Повне керівництво по брандмауеру: Як побудувати безпечну мережеву систему

complete guide firewall

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Виберіть Програму Проекції (Необов'Язково)

Опишіть Свою Проблему

Поглиблений огляд брандмауера з класичними прикладами:

Ми досліджували Все про маршрутизатори у нашому попередньому уроці в цьому Навчальні посібники з мереж для всіх .

У сучасних сучасних комунікаційних та мережевих системах використання Інтернету значно розвинулось майже у всіх секторах.

Це зростання та використання Інтернету принесло кілька переваг та полегшило щоденне спілкування як в особистих, так і в організаційних цілях. Але з іншого боку, це виявилося з проблемами безпеки, проблемами злому та іншими видами небажаного втручання.

Щоб впоратися з цими проблемами, потрібен пристрій, який повинен мати можливість захистити ПК та активи компанії від цих проблем.

брандмауер img

Що ви дізнаєтесь:

Вступ до брандмауера

Вступ до брандмауера

Концепція брандмауера була введена для захисту процесу зв'язку між різними мережами.

Брандмауер - це програмне забезпечення чи апаратний пристрій, який перевіряє дані з кількох мереж, а потім або дозволяє, або блокує їх для спілкування з вашою мережею, і цей процес регулюється набором заздалегідь визначених правил безпеки.

У цьому підручнику ми дослідимо різні аспекти брандмауера та його додатків.

Визначення:

Брандмауер - це пристрій або комбінація систем, що контролює потік трафіку між окремими частинами мережі.Брандмауервикористовується для захисту мережі від неприємних людей та заборони їхніх дій на визначених граничних рівнях.

Брандмауер використовується не тільки для захисту системи від зовнішніх загроз, але загроза може бути і внутрішньою. Тому нам потрібен захист на кожному рівні ієрархії мережевих систем.

Хороший брандмауер повинен бути достатнім для вирішення як внутрішніх, так і зовнішніх загроз, а також мати можливість боротися зі шкідливим програмним забезпеченням, таким як хробаки, для отримання доступу до мережі. Він також передбачає, що ваша система припиняє пересилання незаконних даних в іншу систему.

Наприклад , між приватною мережею та Інтернетом, який є загальнодоступною мережею, завжди існує брандмауер, що фільтрує пакети, що надходять і виходять.

Брандмауер як бар'єр між Інтернетом та локальною мережею

Брандмауер як бар

Вибір точного брандмауера є критично важливим для створення безпечної мережі.

Брандмауер забезпечує захисний пристрій для дозволу та обмеження трафіку, автентифікації, перекладу адрес та захисту вмісту.

Це забезпечує захист мережі 365 від хакерів на 365 * 24 * 7. Це одноразова інвестиція для будь-якої організації, і для належної роботи потрібні лише своєчасні оновлення. Розгортаючи брандмауер, немає необхідності панікувати у випадку мережевих атак.

Програмне забезпечення проти апаратного брандмауера

Приклад базової мережі брандмауера

Приклад базової мережі брандмауера

Апаратний брандмауер захищає всю мережу організації, що використовує її, лише від зовнішніх загроз. Якщо працівник організації підключений до мережі через свій ноутбук, він не може скористатися захистом.

З іншого боку, програмний брандмауер забезпечує захист на основі хоста, оскільки програмне забезпечення встановлюється на кожному з підключених до мережі пристроїв, тим самим захищаючи систему від зовнішніх, а також внутрішніх загроз. Він найбільш широко використовується мобільними користувачами для цифрового захисту своєї слухавки від зловмисних атак.

Мережеві загрози

Нижче наведено короткий перелік мережевих загроз:

Черви, відмова в обслуговуванні (DoS) та троянські коні - це кілька прикладів мережевих загроз, які використовуються для знесення систем комп'ютерних мереж.
Вірус троянського коня - це різновид шкідливого програмного забезпечення, яке виконує призначене завдання в системі. Але насправді він намагався незаконно отримати доступ до мережевих ресурсів. Ці віруси, якщо їх ін’єктують у вашу систему, дають хакеру право зламати вашу мережу.
Це дуже небезпечні віруси, оскільки вони навіть можуть спричинити збій ПК і можуть віддалено змінювати чи видаляти важливі дані з системи.
Комп’ютерні хробаки - це тип шкідливих програм. Вони споживають пропускну здатність і швидкість мережі, щоб передавати їх копії на інші ПК мережі. Вони завдають шкоди комп’ютерам, пошкоджуючи або повністю змінюючи базу даних комп’ютера.
Черви дуже небезпечні, оскільки можуть знищити зашифровані файли та прикріпитись електронною поштою, а отже, можуть передаватися в мережі через Інтернет.

