Kompletní průvodce bránou firewall: Jak vybudovat zabezpečený síťový systém

complete guide firewall

Podrobný pohled na Firewall s klasickými příklady:

Prozkoumali jsme Vše o směrovačích v našem předchozím tutoriálu v tomto Výukové návody pro vytváření sítí pro všechny .

V těchto současných komunikačních a síťových systémech se používání internetu značně vyvinulo téměř ve všech odvětvích.

Tento růst a používání internetu přineslo několik výhod a usnadnění každodenní komunikace pro osobní i organizační účely. Ale na druhou stranu to vyšlo s bezpečnostními problémy, problémy s hackováním a jinými druhy nežádoucího rušení.

K řešení těchto problémů je zapotřebí zařízení, které by mělo mít schopnost chránit počítače a aktiva společnosti před těmito problémy.

Co se naučíte:

• Úvod do brány firewall
  • Software Vs Hardware Firewall
  • Síťové hrozby
  • Ochrana firewallem
  • Referenční model brány firewall a OSI
  • Řešení vnitřních hrozeb
  • DMZ
  • Součásti systému brány firewall
    • # 1) Obvodový směrovač
    • # 2) Firewall
    • # 3) VPN
    • # 4) IDS
  • Umístění komponent
  • Správa a správa brány firewall
  • Kategorie brány firewall
    • # 1) Firewall pro filtrování paketů
    • # 2) Stavový firewall
    • # 3) Proxy Firewall
  • Typy softwaru brány firewall
    • # 1) Comodo Firewall
    • # 2) AVS Firewall
    • # 3) Netdefender
    • # 4) PeerBlock
    • # 5) Brána firewall systému Windows
    • # 6) Juniper Firewall
  • Závěr
  • Doporučené čtení

Úvod do brány firewall

Koncept firewallu byl představen k zabezpečení procesu komunikace mezi různými sítěmi.

Brána firewall je softwarové nebo hardwarové zařízení, které zkoumá data z několika sítí a poté je buď povoluje, nebo blokuje pro komunikaci s vaší sítí, a tento proces se řídí sadou předdefinovaných bezpečnostních pokynů.

V tomto kurzu prozkoumáme různé aspekty brány firewall a jejích aplikací.

Definice:

Firewall je zařízení nebo kombinace systémů, které dohlíží na tok provozu mezi odlišnými částmi sítě.Brána firewallse používá k ochraně sítě před ošklivými lidmi a zákazu jejich akcí na předem definovaných hraničních úrovních.

Brána firewall se nepoužívá pouze k ochraně systému před vnějšími hrozbami, ale tato hrozba může být také interní. Proto potřebujeme ochranu na každé úrovni hierarchie síťových systémů.

Kvalitní brána firewall by měla stačit na to, aby dokázala čelit jak vnitřním, tak vnějším hrozbám a dokázat čelit škodlivému softwaru, jako jsou červi, při získávání přístupu k síti. Poskytuje také váš systém k zastavení předávání nezákonných dat do jiného systému.

Například „firewall vždy existuje mezi privátní sítí a internetem, což je veřejná síť, a tak filtruje přicházející a odcházející pakety.

Firewall jako bariéra mezi internetem a LAN

Výběr přesné brány firewall je při budování zabezpečeného síťového systému zásadní.

Firewall zajišťuje bezpečnostní aparát pro povolení a omezení provozu, ověřování, překladu adres a zabezpečení obsahu.

Zajišťuje ochranu sítě 365 * 24 * 7 před hackery. Jedná se o jednorázovou investici pro každou organizaci a ke správnému fungování potřebuje pouze včasné aktualizace. Nasazením brány firewall není v případě síťových útoků potřeba žádná panika.

Software Vs Hardware Firewall

Základní příklad brány firewall

Hardwarový firewall chrání celou síť organizace, která ji používá, pouze před vnějšími hrozbami. V případě, že je zaměstnanec organizace připojen k síti prostřednictvím svého notebooku, nemůže tuto ochranu využít.

