complete guide firewall
Задълбочен поглед към защитната стена с класически примери:
Проучихме Всичко за рутерите в нашия предишен урок в това Уроци за обучение в мрежа за всички .
В настоящите съвременни комуникационни и мрежови системи използването на интернет се е развило значително в почти всички сектори.
Този растеж и използване на интернет донесоха няколко предимства и улесняват ежедневната комуникация както за лични, така и за организационни цели. Но от друга страна, той излезе с проблеми със сигурността, проблеми с хакерството и други видове нежелана намеса.
За да се справи с тези проблеми, е необходимо устройство, което трябва да има способността да защитава компютрите и активите на компанията от тези проблеми.
Какво ще научите:
- Въведение в защитната стена
- Софтуер срещу хардуерна защитна стена
- Мрежови заплахи
- Защитна защитна стена
- Защитна стена и референтен модел на OSI
- Справяне с вътрешните заплахи
- DMZ
- Компоненти на защитна стена
- Поставяне на компоненти
- Администрация и управление на защитната стена
- Категории защитна стена
- Видове софтуер за защитна стена
- Заключение
- Препоръчително четене
Въведение в защитната стена
Концепцията на защитната стена е въведена, за да осигури комуникационния процес между различни мрежи.
Защитната стена е софтуер или хардуерно устройство, което изследва данните от няколко мрежи и след това или ги разрешава, или блокира да комуникира с вашата мрежа и този процес се управлява от набор от предварително зададени насоки за сигурност.
В този урок ще изследваме различните аспекти на защитната стена и нейните приложения.
Определение:
Защитна стена е устройство или комбинация от системи, които контролират потока на трафика между отделни части на мрежата.Защитна стенасе използва за защита на мрежата от гадни хора и забрана на техните действия на предварително определени гранични нива.
Защитната стена не се използва само за защита на системата от външни заплахи, но заплахата може да бъде и вътрешна. Затова се нуждаем от защита на всяко ниво от йерархията на мрежовите системи.
Една добра защитна стена трябва да е достатъчна, за да се справи както с вътрешни, така и с външни заплахи и да може да се справи със злонамерен софтуер като червеи от придобиването на достъп до мрежата. Той също така предвижда вашата система да спре да препраща незаконни данни към друга система.
Например , защитната стена винаги съществува между частна мрежа и интернет, която е публична мрежа, като по този начин филтрира пакетите, влизащи и излизащи.
Защитна стена като бариера между Интернет и LAN
Изборът на точна защитна стена е от решаващо значение за изграждането на сигурна мрежова система.
Защитната стена осигурява защитния апарат за разрешаване и ограничаване на трафика, удостоверяване, превод на адреси и сигурност на съдържанието.
Той осигурява 365 * 24 * 7 защита на мрежата от хакери. Това е еднократна инвестиция за всяка организация и се нуждае само от навременни актуализации, за да функционира правилно. Чрез разполагането на защитна стена няма нужда от паника в случай на мрежови атаки.
Софтуер срещу хардуерна защитна стена
Пример за основна мрежа за защитна стена
Хардуерната защитна стена защитава цялата мрежа на организация, която я използва, само от външни заплахи. В случай, че служител на организацията е свързан към мрежата чрез своя лаптоп, той не може да се възползва от защитата.
От друга страна, софтуерната защитна стена осигурява хост-базирана защита, тъй като софтуерът е инсталиран на всяко от устройствата, свързани към мрежата, като по този начин защитава системата от външни, както и от вътрешни заплахи. Той се използва най-широко от мобилните потребители, за да защити цифрово своя телефон от злонамерени атаки.
Мрежови заплахи
Списък на мрежовите заплахи е даден по-долу:
- Червеи, отказ на услуга (DoS) и троянски коне са няколко примера за мрежови заплахи, които се използват за разрушаване на компютърните мрежови системи.
- Вирусът на троянски кон е вид зловреден софтуер, който изпълнява зададена задача в системата. Но всъщност се опитваше да получи нелегален достъп до мрежовите ресурси. Тези вируси, ако бъдат инжектирани във вашата система, дават право на хакера да хакнат вашата мрежа.
- Това са много опасни вируси, тъй като дори могат да доведат до срив на вашия компютър и могат отдалечено да модифицират или изтрият вашите важни данни от системата.
- Компютърните червеи са вид зловреден софтуер. Те консумират честотната лента и скоростта на мрежата, за да предават копия от тях на другите компютри в мрежата. Те увреждат компютрите, като корумпират или модифицират изцяло базата данни на компютъра.
- Червеите са много опасни, тъй като могат да унищожат кодираните файлове и да се прикачат с електронна поща и по този начин могат да бъдат предадени в мрежата чрез интернет.
