 경우 IP 터널을 사용하여 해커가 인터넷상의 정보를 가로채는 것을 방지하여 인터넷에 가상 기업 네트워크를 형성할 수 있습니다.
5.NAT 네트워크 주소 변환.
보호 네트워크가 인터넷에 연결될 때 보호 네트워크 사용자는 유효한 IP 주소를 사용하여 인터넷에 액세스해야 합니다. 그러나 합법적인 인터넷 IP 주소가 제한되어 있고 보호되는 네트워크에는 종종 자체 IP 주소 계획 (비공식 IP 주소) 이 있습니다. 네트워크 주소 변환기는 방화벽에 유효한 IP 주소 세트를 설치하는 것입니다. 내부 사용자가 인터넷에 액세스하려고 할 때 방화벽은 주소 세트에서 할당되지 않은 주소를 동적으로 선택하여 사용자에게 할당함으로써 사용자가 이 합법적인 주소를 사용하여 통신할 수 있도록 합니다. 또한 일부 내부 서버 (예: 웹 서버) 의 경우 네트워크 주소 변환기를 통해 고정 법적 주소를 할당할 수 있습니다. 외부 네트워크 사용자는 방화벽을 통해 내부 서버에 액세스할 수 있습니다. 이 기술은 소량의 IP 주소와 대량의 호스트 간의 갈등을 완화할 뿐만 아니라 내부 호스트의 IP 주소를 숨기고 보안을 강화합니다.
6. 분할된 도메인 이름 서버를 분리합니다.
이 기술은 방화벽을 통해 보호 네트워크의 도메인 이름 서버를 외부 도메인의 도메인 이름 서버와 격리시켜 외부 도메인의 도메인 이름 서버가 방화벽의 IP 주소만 볼 수 있도록 하고 보호 네트워크의 구체적인 상황을 알 수 없도록 하는 기술입니다. 따라서 보호 네트워크의 IP 주소는 외부 네트워크에 알려지지 않습니다.
7, 메일 기술 (메일 전달)
방화벽이 이러한 기술을 사용하여 외부 네트워크가 방화벽의 IP 주소와 도메인 이름만 알 수 있도록 하면 외부 네트워크에서 보낸 메일은 방화벽으로만 보낼 수 있습니다. 이때 방화벽에서 메시지를 확인합니다. 방화벽은 메시지의 소스 호스트가 통과를 허용하는 경우에만 메시지의 대상 주소를 변환하여 내부 메일 서버로 전송하여 전달합니다.
방화벽 아키텍처 및 조합
1, 필터 라우터
이것은 방화벽의 가장 기본적인 구성 요소입니다. 공급업체가 특별히 생산한 라우터 또는 호스트를 통해 구현할 수 있습니다. 마스크 라우터는 내부 및 외부 연결에 대한 유일한 채널로 모든 메시지가 여기에서 검사를 통과해야 합니다. 라우터는 IP 계층 기반 패킷 필터링 소프트웨어를 설치하여 패킷 필터링 기능을 구현할 수 있습니다. 많은 라우터에는 자체 패킷 필터링 구성 옵션이 있지만 일반적으로 간단합니다.
차폐 라우터로 구성된 방화벽의 위험 영역에는 라우터 자체와 라우터가 액세스할 수 있는 호스트만 포함됩니다. 단점은 일단 함락되면 발견하기 어렵고 다른 사용자를 식별할 수 없다는 것이다.
2. 이중 소유 게이트웨이
이 구성에서는 두 개의 네트워크 카드가 있는 요새 호스트를 방화벽으로 사용합니다. 두 개의 네트워크 카드가 각각 보호 네트워크와 외부 네트워크에 연결되어 있습니다. 요새 호스트에서 실행되는 방화벽 소프트웨어는 응용 프로그램을 전달하고 서비스를 제공할 수 있습니다.