Na druhou stranu softwarová brána firewall zajišťuje zabezpečení založené na hostiteli, protože software je nainstalován na každé ze zařízení připojených k síti, čímž chrání systém před vnějšími i vnitřními hrozbami. Mobilní uživatelé jej nejčastěji používají k digitální ochraně svého telefonu před škodlivými útoky.

Síťové hrozby

Seznam síťových hrozeb je uveden níže:

• Několik příkladů síťových hrozeb, které se používají k demolici počítačových síťových systémů, jsou červi, odmítnutí služby (DoS) a trojské koně.
• Virus trojských koní je druh malwaru, který plní v systému přiřazenou úlohu. Ve skutečnosti se ale pokoušel nelegálně přistupovat k síťovým prostředkům. Tyto viry, pokud jsou injektovány do vašeho systému, dávají hackerovi právo hacknout vaši síť.
• Jedná se o velmi nebezpečné viry, protože mohou dokonce způsobit zhroucení vašeho počítače a mohou vzdáleně upravovat nebo mazat vaše důležitá data ze systému.
• Počítačové červy jsou typem malwarového programu. K přenosu jejich kopií do ostatních počítačů v síti spotřebovávají šířku pásma a rychlost sítě. Poškozují počítače tím, že úplně poškozují nebo upravují databázi počítače.
• Červi jsou velmi nebezpeční, protože mohou zničit zašifrované soubory a připojit se e-mailem, a tak mohou být přenášeni v síti přes internet.

Ochrana firewallem

V malých sítích můžeme zajistit zabezpečení každého z našich síťových zařízení zajištěním instalace všech softwarových oprav, deaktivace nežádoucích služeb a řádného instalace bezpečnostního softwaru.

V této situaci, jak je také znázorněno na obrázku, je software brány firewall namontován na každém stroji a serveru a nakonfigurován takovým způsobem, že ze zařízení může přicházet a odcházet pouze uvedený provoz. To však funguje efektivně pouze v malých sítích.

Ochrana firewallem v malé síti

Ve velké síti je téměř nemožné ručně nakonfigurovat ochranu brány firewall v každém uzlu.

Centralizovaný bezpečnostní systém je řešení, které poskytuje zabezpečenou síť velkým sítím. S pomocí příkladu je na následujícím obrázku znázorněno, že řešení brány firewall je vynuceno samotným směrovačem, a je snadné zvládnout zásady zabezpečení. Zásady provozu přicházejí a odcházejí do zařízení a lze je zpracovat pouze jedním zařízením.

jak píšeš testovací případy

Díky tomu je celkový bezpečnostní systém nákladově efektivní.

Ochrana firewallem ve velkých sítích

Referenční model brány firewall a OSI

Systém brány firewall může pracovat na pěti vrstvách referenčního modelu OSI-ISO. Ale většina z nich běží pouze na čtyřech vrstvách, tj. Vrstvě datového spoje, síťové vrstvě, transportní vrstvě a aplikačních vrstvách.

Počet obálek vrstev firewallem závisí na typu použitého firewallu. Větší bude počet vrstev, které pokrývá, efektivnější bude řešení brány firewall pro řešení všech druhů bezpečnostních problémů.

Řešení vnitřních hrozeb

Většina útoků na síť probíhá zevnitř systému, takže řešení jejího systému Firewall by mělo být schopno zajistit také před interními hrozbami.

Níže je popsáno několik druhů interních hrozeb:

# 1) Škodlivé kybernetické útoky jsou nejběžnějším typem vnitřních útoků. Správce systému nebo jakýkoli zaměstnanec oddělení IT, který má přístup k síťovému systému, může zasadit některé viry, aby ukradl důležité informace o síti nebo poškodil síťový systém.

Řešením je sledovat aktivity každého zaměstnance a střežit vnitřní síť pomocí více vrstev hesla na každý ze serverů. Systém lze také chránit poskytnutím přístupu k systému co nejmenšímu počtu zaměstnanců.