Защитна защитна стена
В малките мрежи можем да направим всяко наше мрежово устройство защитено, като гарантираме, че всички софтуерни корекции са инсталирани, нежеланите услуги са деактивирани и софтуерът за защита е правилно инсталиран в него.
В тази ситуация, както е показано и на фигурата, софтуерът за защитна стена е монтиран на всяка машина и сървър и конфигуриран по такъв начин, че само изброеният трафик може да влиза и излиза от устройството. Но това работи ефективно само в малки мрежи.
Защитна стена в малка мрежа
В широкомащабна мрежа е почти почти невъзможно да конфигурирате ръчно защитата на защитната стена на всеки възел.
Централизираната система за сигурност е решение за осигуряване на защитена мрежа за големи мрежи. С помощта на пример на фигурата по-долу е показано, че решението за защитна стена се налага със самия рутер и става лесно да се управляват политиките за сигурност. Политиките за трафик влизат и излизат в устройството и могат да бъдат обработвани само от едно устройство.
въпроси за интервю за софтуерно тестване с отговори
Това прави цялостната система за сигурност рентабилна.
Защита на защитната стена в големи мрежи
Защитна стена и референтен модел на OSI
Система за защитна стена може да работи на пет слоя от референтния модел OSI-ISO. Но повечето от тях се изпълняват само на четири слоя, т.е. слой за връзка с данни, мрежов слой, транспортен слой и слоеве на приложения.
Броят на обвиващите слоеве от защитна стена зависи от вида на използваната защитна стена. По-голямо ще бъде броят на слоевете, които покрива, по-ефективно ще бъде защитната стена за справяне с всички видове проблеми, свързани със сигурността.
Справяне с вътрешните заплахи
По-голямата част от атаката на мрежата се случва от вътре в системата, така че за да се справите с нейната защитна стена, системата трябва да може да се предпазва и от вътрешни заплахи.
По-долу са описани няколко вида вътрешни заплахи:
# 1) Злонамерените кибератаки са най-често срещаният тип вътрешни атаки. Системният администратор или всеки служител от ИТ отдела, който има достъп до мрежовата система, може да засади някои вируси, за да открадне важна мрежова информация или да повреди мрежовата система.
Решението за справяне с него е да се наблюдават дейностите на всеки служител и да се охранява вътрешната мрежа, като се използват множество слоеве на паролата за всеки от сървърите. Системата може да бъде защитена и чрез предоставяне на достъп до системата на възможно най-малко от служителите.
# две) Всеки от хост компютрите на вътрешната мрежа на организацията може да изтегли злонамерено интернет съдържание с липса на знания за изтегляне на вируса също с него. По този начин хост системите трябва да имат ограничен достъп до интернет. Всички ненужни сърфирания трябва да бъдат блокирани.
# 3) Изтичането на информация от който и да е от хост компютъра чрез писалки, твърд диск или CD-ROM също е мрежова заплаха за системата. Това може да доведе до решаващо изтичане на база данни на организацията към външния свят или конкурентите. Това може да се контролира чрез деактивиране на USB портовете на хост устройства, така че да не могат да извадят никакви данни от системата.
Препоръчително четене => Най-добрите софтуерни инструменти за заключване на USB
DMZ
Демилитаризирана зона (DMZ) се използва от повечето защитни стени за защита на активи и ресурси. DMZ са внедрени, за да предоставят на външни потребители достъп до ресурси като имейл сървъри, DNS сървъри и уеб страници, без да разкриват вътрешната мрежа. Той се държи като буфер между отличителни сегменти в мрежата.
За всеки регион в системата на защитната стена е определено ниво на защита.
Например , ниско, средно и високо. Обикновено трафикът преминава от по-високо към по-ниско ниво. Но за да може трафикът да се премести от по-ниско на по-високо ниво, се използва различен набор от правила за филтриране.
За да позволите на трафика да премине от по-ниско ниво на сигурност към по-високо ниво на сигурност, трябва да сте точни относно разрешения вид трафик. Като сме точни, ние отключваме системата на защитната стена само за този трафик, който е от съществено значение, всички останали видове трафик ще бъдат блокирани от конфигурацията.
Защитната стена е разположена, за да отдели отличителни части на мрежата.
Различните интерфейси са както следва:
- Връзка към Интернет, назначена с най-ниско ниво на сигурност.
- Връзка към DMZ присвоява средна сигурност поради наличието на сървъри.
- Връзка към организацията, разположена в отдалечения край, със зададена средна сигурност.
- Най-високата сигурност е присвоена на вътрешната мрежа.
