logo

TechCodeview

Впровадження брандмауера в комп'ютерну мережу

Брандмауер — це пристрій безпеки мережі, який запобігає несанкціонованому доступу до мережі. Він відстежує як вхідний, так і вихідний трафік, використовуючи попередньо визначений набір засобів безпеки для виявлення та запобігання загрозам.

панда тане

Що таке брандмауер?

Брандмауер — це апаратний або програмний пристрій безпеки мережі, який відстежує весь вхідний і вихідний трафік і на основі визначеного набору правил безпеки приймає, відхиляє або скидає певний трафік.



  • Прийняти: дозволити трафік
  • Відхилити: заблокувати трафік, але відповісти з помилкою недоступності
  • Падіння: заблокувати трафік без відповіді

Брандмауер — це тип пристрою безпеки мережі, який фільтрує вхідний і вихідний мережевий трафік за допомогою політик безпеки, попередньо встановлених в організації. Брандмауер — це, по суті, стіна, яка відділяє приватну внутрішню мережу від відкритого Інтернету на самому базовому рівні.

Брандмауер

Історія та необхідність брандмауера

До брандмауерів безпека мережі забезпечувалася списками контролю доступу (ACL), які розміщувалися на маршрутизаторах. ACL – це правила, які визначають, чи потрібно надавати або забороняти доступ до мережі для певної IP-адреси. Але ACL не може визначити характер пакета, який він блокує. Крім того, сам по собі ACL не може захистити мережу від загроз. Таким чином, був представлений брандмауер. Підключення до Інтернету більше не є необов’язковим для організацій. Однак доступ до Інтернету приносить користь організації; це також дозволяє зовнішньому світу взаємодіяти з внутрішньою мережею організації. Це створює загрозу для організації. Щоб захистити внутрішню мережу від несанкціонованого трафіку, нам потрібен брандмауер.



Робота брандмауера

Брандмауер зіставляє мережевий трафік із набором правил, визначеним у його таблиці. Коли правило збігається, до мережевого трафіку застосовується асоційована дія. Наприклад, правила визначаються так, що будь-який працівник відділу кадрів не може отримати доступ до даних із сервера кодів, і в той же час визначається інше правило, згідно з яким системний адміністратор може отримати доступ до даних як із відділу кадрів, так і з технічного відділу. Правила можна визначити на брандмауері на основі необхідності та політики безпеки організації. З точки зору сервера мережевий трафік може бути вихідним або вхідним.

Брандмауер підтримує окремий набір правил для обох випадків. Здебільшого пропускається вихідний трафік, що надходить із самого сервера. Тим не менш, установити правило для вихідного трафіку завжди краще, щоб досягти більшої безпеки та запобігти небажаному спілкуванню. Вхідний трафік обробляється інакше. Більшість трафіку, який досягає брандмауер, є одним із цих трьох основних протоколів транспортного рівня - TCP, UDP або ICMP. Усі ці типи мають адресу джерела та адресу призначення. Також TCP і UDP мають номери портів. ICMP використовує код типу замість номера порту, який визначає мету цього пакета.

Політика за умовчанням: Дуже важко чітко охопити всі можливі правила брандмауера. З цієї причини брандмауер завжди повинен мати політику за замовчуванням. Політика за умовчанням складається лише з дій (прийняти, відхилити або видалити). Припустімо, що на брандмауері не визначено правило щодо підключення SSH до сервера. Отже, він дотримуватиметься політики за умовчанням. Якщо стандартну політику брандмауера встановлено на прийняти , тоді будь-який комп’ютер за межами вашого офісу зможе встановити з’єднання SSH із сервером. Тому встановлення політики за умовчанням як падіння (або відхилити) завжди є гарною практикою.



Типи брандмауера

Брандмауери можна класифікувати на основі їхнього покоління.