#dva) Kterýkoli z hostitelských počítačů vnitřní sítě organizace může stahovat škodlivý internetový obsah, aniž by měl znalosti o stahování viru také s ním. Hostitelské systémy by tedy měly mít omezený přístup k internetu. Veškeré zbytečné procházení by mělo být blokováno.

# 3) Únik informací z kteréhokoli hostitelského počítače přes jednotky pera, pevný disk nebo CD-ROM je také síťovou hrozbou pro systém. To může vést k zásadnímu úniku databáze organizace do vnějšího světa nebo ke konkurenci. To lze ovládat deaktivací portů USB hostitelských zařízení, aby nemohla ze systému odebírat žádná data.

Doporučené čtení => Nejlepší softwarové nástroje pro uzamčení USB

DMZ

Demilitarizovaná zóna (DMZ) je používána většinou systémů brány firewall k hlídání majetku a zdrojů. DMZ jsou nasazeny tak, aby umožňovaly externím uživatelům přístup k prostředkům, jako jsou e-mailové servery, servery DNS a webové stránky, aniž by došlo k odkrytí interní sítě. Chová se jako vyrovnávací paměť mezi charakteristickými segmenty v síti.

Každá oblast v systému brány firewall má přidělenou úroveň zabezpečení.

Například , nízká, střední a vysoká. Normálně provoz proudí z vyšší úrovně na nižší úroveň. Ale aby se provoz přesunul z nižší na vyšší úroveň, je nasazena jiná sada pravidel filtrování.

Pro povolení přechodu provozu z nižší úrovně zabezpečení na vyšší úroveň zabezpečení je třeba přesně určit druh povoleného provozu. Přesně odemykáme systém brány firewall pouze pro tento provoz, který je nezbytný, všechny ostatní druhy provozu budou blokovány konfigurací.

Firewall je nasazen do samostatných odlišných částí sítě.

Různá rozhraní jsou následující:

• Odkaz na internet, přiřazený s nejnižší úrovní zabezpečení.
• Odkaz na DMZ přidělil střední zabezpečení z důvodu přítomnosti serverů.
• Odkaz na organizaci, který se nachází na vzdáleném konci, přidělil střední zabezpečení.
• Nejvyšší zabezpečení je přiřazeno interní síti.

Ochrana firewallem pomocí DMS

Pravidla přiřazená organizaci jsou:

• Je povolen přístup na vysokou až nízkou úroveň
• Nízký až vysoký přístup není povolen
• Rovnocenný přístup také není povolen

Pomocí výše uvedené sady pravidel je přenos, který může automaticky procházet bránou firewall, následující:

• Interní zařízení pro DMZ, vzdálenou organizaci a internet.
• DMZ do vzdálené organizace a na internet.

Jakýkoli jiný druh toku provozu je blokován. Výhodou takového designu je, že jelikož je internetu a vzdálené organizaci přiřazen ekvivalentní druh úrovní zabezpečení, provoz z Internetu, který není schopen určit organizaci, která sama zvyšuje ochranu, a organizace nebude moci používat internet zdarma (šetří peníze).

Další výhodou je, že poskytuje vrstvené zabezpečení, takže pokud chce hacker hacknout interní zdroje, musí nejprve hacknout DMZ. Úloha hackera se stává přísnější, což zase zvyšuje bezpečnost systému.

Součásti systému brány firewall

Stavební bloky dobrého systému brány firewall jsou následující:

• Obvodový router
• Firewall
• VPN
• IDS

# 1) Obvodový směrovač

Hlavním důvodem jeho použití je poskytnout odkaz na systém veřejné sítě, jako je internet, nebo odlišná organizace. Provádí směrování datových paketů podle příslušného směrovacího protokolu.

Poskytuje také filtrování překladů paketů a adres.

# 2) Firewall

Jak již bylo zmíněno dříve, jeho hlavním úkolem je zajistit odlišnou úroveň zabezpečení a dohlížet na provoz mezi každou úrovní. Většina brány firewall existuje poblíž routeru, aby poskytovala zabezpečení před vnějšími hrozbami, ale někdy je přítomna v interní síti také k ochraně před interními útoky.