Защитна защитна стена с DMS
Правилата, възложени на организацията, са:
- Достъпът от високо до ниско ниво е разрешен
- Достъпът от ниско до високо ниво не е разрешен
- Достъпът на еквивалентно ниво също не е разрешен
Използвайки горния набор от правила, трафикът, разрешен автоматично да преминава през защитната стена, е:
- Вътрешни устройства към DMZ, отдалечена организация и интернет.
- DMZ към отдалечената организация и интернет.
Всеки друг вид трафик поток е блокиран. Предимството на такъв дизайн е, че тъй като на интернет и отдалечената организация са присвоени еквивалентни видове нива на сигурност, трафикът от Интернет, който не е в състояние да определи организацията, която сама подобрява защитата, и организацията няма да може да използва интернет безплатно (спестява пари).
Друго предимство е, че осигурява слоеста сигурност, така че ако хакер иска да хакне вътрешните ресурси, тогава първо трябва да хакне DMZ. Задачата на хакера става по-трудна, което от своя страна прави системата много по-сигурна.
Компоненти на защитна стена
Градивните елементи на добрата защитна стена са както следва:
- Периметър рутер
- Защитна стена
- VPN
- IDS
# 1) Периметър рутер
Основната причина за използването му е да се осигури връзка към системата за обществени мрежи като Интернет или отличителна организация. Той извършва маршрутизиране на пакети данни, като следва подходящ протокол за маршрутизиране.
Той също така осигурява филтриране на пакети и адреси на преводи.
# 2) Защитна стена
Както беше обсъдено по-рано, основната му задача е да осигури отличителни нива на сигурност и да контролира трафика между всяко ниво. По-голямата част от защитната стена съществува в близост до рутера, за да осигури защита от външни заплахи, но понякога присъства във вътрешната мрежа и за защита от вътрешни атаки.
# 3) VPN
Неговата функция е да осигури защитена връзка между две машини или мрежи или машина и мрежа. Това се състои от криптиране, удостоверяване и осигуряване на надеждност на пакетите. Той осигурява сигурен отдалечен достъп до мрежата, като по този начин свързва две WAN мрежи на една и съща платформа, като същевременно не е физически свързан.
# 4) IDS
Неговата функция е да идентифицира, предотвратява, разследва и разрешава неразрешените атаки. Хакерът може да атакува мрежата по различни начини. Той може да изпълни DoS атака или атака от задната страна на мрежата чрез някакъв неоторизиран достъп. Решението на IDS трябва да бъде достатъчно интелигентно, за да се справи с този тип атаки.
IDS решение е от два вида, базиран на мрежа и базиран на хост. Мрежовото IDS решение трябва да бъде квалифицирано по такъв начин, когато се забележи атака, да има достъп до защитната стена и след влизане в нея да конфигурира ефективен филтър, който може да ограничи нежелания трафик.
Хост-базираното IDS решение е вид софтуер, който работи на хост устройство като лаптоп или сървър, който разпознава заплахата само срещу това устройство. Решението IDS трябва да проверява внимателно мрежовите заплахи и да ги докладва своевременно и да предприема необходимите действия срещу атаките.
Поставяне на компоненти
Обсъдихме няколко от основните градивни елементи на системата за защитна стена. Сега да обсъдим разположението на тези компоненти.
По-долу с помощта на пример илюстрирам дизайна на мрежата. Но не може да се каже напълно, че това е цялостният сигурен мрежов дизайн, защото всеки дизайн може да има някои ограничения.
Периметърният рутер с основни функции за филтриране се използва, когато трафикът прониква в мрежата. Поставен е IDS компонент за идентифициране на атаки, които периметърният рутер не е бил в състояние да филтрира.
По този начин трафикът преминава през защитната стена. Защитната стена е инициирала три нива на сигурност, ниско за Интернет означава външна страна, средно за DMZ и високо за вътрешната мрежа. Следваното правило е да се разрешава трафикът от интернет само към уеб сървъра.
Останалият поток от трафик от по-ниска към по-горна страна е ограничен, но е разрешен по-висок към по-нисък поток на трафик, така че администраторът, пребиваващ във вътрешната мрежа за влизане в DMZ сървъра.
Пример за цялостен дизайн на системата за защитна стена
В този дизайн е реализиран и вътрешен рутер за вътрешно маршрутизиране на пакетите и извършване на филтриращи действия.
Предимството на този дизайн е, че той има три слоя сигурност, рутер за периметър на филтриране на пакети, IDS и защитната стена.
Недостатъкът на тази настройка е, че във вътрешната мрежа не се появява IDS, поради което не може лесно да се предотвратят вътрешни атаки.