차폐 라우터에 비해 이중 cave 호스트 게이트웨이의 장점은 요새 호스트의 시스템 소프트웨어를 사용하여 시스템 로그, 하드웨어 복제본 로그 또는 원격 로그를 유지 관리할 수 있다는 것입니다. 이것은 앞으로의 검사에 매우 유용하다. 그러나 네트워크 관리자가 인트라넷의 어떤 호스트가 해커에 의해 공격당할 수 있는지 확인하는 데 도움이 되지는 않습니다.
이중 입구 호스트 게이트웨이의 치명적인 약점 중 하나는 침입자가 요새 호스트를 침입하여 라우팅 기능만 갖추면 모든 온라인 사용자가 인트라넷에 자유롭게 액세스할 수 있다는 것입니다.
3. 호스트 게이트웨이 마스킹
차폐 호스트 게이트웨이는 구현하기 쉽고 안전하기 때문에 널리 사용되고 있습니다. 예를 들어, 패킷 필터링 라우터는 외부 네트워크에 연결되고 요새 호스트는 내부 네트워크에 설치됩니다. 일반적으로 라우터에 필터링 규칙을 설정하면 이 요새 호스트는 외부 네트워크에서 직접 액세스할 수 있는 유일한 호스트가 되어 무단 외부 사용자가 인트라넷을 공격하지 않도록 합니다.
보호되는 네트워크가 가상 확장 LAN 인 경우, 즉 서브넷과 라우터가 없는 경우 인트라넷의 변경 사항은 요새 호스트와 차폐 라우터의 구성에 영향을 주지 않습니다. 위험 영역은 요새 호스트 및 차폐 라우터로 제한됩니다. 게이트웨이의 기본 제어 정책은 게이트웨이에 설치된 소프트웨어에 의해 결정됩니다. 공격자가 로그인을 시도하면 인트라넷의 나머지 호스트는 큰 위협을 받게 됩니다. 이는 이중 구멍 호스트의 게이트웨이가 공격당하는 상황과 유사합니다.
4. 서브넷 마스크
이 방법은 인트라넷과 엑스트라넷 사이에 격리된 서브넷을 만들어 두 개의 패킷 필터링 라우터를 통해 이 서브넷을 인트라넷과 엑스트라넷에서 분리하는 것이다. 많은 구현에서 두 개의 패킷 필터링 라우터가 서브넷의 양쪽 끝에 배치되어 서브넷 내에 "비군사 지역" DMZ 를 형성합니다. 일부 차폐 서브넷에도 터미널 상호 작용을 지원하거나 애플리케이션 게이트웨이 에이전트 역할을 하는 유일한 액세스 지점으로 요새 호스트가 있습니다. 이 구성의 위험 영역에는 요새 호스트, 서브넷 호스트 및 인트라넷, 엑스트라넷 및 차폐된 서브넷을 연결하는 모든 라우터만 포함됩니다.
공격자가 방화벽을 완전히 파괴하려고 하면 연결을 끊고 자신을 밖으로 잠그고 발견되지 않고 세 네트워크에 연결된 라우터를 재구성해야 할 수도 있습니다. 그러나 네트워크 액세스 라우터를 금지하거나 인트라넷의 일부 호스트 액세스만 허용하면 공격은 매우 어려워질 수 있다. 이 경우 공격자는 먼저 요새 호스트를 침입한 다음 인트라넷 호스트로 들어간 다음 차폐 라우터 파괴로 돌아가야 합니다. 전체 프로세스에서 경고를 트리거할 수 없습니다.
방화벽을 구축할 때 단일 기술은 거의 사용되지 않으며, 일반적으로 여러 기술의 조합으로 다양한 문제를 해결합니다. 이 조합은 주로 네트워크 관리 센터가 사용자에게 어떤 서비스를 제공하는지, 네트워크 관리 센터가 어떤 수준의 위험을 받아들일 수 있는지에 달려 있다. 어떤 기술을 채택할지는 주로 자금, 투자의 크기, 기술자의 기술과 시간 등에 달려 있다. 일반적으로 다음과 같은 형식이 있습니다.