# 3) VPN

Jeho funkcí je zajistit zabezpečené spojení mezi dvěma stroji nebo sítěmi nebo strojem a sítí. Skládá se ze šifrování, autentizace a zajištění spolehlivosti paketů. Poskytuje zabezpečený vzdálený přístup k síti, čímž spojuje dvě sítě WAN na stejné platformě, aniž by byl fyzicky připojen.

# 4) IDS

Jeho funkcí je identifikovat, vyloučit, vyšetřit a vyřešit neoprávněné útoky. Hacker může na síť zaútočit různými způsoby. Může provést útok DoS nebo útok ze zadní strany sítě prostřednictvím neautorizovaného přístupu. Řešení IDS by mělo být dostatečně chytré, aby zvládlo tyto typy útoků.

Řešení IDS je dvou druhů, síťový a hostitelský. Síťové řešení IDS by mělo být zkušené takovým způsobem, kdykoli se objeví útok, může přistupovat k systému brány firewall a po přihlášení do něj nakonfigurovat efektivní filtr, který může omezit nežádoucí provoz.

Hostitelské IDS řešení je druh softwaru, který běží na hostitelském zařízení, jako je notebook nebo server, který rozpoznává hrozbu pouze proti tomuto zařízení. Řešení IDS by mělo pečlivě kontrolovat síťové hrozby a včas je hlásit a mělo by proti útokům podniknout nezbytná opatření.

Umístění komponent

Diskutovali jsme o několika hlavních stavebních blocích systému brány firewall. Nyní pojďme diskutovat o umístění těchto komponent.

Níže s pomocí příkladu ilustruji design sítě. Nelze však zcela říci, že se jedná o celkový bezpečný návrh sítě, protože každý návrh může mít určitá omezení.

Obvodový směrovač se základními funkcemi filtrování se používá, když provoz pronikne do sítě. Součást IDS je umístěna k identifikaci útoků, které obvodový směrovač nebyl schopen odfiltrovat.

Provoz tak prochází bránou firewall. Firewall má tři úrovně zabezpečení: nízká pro internet znamená externí stranu, střední pro DMZ a vysoká pro interní síť. Pravidlem je povolit provoz pouze z internetu na webový server.

Zbytek toku provozu od dolní k vyšší straně je omezen, je však povolen tok od vyššího k nižšímu, takže administrátor pobývající ve vnitřní síti pro přihlášení na server DMZ.

Celkový příklad návrhu systému brány firewall

V tomto návrhu je také implementován interní směrovač, který interně směruje pakety a provádí akce filtrování.

Výhodou tohoto návrhu je, že má tři vrstvy zabezpečení, obvodový směrovač filtrování paketů, IDS a bránu firewall.

Nevýhodou tohoto nastavení je, že v interní síti nedochází k žádnému IDS, takže nemůže snadno zabránit interním útokům.

Důležitá fakta o návrhu:

• Pro zvýšení zabezpečení je třeba na hranici sítě použít bránu firewall filtrující pakety.
• Každý server vystavený veřejné síti, jako je internet, bude umístěn v DMZ. Servery, které mají rozhodující data, budou v nich vybaveny hostitelským softwarem brány firewall. Kromě těchto na serverech by měly být zakázány všechny nežádoucí služby.
• Pokud vaše síť obsahuje kritické databázové servery, jako je HLR server, IN a SGSN, které se používají v mobilních operacích, bude nasazeno více DMZ.
• Pokud externí zdroje, jako jsou organizace na dálku, chtějí získat přístup k vašemu serveru umístěnému v interní síti zabezpečeného systému, použijte VPN.
• U klíčových interních zdrojů, jako jsou výzkum a vývoj nebo finanční zdroje, by se IDS mělo používat ke sledování a řešení interních útoků. Samostatným ukládáním úrovní zabezpečení lze do interní sítě poskytnout další zabezpečení.
• U e-mailových služeb by všechny odchozí e-maily měly nejprve procházet e-mailovým serverem DMZ a poté nějakým dalším bezpečnostním softwarem, aby bylo možné se vyhnout vnitřním hrozbám.
• U příchozích e-mailů by kromě serveru DMZ měl být nainstalován antivirový, spamový a hostitelský software, který by se měl na serveru spouštět pokaždé, když na něj vstoupí e-mail.

