complete guide firewall
En grundig titt på brannmur med klassiske eksempler:
Vi utforsket Alt om rutere i vår forrige opplæring i dette Nettverksopplæringsveiledninger for alle .
I dette dagens moderne kommunikasjons- og nettverkssystemer har bruken av internett utviklet seg enormt i nesten alle sektorer.
Denne veksten og bruken av internett har medført flere fordeler og enkelhet i den daglige kommunikasjonen for både personlige og organisatoriske formål. Men på den annen side kom det ut med sikkerhetsproblemer, hackingproblemer og andre former for uønsket forstyrrelse.
For å takle disse problemene, er det nødvendig med en enhet som skal kunne beskytte PC-en og selskapets eiendeler mot disse problemene.
Hva du vil lære:
- Introduksjon til brannmur
Introduksjon til brannmur
Konseptet med brannmuren ble introdusert for å sikre kommunikasjonsprosessen mellom forskjellige nettverk.
En brannmur er en programvare eller en maskinvareenhet som undersøker dataene fra flere nettverk og deretter enten tillater den eller blokkerer den for å kommunisere med nettverket ditt, og denne prosessen styres av et sett med forhåndsdefinerte sikkerhetsretningslinjer.
I denne opplæringen vil vi utforske de forskjellige aspektene ved brannmuren og dens applikasjoner.
Definisjon:
En brannmur er en enhet eller en kombinasjon av systemer som overvåker trafikkflyten mellom særegne deler av nettverket.En brannmurbrukes til å beskytte nettverket mot ekle mennesker og forby deres handlinger på forhåndsdefinerte grensenivå.
En brannmur brukes ikke bare for å beskytte systemet mot utvendige trusler, men trusselen kan også være intern. Derfor trenger vi beskyttelse på hvert nivå i hierarkiet av nettverkssystemer.
En god brannmur skal være tilstrekkelig til å håndtere både interne og eksterne trusler og være i stand til å håndtere skadelig programvare som ormer fra å skaffe tilgang til nettverket. Det gir også systemet ditt for å stoppe videresending av ulovlige data til et annet system.
For eksempel , eksisterer det alltid en brannmur mellom et privat nettverk og Internett som er et offentlig nettverk og filtrerer dermed pakker som kommer inn og ut.
Brannmur som en barriere mellom Internett og LAN
Å velge en presis brannmur er avgjørende for å bygge opp et sikkert nettverkssystem.
Brannmur sørger for sikkerhetsapparatet for å tillate og begrense trafikk, autentisering, adresseoversettelse og innholdssikkerhet.
Det sikrer 365 * 24 * 7 beskyttelse av nettverk fra hackere. Det er en engangsinvestering for enhver organisasjon og trenger bare oppdateringer i tide for å fungere skikkelig. Ved å distribuere brannmur er det ikke behov for panikk i tilfelle nettverksangrep.
Programvare mot maskinvarebrannmur
Grunnleggende eksempel på nettverk av brannmur
Maskinvarebrannmur beskytter bare hele nettverket til en organisasjon som bruker den mot eksterne trusler. Hvis en ansatt i organisasjonen er koblet til nettverket via sin bærbare datamaskin, kan han ikke benytte beskyttelsen.
På den annen side gir programvarebrannmur vertsbasert sikkerhet når programvaren er installert på hver av enhetene som er koblet til nettverket, og derved beskytter systemet mot eksterne så vel som interne trusler. Det brukes mest av mobilbrukere for å beskytte håndsettet digitalt mot ondsinnede angrep.
Nettverkstrusler
En liste over nettverkstrusler er beskrevet nedenfor:
- Ormer, denial of service (DoS) og trojanske hester er noen få eksempler på nettverkstrusler som brukes til å rive datanettverkssystemene.
- Trojan hestevirus er en slags skadelig programvare som utfører en tildelt oppgave i systemet. Men faktisk prøvde den å ulovlig få tilgang til nettverksressursene. Disse virusene, hvis de injiseres i systemet ditt, gir hackeren rett til å hacke nettverket ditt.
- Dette er veldig farlige virus, da de til og med kan føre til at PC-en krasjer og kan endre eller slette viktige data fra systemet eksternt.
- Computer ormer er en type skadelig program. De bruker båndbredden og hastigheten til nettverket for å overføre kopier av dem til de andre PCene i nettverket. De skader datamaskinene ved å ødelegge eller endre databasen til datamaskinen helt.
- Ormene er veldig farlige, ettersom de kan ødelegge de krypterte filene og legge ved med e-post og dermed kan overføres i nettverket via internett.
Brannmurbeskyttelse
I små nettverk kan vi sikre hver av nettverksenhetene våre sikret ved å sikre at alle programvareoppdateringer er installert, uønskede tjenester er deaktivert, og sikkerhetsprogramvare er riktig installert i den.