1, 다중 요새 호스트 사용
2. 내부 라우터를 외부 라우터와 병합합니다.
요새 호스트를 외부 라우터와 병합하십시오.
요새 호스트를 내부 라우터와 병합하십시오.
5. 여러 개의 내부 라우터 사용
6. 여러 외부 라우터 사용
7. 여러 주변 네트워크 사용
8. 이중 마스터 호스트와 마스크 서브넷을 사용합니다.
내부 방화벽
방화벽을 만드는 목적은 인트라넷을 외부 네트워크의 침입으로부터 보호하는 것이다. 어떤 이유로 인트라넷의 일부 사이트를 내부의 다른 사이트로부터 보호해야 하는 경우도 있습니다. 따라서 동일한 구조의 두 부분 사이 또는 동일한 인트라넷의 서로 다른 두 조직 구조 사이에 방화벽 (내부 방화벽이라고도 함) 을 구축해야 하는 경우도 있습니다.
방화벽의 향후 발전 추세
현재 방화벽 기술은 이미 사람들의 관심을 끌고 있다. 신기술이 발달하면서 패킷 필터링 기술, 에이전트 서비스 기술 등 신기술을 채택한 방화벽이 우리에게 다가오고 있다.
점점 더 많은 클라이언트 및 서버측 어플리케이션이 프록시 서비스를 지원합니다. 예를 들어, 많은 WWW 고객 서비스 패키지에는 에이전트 기능이 있으며, SOCKS 와 같은 많은 소프트웨어는 컴파일 실행 시 클래스 에이전트 서비스를 지원합니다.
패킷 필터링 시스템은 더욱 유연하고 다재다능한 방향으로 발전하고 있다. 예를 들어 동적 패킷 필터링 시스템에서는 CheckPoint Firewall- 1, Karl Brige/Karl Brouter, 모닝 스타 보안 연결 라우터의 패킷 필터링 규칙을 라우터에서 유연하고 빠르게 설정할 수 있습니다. 송신 UDP 패킷은 대응 허용 응답 UDP 가 임시 패킷 필터링 규칙을 만들고 해당 UDP 패킷이 인트라넷에 들어갈 수 있도록 합니다.
"3 세대" 제품으로 불리는 첫 번째 시스템이 이미 시장에 진출하기 시작했다. 예를 들어 Border Network Technology Corporation 의 Border 제품, Truest Information System Corporation 의 Gauntlet 3.0 제품은 외부에서 내부로 프록시 서비스 (모든 외부 서비스 요청은 동일한 호스트에서 제공) 처럼 보이지만, 내부와 외부는 패킷 필터링 시스템처럼 보입니다 (내부 사용자는 자신이 엑스트라넷과 직접 상호 작용한다고 생각). 이들 제품은 대량의 인트라넷의 아웃바운드 연결 요청에 대한 청구 시스템과 패키지를 대량으로 수정하여 방화벽 안팎에 관련 가공소재를 제공합니다. Karl Bridge/Karl Brouter 제품은 패킷 필터링 범위를 확장하여 애플리케이션 계층에서 패킷 필터링 및 권한 부여를 확장합니다. 이것은 전통적인 가방 여과보다 훨씬 낫다.
현재 사람들은 새로운 IP 프로토콜 (IP 버전 6 이라고도 함) 을 설계하고 있습니다. IP 프로토콜의 변화는 방화벽 구축 및 운영에 큰 영향을 미칠 것입니다. 한편, 현재 대부분의 네트워크에 있는 시스템의 정보 흐름은 도난당할 수 있지만 프레임 릴레이, 비동기 전송 모드 (ATM) 와 같은 최신 네트워크 기술은 패킷의 소스 주소를 대상 주소로 직접 전송하여 전송 중 정보 흐름이 유출되는 것을 방지합니다.