Správa a správa brány firewall

Nyní jsme vybrali stavební kameny našeho firewallového systému. Nyní nastal čas nakonfigurovat pravidla zabezpečení na síťový systém.

Ke konfiguraci softwaru brány firewall se používá rozhraní příkazového řádku (CLI) a grafické uživatelské rozhraní (GUI). Například „Produkty Cisco podporují oba druhy konfiguračních metod.

V dnešní době se ve většině sítí ke konfiguraci směrovačů, bran firewall a atributů VPN používá správce bezpečnostních zařízení (SDM), který je také produktem společnosti Cisco.

Pro implementaci firewallového systému je pro hladký průběh procesu velmi důležitá efektivní správa. Lidé spravující bezpečnostní systém musí být ve své práci mistři, protože neexistuje žádný prostor pro lidskou chybu.

Je třeba se vyhnout jakémukoli typu chyb konfigurace. Kdykoli budou provedeny aktualizace konfigurace, musí administrátor celý proces zkontrolovat a znovu zkontrolovat, aby na něj nezůstal žádný prostor pro mezery a hackery. Správce by měl použít softwarový nástroj k prozkoumání provedených změn.

Jakékoli zásadní změny konfigurace v systémech brány firewall nelze přímo aplikovat na probíhající velké sítě, protože v případě selhání může dojít k velké ztrátě sítě a přímému vstupu nežádoucího provozu do systému. Nejprve by tedy mělo být provedeno v laboratoři a prozkoumat výsledky, pokud jsou výsledky v pořádku, pak můžeme implementovat změny v živé síti.

Kategorie brány firewall

Na základě filtrování provozu existuje mnoho kategorií brány firewall, některé jsou vysvětleny níže:

# 1) Firewall pro filtrování paketů

Jedná se o druh routeru, který má schopnost filtrovat to málo z podstaty datových paketů. Při použití filtrování paketů jsou pravidla klasifikována ve firewallu. Tato pravidla z paketů zjišťují, který provoz je povolen a který nikoli.

# 2) Stavový firewall

Nazývá se také jako dynamické filtrování paketů, kontroluje stav aktivních připojení a pomocí těchto dat zjišťuje, které z paketů by měly být povoleny prostřednictvím brány firewall a které nikoli.

Firewall kontroluje paket až do aplikační vrstvy. Trasováním dat relace, jako je IP adresa a číslo portu datového paketu, může poskytnout síti velmi silné zabezpečení.

Rovněž kontroluje příchozí i odchozí provoz, takže hackeři zjistili, že je obtížné zasahovat do sítě pomocí tohoto firewallu.

# 3) Proxy Firewall

Tito jsou také známí jako brány firewall aplikační brány. Stavový firewall není schopen chránit systém před útoky založenými na protokolu HTTP. Proto je na trh zaveden proxy firewall.

Zahrnuje funkce stavové kontroly a navíc má schopnost důkladně analyzovat protokoly aplikační vrstvy.

Může tak sledovat provoz z HTTP a FTP a zjistit možnosti útoků. Brána firewall se tedy chová jako server proxy, což znamená, že klient inicializuje připojení s bránou firewall a brána firewall na oplátku iniciuje samostatné propojení se serverem na straně klienta.

Typy softwaru brány firewall

Níže je uvedeno několik nejpopulárnějších softwarů brány firewall, které organizace používají k ochraně svých systémů:

# 1) Comodo Firewall

Virtuální procházení Internetu, blokování nežádoucích vyskakovacích reklam a přizpůsobení serverů DNS jsou běžné funkce této brány firewall. Virtuální stánek se používá k blokování některých procedur a programů skrýváním a pronikáním do sítě.

V tomto firewallu lze kromě dlouhého procesu definování portů a dalších programů pro povolení a blokování povolit a blokovat libovolný program pouhým procházením programu a kliknutím na požadovaný výstup.