Захист брандмауера

У невеликих мережах ми можемо забезпечити захист кожного нашого мережевого пристрою, переконавшись, що встановлені всі виправлення програмного забезпечення, відключені небажані служби та належним чином встановлено програмне забезпечення для захисту.

У цій ситуації, як також показано на малюнку, програмне забезпечення брандмауера встановлюється на кожній машині та сервері та налаштовується таким чином, що тільки перерахований трафік може надходити та виходити з пристрою. Але це ефективно працює лише в невеликих мережах.

Захист брандмауера в малій мережі

Захист брандмауера в невеликій мережі

У великомасштабній мережі практично неможливо вручну налаштувати захист брандмауера на кожному вузлі.

Централізована система безпеки - це рішення забезпечити безпечну мережу для великих мереж. За допомогою прикладу на малюнку нижче показано, що рішення брандмауера накладається на сам маршрутизатор, і стає простішим управління політиками безпеки. Політика трафіку надходить і виходить на пристрій і може оброблятися виключно одним пристроєм.

яке найкраще програмне забезпечення для розробки додатків

Це робить загальну систему безпеки економічно вигідною.

Захист брандмауера у великих мережах

Захист брандмауера у великих мережах

Брандмауер та довідкова модель OSI

Система брандмауера може працювати на п’яти шарах еталонної моделі OSI-ISO. Але більшість із них працюють лише на чотирьох рівнях, тобто на рівні каналу передачі даних, мережевому рівні, транспортному рівні та рівнях додатків.

Кількість шарів, що охоплює брандмауер, залежить від типу використовуваного брандмауера. Більше буде кількість шарів, які він охоплює, більш ефективним буде рішенням брандмауера для вирішення всіх видів проблем безпеки.

Боротьба з внутрішніми загрозами

Більша частина атаки на мережу відбувається зсередини системи, тому для роботи з її брандмауером також слід захищати від внутрішніх загроз.

Нижче описано кілька видів внутрішніх загроз:

# 1) Зловмисні кібератаки - найпоширеніший тип внутрішніх атак. Системний адміністратор або будь-який співробітник ІТ-відділу, який має доступ до мережевої системи, може висадити деякі віруси, щоб викрасти важливу мережеву інформацію або пошкодити мережеву систему.

Рішенням для вирішення цього є моніторинг діяльності кожного працівника та охорона внутрішньої мережі за допомогою декількох шарів пароля до кожного із серверів. Систему також можна захистити, надавши доступ до системи якнайменшому співробітнику.

# два) Будь-який з хост-комп’ютерів внутрішньої мережі організації може завантажувати шкідливий Інтернет-вміст з недостатнім знанням завантаження вірусу також разом з ним. Таким чином, хост-системи повинні мати обмежений доступ до Інтернету. Усі непотрібні перегляди слід заблокувати.

# 3) Витік інформації з будь-якого головного ПК через накопичувачі, жорсткий диск або CD-ROM також є мережевою загрозою для системи. Це може призвести до вирішального витоку бази даних організації до зовнішнього світу або конкурентів. Цим можна керувати, вимкнувши USB-порти хост-пристроїв, щоб вони не могли витягувати будь-які дані із системи.

Рекомендована література => Найкращі програмні засоби блокування USB

ДМЗ

Демілітаризована зона (DMZ) використовується більшістю систем брандмауера для охорони активів та ресурсів. DMZ розгортаються, щоб надати зовнішнім користувачам доступ до таких ресурсів, як сервери електронної пошти, DNS-сервери та веб-сторінки, не розкриваючи внутрішню мережу. Він поводиться як буфер між різними сегментами в мережі.

Кожному регіону в системі брандмауера присвоюється рівень безпеки.

Наприклад , низький, середній та високий. Зазвичай транспорт переходить з вищого рівня на нижчий. Але для переходу трафіку з нижчого на більш високий рівень застосовується інший набір правил фільтрації.

Щоб дозволити переходу трафіку з нижчого рівня безпеки на більш високий рівень безпеки, слід чітко визначити тип дозволеного трафіку. Будучи точним, ми розблоковуємо систему брандмауера лише для того трафіку, який є важливим, усі інші види трафіку будуть заблоковані конфігурацією.

Брандмауер розгортається для відокремлення окремих частин мережі.

Різні інтерфейси такі:

Посилання на Інтернет, призначене з найнижчим рівнем безпеки.
Посилання на DMZ призначається середнім рівнем безпеки через наявність серверів.
Посилання на організацію, розташовану на віддаленому кінці, присвоєно середній рівень безпеки.
Найвища безпека присвоюється внутрішній мережі.