Важни факти за проектиране:
- На границата на мрежата трябва да се използва защитна стена за филтриране на пакети, за да се осигури по-голяма сигурност.
- Всеки сървър, който е изложен на обществена мрежа като Интернет, ще бъде поставен в DMZ. Сървърите с важни данни ще бъдат оборудвани с базиран на хост софтуер за защитна стена в тях. В допълнение към тези на сървърите, всички нежелани услуги трябва да бъдат деактивирани.
- Ако вашата мрежа има критични сървъри на бази данни като HLR сървър, IN и SGSN, който се използва при мобилни операции, тогава ще бъдат внедрени множество DMZ.
- Ако външни източници като далечни организации искат да получат достъп до вашия сървър, поставен във вътрешна мрежа от система за сигурност, използвайте VPN.
- За важни вътрешни източници, като R&D или финансови източници, IDS трябва да се използва за наблюдение и справяне с вътрешни атаки. Чрез налагане на нива на защита поотделно може да се осигури допълнителна сигурност на вътрешната мрежа.
- При имейл услугите всички изходящи имейли трябва първо да преминават през DMZ сървъра за електронна поща, а след това и допълнителен софтуер за сигурност, за да могат да се избегнат вътрешни заплахи.
- За входяща електронна поща, в допълнение към DMZ сървъра, антивирусният, спам и базираният на хост софтуер трябва да бъдат инсталирани и да се изпълняват на сървъра всеки път, когато пощата влиза в сървъра.
Администрация и управление на защитната стена
Сега избрахме градивните елементи на нашата система за защитна стена. Сега е време да конфигурирате правилата за сигурност в мрежова система.
Интерфейсът на командния ред (CLI) и графичният потребителски интерфейс (GUI) се използват за конфигуриране на софтуера на защитната стена. Например , Продуктите на Cisco поддържат и двата вида методи за конфигуриране.
В днешно време в повечето мрежи диспечерът на устройствата за сигурност (SDM), който също е продукт на Cisco, се използва за конфигуриране на рутери, защитни стени и VPN атрибути.
За да се внедри система за защитна стена, ефективното администриране е много важно за безпроблемното протичане на процеса. Хората, управляващи системата за сигурност, трябва да са майстори в работата си, тъй като няма място за човешки грешки.
Всякакъв тип конфигурационни грешки трябва да се избягват. Винаги, когато ще бъдат извършени актуализации на конфигурацията, администраторът трябва да провери и провери отново целия процес, така че да не оставя възможност за вратички и хакери да го атакуват. Администраторът трябва да използва софтуерен инструмент, за да проучи направените промени.
Всички основни промени в конфигурацията на защитните стени не могат да бъдат приложени директно към текущите големи мрежи, тъй като при неуспех могат да доведат до голяма загуба на мрежата и директно да позволят на нежелания трафик да влезе в системата. По този начин първо трябва да се извърши в лабораторията и да се изследват резултатите, ако резултатите бъдат намерени добре, тогава можем да внедрим промените в мрежата на живо.
Категории защитна стена
Въз основа на филтрирането на трафика има много категории защитна стена, някои са обяснени по-долу:
# 1) Защитна стена за филтриране на пакети
Това е вид рутер, който има способността да филтрира малкото от съдържанието на пакетите данни. Когато използвате филтриране на пакети, правилата се класифицират на защитната стена. Тези правила установяват от пакетите кой трафик е разрешен и кои не.
# 2) Държавна защитна стена
Той се нарича още динамично филтриране на пакети, той проверява състоянието на активните връзки и използва тези данни, за да разбере кои от пакетите трябва да бъдат разрешени през защитната стена и кои не.
Защитната стена проверява пакета до слоя на приложението. Чрез проследяване на данните за сесията като IP адрес и номер на порт на пакета данни, той може да осигури много силна сигурност на мрежата.
Той също така проверява входящия и изходящия трафик, така че хакерите са се затруднявали да се намесват в мрежата, използвайки тази защитна стена.
# 3) Прокси защитна стена
Те са известни също като защитни стени на шлюза за приложения. Защитната стена с състояние на състояние не е в състояние да защити системата от HTTP базирани атаки. Поради това на пазара се въвежда прокси защитна стена.
Той включва характеристиките на проверка на състоянието плюс възможност за внимателен анализ на протоколи от приложния слой.
По този начин той може да наблюдава трафика от HTTP и FTP и да открие възможността за атаки. По този начин защитната стена се държи като прокси, което означава, че клиентът инициира връзка със защитната стена, а защитната стена в замяна инициира самостоятелна връзка със сървъра от страната на клиента.