Comodo killswitch je také vylepšenou funkcí této brány firewall, která ilustruje všechny probíhající procesy a umožňuje velmi snadno zablokovat nežádoucí program.

# 2) AVS Firewall

Je velmi jednoduché jej implementovat. Chrání váš systém před nepříjemnými úpravami registrů, vyskakovacími okny a nechtěnými reklamami. Můžeme také kdykoli upravit adresy URL reklam a také je můžeme zablokovat.

Má také funkci nadřazeného ovládacího prvku, který je součástí povolení přístupu pouze k přesné skupině webů.

Používá se ve Windows 8, 7, Vista a XP.

# 3) Netdefender

Zde můžeme snadno nastínit zdrojovou a cílovou IP adresu, číslo portu a protokol, které jsou v systému povoleny a nejsou povoleny. Můžeme povolit a blokovat nasazení a omezení FTP v jakékoli síti.

Má také skener portů, který umí vizualizovat, které lze použít pro tok provozu.

# 4) PeerBlock

Přes blokování jednotlivých tříd programů definovaných v počítači blokuje celkovou třídu IP adres spadajících do konkrétní kategorie.

Nasazuje tuto funkci tím, že blokuje příchozí i odchozí provoz definováním sady blokovaných adres IP. Síť nebo počítač využívající tuto sadu adres IP proto nemohou přistupovat k síti a také interní síť nemůže odesílat odchozí provoz do těchto blokovaných programů.

nejlepší mp3 stahovač hudby pro PC

# 5) Brána firewall systému Windows

Nejčastější bránou firewall používanou uživateli systému Windows 7 je tato brána firewall. Poskytuje přístup a omezení provozu a komunikace mezi sítěmi nebo sítí nebo zařízením analýzou IP adresy a čísla portu. Ve výchozím nastavení povoluje veškerý odchozí provoz, ale umožňuje pouze definovaný příchozí provoz.

# 6) Juniper Firewall

Jalovec sám o sobě organizuje síť a navrhuje také různé typy směrovačů a filtrů brány firewall. V živé síti, jako jsou poskytovatelé mobilních služeb, používá firewally vyrobené společností Juniper k ochraně svých síťových služeb před různými typy hrozeb.

Chrání síťové směrovače a další příchozí provoz a nepřijatelné útoky z externích zdrojů, které mohou přerušit síťové služby a zpracovat, který provoz má být předán ze které ze směrovačových rozhraní.

Implementuje jeden vstupní a jeden výstupní filtr brány firewall do každého z příchozích a odchozích fyzických rozhraní. Tím se odfiltrují nežádoucí datové pakety podle pravidel definovaných u příchozích i odchozích rozhraní.

Podle výchozího nastavení konfigurace brány firewall se rozhoduje o tom, které pakety budou přijaty a které budou zahozeny.

Závěr

Z výše uvedeného popisu různých aspektů brány firewall vyvodíme závěr, že k překonání vnějších a vnitřních síťových útoků byla zavedena koncepce brány firewall.

Brána firewall může být hardwarová nebo softwarová, která dodržováním určité sady pravidel ochrání náš síťový systém před viry a jinými typy škodlivých útoků.

Prozkoumali jsme zde také různé kategorie brány firewall, komponenty brány firewall, návrh a implementaci brány firewall a dále některé slavné brány firewall, které jsme používali v síťovém průmyslu.

Výukový program PREV | DALŠÍ výuka

Doporučené čtení

• LAN V WAN V MAN: Přesný rozdíl mezi typy sítí
• Model TCP / IP s různými vrstvami
• Vše o směrovačích: Typy směrovačů, směrovací tabulka a směrování IP
• Vše o přepínačích vrstvy 2 a vrstvy 3 v síťovém systému
• Průvodce po masce podsítě (podsítě) a kalkulačce podsítě IP
• Co je Wide Area Network (WAN): Live WAN Network examples
• Důležité protokoly aplikační vrstvy: protokoly DNS, FTP, SMTP a MIME
• IPv4 vs IPv6: Jaký je přesný rozdíl