Захист брандмауера за допомогою DMS

Захист брандмауера за допомогою DMZ

Правилами, призначеними для організації, є:

Доступ високого до низького рівня
Доступ від низького до високого рівня заборонений
Доступ до еквівалентного рівня також не дозволяється

Використовуючи вищезазначений набір правил, трафік, якому дозволяється автоматично протікати через брандмауер, є:

Внутрішні пристрої до DMZ, віддалена організація та Інтернет.
DMZ до віддаленої організації та Інтернету.

Будь-який інший транспортний потік перекритий. Перевага такої конструкції полягає в тому, що оскільки Інтернету та віддаленій організації присвоєно рівноцінний рівень безпеки, трафік з Інтернету, який не може призначити організації, яка сама покращує захист, і організація не зможе безкоштовно користуватися Інтернетом (це економить гроші).

Ще одна перевага полягає в тому, що він забезпечує багаторівневу безпеку, тому, якщо хакер хоче зламати внутрішні ресурси, то спочатку він повинен зламати DMZ. Завдання хакера стає жорсткішим, що, в свою чергу, робить систему набагато безпечнішою.

Компоненти системи брандмауера

Блоки хорошої системи брандмауера такі:

Маршрутизатор по периметру
Брандмауер
VPN
IDS

# 1) Маршрутизатор по периметру

Основною причиною його використання є надання посилання на систему загальнодоступних мереж, таких як Інтернет, або особливу організацію. Він виконує маршрутизацію пакетів даних, дотримуючись відповідного протоколу маршрутизації.

Він також забезпечує фільтрацію перекладів пакетів та адрес.

# 2) Брандмауер

Як вже обговорювалося раніше, його основним завданням є забезпечення відмінних рівнів безпеки та нагляд за перевезеннями на кожному рівні. Більшість брандмауерів існують поблизу маршрутизатора для забезпечення захисту від зовнішніх загроз, але іноді присутні у внутрішній мережі, а також для захисту від внутрішніх атак.

# 3) VPN

Його функція полягає у забезпеченні захищеного з'єднання між двома машинами або мережами або машиною та мережею. Це складається з шифрування, автентифікації та забезпечення надійності пакетів. Він забезпечує безпечний віддалений доступ до мережі, тим самим підключаючи дві мережі WAN на одній платформі, не будучи фізично підключеними.

# 4) IDS

Його функція полягає у виявленні, запобіганні, розслідуванні та вирішенні несанкціонованих атак. Хакер може атакувати мережу різними способами. Він може виконати DoS-атаку або атаку із зворотного боку мережі через якийсь несанкціонований доступ. Рішення IDS має бути достатньо розумним для боротьби з такими типами атак.

Рішення IDS буває двох видів, мережевий і хост. Мережеве рішення IDS повинно бути кваліфікованим таким чином, щоразу, коли виявляється атака, мати доступ до системи брандмауера, а після входу в систему може налаштувати ефективний фільтр, який може обмежити небажаний трафік.

Рішення IDS на основі хоста - це різновид програмного забезпечення, яке працює на хост-пристрої, такому як ноутбук або сервер, яке виявляє загрозу лише для цього пристрою. Рішення IDS має уважно перевіряти мережеві загрози та своєчасно повідомляти про них та вживати необхідних заходів проти атак.

Розміщення компонентів

Ми обговорили декілька основних будівельних блоків системи брандмауера. Тепер обговоримо розміщення цих компонентів.

Нижче на прикладі я ілюструю дизайн мережі. Але не можна сказати повністю, що це загальний захищений дизайн мережі, оскільки кожен дизайн може мати певні обмеження.

Маршрутизатор периметра, що має основні функції фільтрації, використовується, коли трафік проникає в мережу. Компонент IDS розміщений для ідентифікації атак, які периметр маршрутизатора не був здатний відфільтрувати.

Таким чином, трафік проходить через брандмауер. Брандмауер ініціював три рівні безпеки, низький для Інтернету означає зовнішню сторону, середній для DMZ і високий для внутрішньої мережі. Правило, яке дотримується, - дозволяти трафік з Інтернету лише на веб-сервер.

Решта потоку трафіку від нижчої до верхньої сторони обмежена, однак дозволяється від нижчого до нижчого потоку трафіку, так що адміністратор, який проживає у внутрішній мережі для входу на сервер DMZ.

Загальний приклад дизайну системи брандмауера

Загальний приклад дизайну системи брандмауера

У цій конструкції також реалізований внутрішній маршрутизатор для внутрішньої маршрутизації пакетів та виконання фільтрувальних дій.