1. Брандмауер фільтрації пакетів

Брандмауер фільтрації пакетів використовується для контролю доступу до мережі шляхом моніторингу вихідних і вхідних пакетів і дозволу їм пропускати або зупиняти на основі IP-адрес джерела та призначення, протоколів і портів. Він аналізує трафік на рівні транспортного протоколу (але в основному використовує перші 3 рівні). Пакетні брандмауери обробляють кожен пакет ізольовано. Вони не можуть визначити, чи є пакет частиною існуючого потоку трафіку. Тільки він може дозволити або заборонити пакети на основі унікальних заголовків пакетів. Брандмауер фільтрації пакетів підтримує таблицю фільтрації, яка вирішує, чи буде пакет переслано чи відхилено. З наведеної таблиці фільтрації пакети будуть фільтруватися за такими правилами:

Пакетний фільтр брандмауера

  • Вхідні пакети з мережі 192.168.21.0 заблоковані.
  • Вхідні пакети, призначені для внутрішнього сервера TELNET (порт 23), блокуються.
  • Вхідні пакети, призначені для хосту 192.168.21.3, блокуються.
  • Дозволені всі відомі служби мережі 192.168.21.0.

2. Брандмауер з перевіркою стану

Брандмауери з контролем стану (виконує перевірку пакетів із зазначенням стану) можуть визначати стан з’єднання пакета, на відміну від брандмауера з фільтрацією пакетів, що робить його ефективнішим. Він відстежує стан мережевого з’єднання, яке проходить через нього, наприклад потоки TCP. Таким чином, рішення щодо фільтрації базуватимуться не лише на визначених правилах, але й на історії пакетів у таблиці стану.

3. Програмний брандмауер

Програмний брандмауер — це будь-який брандмауер, налаштований локально або на хмарному сервері. Коли справа доходить до контролю над входом і вихідним потоком пакетів даних і обмеження кількості мереж, які можна підключити до одного пристрою, вони можуть бути найбільш вигідними. Але проблема програмного брандмауера полягає в тому, що вони забирають багато часу.

4. Апаратний брандмауер

Вони також називаються брандмауерами на основі фізичних пристроїв. Це гарантує, що шкідливі дані буде зупинено до того, як вони досягнуть кінцевої точки мережі, яка перебуває в небезпеці.

5. Брандмауер прикладного рівня

Брандмауер прикладного рівня може перевіряти та фільтрувати пакети на будь-якому рівні OSI, аж до прикладного рівня. Він має можливість блокувати певний вміст, а також розпізнавати випадки неправильного використання певних програм і протоколів (наприклад, HTTP, FTP). Іншими словами, брандмауери прикладного рівня — це хости, які запускають проксі-сервери. Брандмауер проксі запобігає прямому з’єднанню між будь-якою стороною брандмауера, кожен пакет має проходити через проксі.

6. Брандмауери наступного покоління (NGFW)

NGFW складається з глибокої перевірки пакетів, перевірки додатків, перевірки SSL/SSH і багатьох функцій для захисту мережі від цих сучасних загроз.

7. Брандмауер служби проксі

Цей вид брандмауера фільтрує комунікації на прикладному рівні та захищає мережу. Брандмауер проксі діє як шлюз між двома мережами для певної програми.

8. Брандмауер шлюзу рівня ланцюга

Це працює як рівень сеансів моделі OSI. Це дозволяє одночасне налаштування двох з’єднань протоколу керування передачею (TCP). Він може легко пропускати пакети даних, не використовуючи досить багато обчислювальної потужності. Ці брандмауери неефективні, оскільки вони не перевіряють пакети даних; якщо в пакеті даних знайдено зловмисне програмне забезпечення, вони дозволять йому пройти за умови належного встановлення з’єднань TCP.

Функції брандмауера

  • Кожен фрагмент даних, який надходить або виходить з комп’ютерної мережі, повинен проходити через брандмауер.
  • Якщо пакети даних безпечно маршрутизуються через брандмауер, усі важливі дані залишаються недоторканими.
  • Брандмауер реєструє кожен пакет даних, який проходить через нього, дозволяючи користувачеві відстежувати всі дії в мережі.
  • Оскільки дані безпечно зберігаються всередині пакетів даних, їх неможливо змінити.
  • Кожна спроба доступу до нашої операційної системи перевіряється нашим брандмауером, який також блокує трафік з невідомих або небажаних джерел.