Видове софтуер за защитна стена
Няколко от най-популярните защитни стени, които организациите използват за защита на своите системи, са посочени по-долу:
# 1) Защитна стена Comodo
Виртуалното сърфиране в Интернет, за блокиране на нежелани изскачащи реклами и персонализиране на DNS сървъри са общите характеристики на тази защитна стена. Виртуалният павилион се използва за блокиране на някои процедури и програми чрез укриване и проникване в мрежата.
В тази защитна стена, освен че следва дългия процес за дефиниране на портове и други програми, които трябва да се разрешат и блокират, всяка програма може да бъде разрешена и блокирана, като просто прегледате програмата и щракнете върху желания изход.
Comodo killswitch също е подобрена функция на тази защитна стена, която илюстрира всички текущи процеси и улеснява блокирането на всяка нежелана програма.
най-добрият софтуер за премахване на зловреден и шпионски софтуер
# 2) AVS защитна стена
Той е много лесен за изпълнение. Той предпазва вашата система от неприятни промени в системния регистър, изскачащи прозорци и нежелани реклами. Също така можем да модифицираме URL адресите за реклами по всяко време и също да ги блокираме.
Той също така има характеристиката на родителски контрол, който е част от разрешаването на достъп само до точна група уебсайтове.
Използва се в Windows 8, 7, Vista и XP.
# 3) Netdefender
Тук можем лесно да очертаем IP адреса на източника и местоназначението, номера на порта и протокола, които са разрешени и не са разрешени в системата. Можем да разрешим и блокираме FTP за разполагане и ограничаване във всяка мрежа.
Той също така разполага със скенер за портове, който може да визуализира кое може да се използва за движение на трафика.
# 4) PeerBlock
Въпреки че блокира отделен клас програми, дефинирани в компютъра, той блокира общия клас IP адреси, попадащ в определена категория.
Той използва тази функция, като блокира входящия и изходящия трафик, като дефинира набор от IP адреси, които са забранени. Следователно мрежата или компютърът, използващи този набор от IP адреси, не могат да получат достъп до мрежата, а също така вътрешната мрежа не може да изпраща изходящия трафик към тези блокирани програми.
# 5) Защитна стена на Windows
Най-честата защитна стена, използвана от потребителите на Windows 7, е тази защитна стена. Той осигурява достъп и ограничаване на трафика и комуникацията между мрежи или мрежа или устройство чрез анализ на IP адрес и номер на порт. По подразбиране разрешава целия изходящ трафик, но позволява само този входящ трафик, който е дефиниран.
# 6) Juniper Firewall
Хвойната сама по себе си е мрежова организация и също така проектира различни видове рутери и защитни стени. В жива мрежа като доставчиците на мобилни услуги използва защитни стени, създадени от Juniper, за да защити своите мрежови услуги от различни видове заплахи.
Те пазят мрежовите рутери и допълнителния входящ трафик и нерецептивни атаки от външни източници, които могат да прекъснат мрежовите услуги и да обработват кой трафик да бъде препратен от кой от интерфейсите на рутера.
Той реализира един входен и един изходен филтър за защитна стена към всеки от входящия и изходящия физически интерфейс. Това филтрира нежеланите пакети данни, следвайки правилата, дефинирани както на входящия, така и на изходящия интерфейс.
Според настройките на конфигурацията на защитната стена по подразбиране се решава кои пакети да бъдат приети и кои да бъдат изхвърлени.
Заключение
От горното описание за различни аспекти на защитната стена ще заключим, че за преодоляване на външните и вътрешните мрежови атаки е въведена концепцията на защитната стена.
Защитната стена може да бъде хардуер или софтуер, който следвайки определен набор от правила ще предпази нашата мрежова система от вируса и други видове злонамерени атаки.
Тук също разгледахме различните категории защитна стена, компонентите на защитната стена, проектирането и внедряването на защитна стена, а след това и някои от известния софтуер за защитна стена, който използвахме за внедряване в мрежовата индустрия.
Препоръчително четене
- LAN срещу WAN срещу MAN: Точна разлика между видовете мрежи
- TCP / IP модел с различни слоеве
- Всичко за рутерите: Видове рутери, маршрутизираща таблица и IP маршрутизация
- Всичко за превключвателите на слой 2 и слой 3 в мрежовата система
- Ръководство за маска на подмрежата (подмрежа) и калкулатор на подмрежи IP
- Какво е Wide Area Network (WAN): Примери за WAN мрежа на живо
- Важни протоколи от приложния слой: DNS, FTP, SMTP и MIME протоколи
- IPv4 срещу IPv6: Каква е точната разлика