Перевага цієї конструкції полягає в тому, що вона має три рівні захисту, маршрутизатор периметра фільтрації пакетів, IDS і брандмауер.

Недоліком цієї установки є те, що ніяких IDS у внутрішній мережі не виникає, тому не можна легко запобігти внутрішнім атакам.

Важливі факти проектування:

основні HTML та CSS запитання для співбесіди

На межі мережі слід використовувати брандмауер фільтрації пакетів, щоб забезпечити посилений захист.
Кожен сервер, який потрапляє у загальнодоступну мережу, таку як Інтернет, буде розміщений у DMZ. Сервери, що мають важливі дані, будуть оснащені програмним забезпеченням брандмауера на базі хоста. На додаток до цих на серверах, усі небажані служби слід відключити.
Якщо у вашій мережі є критично важливі сервери баз даних, такі як HLR-сервер, IN та SGSN, що використовується у мобільних операціях, тоді буде розгорнуто кілька DMZ.
Якщо зовнішні джерела, такі як організації далекого кінця, хочуть отримати доступ до вашого сервера, розміщеного у внутрішній мережі системи безпеки, використовуйте VPN.
Для важливих внутрішніх джерел, таких як НДДКР або фінансові джерела, IDS слід використовувати для моніторингу та боротьби з внутрішніми атаками. Завдяки окремому встановленню рівнів безпеки внутрішній мережі можна забезпечити додатковий захист.
Що стосується послуг електронної пошти, усі вихідні електронні листи повинні проходити спочатку через поштовий сервер DMZ, а потім додаткове програмне забезпечення безпеки, щоб уникнути внутрішніх загроз.
Для вхідної електронної пошти, крім сервера DMZ, на сервері слід встановлювати та запускати антивірус, спам та програмне забезпечення на основі хоста щоразу, коли пошта надходить на сервер.

Адміністрування та управління брандмауером

Зараз ми вибрали будівельні блоки нашої системи брандмауера. Настав час налаштувати правила безпеки на мережеву систему.

Інтерфейс командного рядка (CLI) та графічний інтерфейс користувача (GUI) використовуються для налаштування програмного забезпечення брандмауера. Наприклад , Продукти Cisco підтримують обидва типи методів конфігурації.

На сьогодні в більшості мереж менеджер пристроїв безпеки (SDM), який також є продуктом Cisco, використовується для налаштування маршрутизаторів, брандмауерів та атрибутів VPN.

Для впровадження системи брандмауера ефективне адміністрування дуже важливо для безперебійного запуску процесу. Люди, які керують системою безпеки, повинні бути майстром у своїй роботі, оскільки немає можливості для людських помилок.

Слід уникати будь-яких типів помилок конфігурації. Щоразу, коли буде виконуватися оновлення конфігурації, адміністратор повинен перевірити і перепровірити весь процес, щоб не залишати місця для лазівки та хакерів, щоб атакувати його. Адміністратор повинен використовувати програмний інструмент для перевірки зроблених змін.

Будь-які серйозні зміни конфігурації в системах брандмауера не можуть бути безпосередньо застосовані до поточних великих мереж, оскільки, якщо їх помилка може призвести до великих втрат мережі та безпосередньо дозволити небажаному трафіку потрапити в систему. Таким чином, спочатку це слід виконати в лабораторії та вивчити результати, якщо результати будуть знайдені добре, тоді ми зможемо впровадити зміни в живій мережі.

Категорії брандмауера

На основі фільтрації трафіку існує багато категорій брандмауера, деякі з них пояснюються нижче:

# 1) Брандмауер фільтрування пакетів

Це свого роду маршрутизатор, який має можливість фільтрувати незначну частину сутності пакетів даних. Якщо використовується фільтрація пакетів, правила класифікуються на брандмауері. Ці правила з’ясовують із пакетів, який трафік дозволений, а який ні.

# 2) Державний брандмауер

Його також називають динамічною фільтрацією пакетів, він перевіряє стан активних з'єднань і використовує ці дані, щоб з'ясувати, який з пакетів повинен бути дозволений через брандмауер, а який ні.

Брандмауер перевіряє пакет до рівня програми. Відстежуючи дані сеансу, такі як IP-адреса та номер порту пакету даних, це може надати надійний захист мережі.

Він також перевіряє як вхідний, так і вихідний трафік, тому хакерам було важко втручатися в мережу за допомогою цього брандмауера.

# 3) Брандмауер проксі

Вони також відомі як брандмауери шлюзу додатків. Брандмауер із підтримкою стану не може захистити систему від атак на основі HTTP. Тому проксі-брандмауер представлений на ринку.