Переваги використання Firewall

  • Захист від несанкціонованого доступу: Брандмауери можна налаштувати для обмеження вхідного трафіку з певних IP-адрес або мереж, запобігаючи легкому доступу хакерів або інших зловмисників до мережі чи системи. Захист від небажаного доступу.
  • Запобігання шкідливим програмам та іншим загрозам: Запобігання зловмисному програмному забезпеченню та іншим загрозам: брандмауери можна налаштувати для блокування трафіку, пов’язаного з відомим шкідливим програмним забезпеченням або іншими проблемами безпеки, допомагаючи в захисті від таких атак.
  • Контроль доступу до мережі: Обмежуючи доступ до певних осіб або груп для певних серверів або програм, можна використовувати брандмауери для обмеження доступу до певних мережевих ресурсів або служб.
  • Моніторинг мережевої активності: Брандмауери можна налаштувати для запису та відстеження всієї мережевої активності.
  • Відповідність нормам: Багато галузей зв’язані правилами, які вимагають використання брандмауерів або інших заходів безпеки.
  • Сегментація мережі: Використовуючи брандмауери для поділу великої мережі на менші підмережі, поверхня атаки зменшується, а рівень безпеки підвищується.

Недоліки використання Firewall

  • Складність: Налаштування та підтримка брандмауера може бути трудомістким і важким, особливо для великих мереж або компаній із різноманітними користувачами та пристроями.
  • Обмежена видимість: Брандмауери можуть бути не в змозі визначити або зупинити загрози безпеці, які діють на інших рівнях, таких як рівень програми або кінцевої точки, оскільки вони можуть спостерігати та керувати трафіком лише на рівні мережі.
  • Помилкове відчуття безпеки: Деякі компанії можуть надмірно покладатися на свій брандмауер і ігнорувати інші важливі заходи безпеки, такі як безпека кінцевих точок або системи виявлення вторгнень.
  • Обмежена адаптивність: Оскільки брандмауери часто засновані на правилах, вони можуть бути не в змозі реагувати на нові загрози безпеці.
  • Вплив продуктивності: Брандмауери можуть суттєво вплинути на продуктивність мережі, особливо якщо вони налаштовані на аналіз або керування великою кількістю трафіку.
  • Обмежена масштабованість: Оскільки брандмауери здатні захистити лише одну мережу, компанії, які мають кілька мереж, повинні розгортати багато брандмауерів, що може бути дорогим.
  • Обмежена підтримка VPN: Деякі брандмауери можуть не дозволяти складні функції VPN, як-от розділене тунелювання, що може обмежити роботу віддаленого працівника.
  • Вартість: Придбання багатьох пристроїв або додаткових функцій для системи брандмауера може бути дорогим, особливо для компаній.

Практичне запитання

Запитання: брандмауер з фільтрацією пакетів може [ISRO CS 2013]

(A) Заборонити певним користувачам доступ до служби

(B) Блокуйте хробакам і вірусам доступ до мережі

(C) Заборонити доступ до деяких файлів через FTP

(D) Заблокувати деяким хостам доступ до мережі

Відповідь: варіант (D)

Для отримання більш детальної інформації ви можете звернутися ISRO | ISRO CS 2013 | Питання 44 опублікована вікторина.

Часті запитання щодо брандмауерів – поширені запитання

Чи може брандмауер уповільнити швидкість мережі?

Так, брандмауер може знизити швидкість мережі.

Як брандмауер зупиняє трафік?

Брандмауер діє як постійний фільтр, аналізуючи вхідні дані та блокуючи все, що здається підозрілим, від входу до вашої мережі, щоб захистити систему.

Чи можуть брандмауери зупинити черв’яків?

Так, встановлення брандмауера допомагає запобігти зараженню комп’ютера черв’яками та шкідливим програмним забезпеченням, а також блокує небажаний трафік.