Він включає функції перевірки стану, а також можливість ретельно аналізувати протоколи прикладного рівня.

Таким чином, він може контролювати трафік з HTTP і FTP і з'ясовувати можливість атак. Таким чином, брандмауер поводиться як проксі-сервер, тобто клієнт ініціює з'єднання з брандмауером, а брандмауер у свою чергу ініціює одиночне з'єднання з сервером на стороні клієнта.

Типи програмного забезпечення брандмауера

Нижче наведено кілька найпопулярніших програм брандмауера, які організації використовують для захисту своїх систем:

# 1) Брандмауер Comodo

Віртуальний перегляд Інтернету, блокування небажаних спливаючих оголошень та налаштування DNS-серверів - загальні особливості цього брандмауера. Віртуальний кіоск використовується для блокування деяких процедур та програм шляхом втечі та проникнення в мережу.

У цьому брандмауері, окрім тривалого процесу визначення портів та інших програм, що дозволяють і блокують, будь-яку програму можна дозволити та заблокувати, просто переглянувши програму та клацнувши на потрібний результат.

Перемикач вбивств Comodo - це також розширена функція цього брандмауера, яка ілюструє всі поточні процеси та дозволяє дуже легко заблокувати будь-яку небажану програму.

# 2) Брандмауер AVS

Це дуже просто у реалізації. Він захищає вашу систему від неприємних змін до реєстру, спливаючих вікон та небажаної реклами. Ми також можемо будь-коли змінити URL-адреси для оголошень, а також заблокувати їх.

Він також має функцію батьківського контролю, яка є частиною дозволу доступу лише до певної групи веб-сайтів.

Він використовується в Windows 8, 7, Vista та XP.

# 3) Netdefender

Тут ми можемо легко окреслити джерело та кінцеву IP-адресу, номер порту та протокол, які дозволені та заборонені в системі. Ми можемо дозволити та заблокувати FTP для розгортання та обмеження в будь-якій мережі.

Він також має сканер портів, який може візуалізувати, який може бути використаний для руху транспорту.

# 4) PeerBlock

Незважаючи на блокування окремого класу програм, визначених на комп'ютері, він блокує загальний клас IP-адрес, що потрапляють до певної категорії.

Він використовує цю функцію, блокуючи як вхідний, так і вихідний трафік, визначаючи набір IP-адрес, які заборонені. Тому мережа або комп'ютер, що використовує цей набір IP-адрес, не можуть отримати доступ до мережі, а також внутрішня мережа не може надсилати вихідний трафік цим заблокованим програмам.

# 5) Брандмауер Windows

Найбільш частим брандмауером, який використовують користувачі Windows 7, є цей брандмауер. Він забезпечує доступ та обмеження трафіку та зв'язку між мережами або мережею або пристроєм шляхом аналізу IP-адреси та номера порту. Він за замовчуванням дозволяє весь вихідний трафік, але дозволяє лише той вхідний трафік, який визначено.

# 6) Брандмауер Juniper

Ялівець сам по собі є мережевою організацією і також розробляє різні типи маршрутизаторів і фільтрів брандмауера. У такій живій мережі, як провайдери мобільних послуг, використовуються створені Juniper брандмауери для захисту своїх мережевих служб від різних типів загроз.

Вони охороняють мережеві маршрутизатори та зайвий вхідний трафік та неприйнятні атаки із зовнішніх джерел, які можуть перервати мережеві служби та обробляти, який трафік пересилати з якого з інтерфейсів маршрутизатора.

Він реалізує один вхідний та один вихідний фільтр брандмауера для кожного з вхідних та вихідних фізичних інтерфейсів. Це фільтрує небажані пакети даних, дотримуючись правил, визначених як для вхідного, так і для вихідного інтерфейсу.

Відповідно до налаштувань конфігурації брандмауера за замовчуванням визначається, які пакети приймати, а які відкидати.

Висновок

З наведеного вище опису різних аспектів брандмауера ми зробимо висновок, що для подолання зовнішніх та внутрішніх мережевих атак було введено поняття брандмауера.

Брандмауер може бути апаратним або програмним забезпеченням, яке, дотримуючись певного набору правил, захищатиме нашу мережеву систему від вірусів та інших видів шкідливих атак.

Ми також дослідили тут різні категорії брандмауера, компоненти брандмауера, проектування та реалізацію брандмауера, а потім деякі відомі програми брандмауера, які ми використовували для розгортання в мережевій галузі.

НАЗАД Підручник | НАСТУПНИЙ підручник