I denne situasjonen, som også vist i figuren, er brannmurprogramvaren montert på hver maskin og server og konfigurert på en slik måte at bare listet trafikk kan komme inn og ut av enheten. Men dette fungerer effektivt i små nettverk.
Brannmurbeskyttelse i småskala nettverk
I et stort nettverk er det nesten umulig å konfigurere brannmurbeskyttelsen manuelt på hver node.
Det sentraliserte sikkerhetssystemet er en løsning for å gi et sikkert nettverk til store nettverk. Ved hjelp av et eksempel vises det i figuren nedenfor at brannmurløsningen pålegges selve ruteren, og det blir enkelt å håndtere sikkerhetspolitikk. Retningslinjene for trafikk kommer inn og ut i enheten og kan håndteres kun av en enhet.
enkelt flette sorteringsprogram i c ++
Dette gjør det samlede sikkerhetssystemet kostnadseffektivt.
Brannmurbeskyttelse i store nettverk
Brannmur og OSI referansemodell
Et brannmursystem kan fungere på fem lag av OSI-ISO-referansemodellen. Men de fleste kjører bare på fire lag, dvs. datalinklag, nettverkslag, transportlag og applikasjonslag.
Antall lag som en brannmur omslutter, er avhengig av hvilken type brannmur som brukes. Større vil være et antall lag som dekker mer effektivt, vil være brannmurløsningen for å håndtere alle slags sikkerhetsproblemer.
Å håndtere indre trusler
Det meste av angrepet på nettverket skjer fra innsiden av systemet, så for å håndtere brannmursystemet bør det også være i stand til å sikre fra interne trusler.
Få typer interne trusler er beskrevet nedenfor:
#1) Ondsinnede nettangrep er den vanligste typen interne angrep. Systemadministratoren eller en hvilken som helst ansatt fra IT-avdelingen som har tilgang til nettverkssystemet kan plante noen virus for å stjele viktig nettverksinformasjon eller for å skade nettverkssystemet.
Løsningen for å håndtere det er å overvåke aktivitetene til hver ansatt og beskytte det interne nettverket ved å bruke flere lag av passordet til hver av serverne. Systemet kan også beskyttes ved å gi tilgang til systemet til minst mulig av de ansatte.
#to) Alle vertsdatamaskiner i organisasjonens interne nettverk kan laste ned skadelig internettinnhold med mangel på kunnskap om å laste ned viruset også med det. Dermed bør vertssystemene ha begrenset tilgang til internett. All unødvendig surfing bør blokkeres.
# 3) Informasjonslekkasje fra hvilken som helst av verts-PC-en via pennstasjoner, harddisk eller CD-ROM er også en nettverkstrussel mot systemet. Dette kan føre til avgjørende databaselekkasje av organisasjonen til den ytre verden eller konkurrenter. Dette kan styres ved å deaktivere USB-porter på vertsenheter, slik at de ikke kan ta ut data fra systemet.
Anbefalt lesing => Topp programvareverktøy for USB-låsing
DMZ
En demilitarisert sone (DMZ) brukes av et flertall brannmursystemer for å beskytte eiendeler og ressurser. DMZ er distribuert for å gi eksterne brukere tilgang til ressurser som e-postservere, DNS-servere og websider uten å avdekke det interne nettverket. Den oppfører seg som en buffer mellom særegne segmenter i nettverket.
Hver region i brannmursystemet tildeles et sikkerhetsnivå.
For eksempel , lav, middels og høy. Normalt strømmer trafikken fra et høyere nivå til et lavere nivå. Men for at trafikken skal bevege seg fra et lavere til et høyere nivå, distribueres et annet sett med filtreringsregler.
For å tillate trafikken å bevege seg fra et lavere sikkerhetsnivå til et høyere sikkerhetsnivå, bør man være nøyaktig med hva slags tillatt trafikk. Ved å være presis låser vi bare opp brannmursystemet for den trafikken som er viktig, alle andre typer trafikk vil bli blokkert av konfigurasjonen.
En brannmur er distribuert for å skille forskjellige deler av nettverket.
De forskjellige grensesnittene er som følger:
- Lenke til Internett, tilordnet det laveste sikkerhetsnivået.
- En lenke til DMZ tilordnet middels sikkerhet på grunn av tilstedeværelsen av servere.
- En lenke til organisasjonen, som ligger i den fjerne enden, tildelte middels sikkerhet.
- Den høyeste sikkerheten er tilordnet det interne nettverket.
Brannmurbeskyttelse med DMS
Reglene som tildeles organisasjonen er:
- Høy tilgang til lavt nivå er tillatt
- Lav til høyt nivå tilgang er ikke tillatt
- Tilsvarende tilgang er heller ikke tillatt
Ved å bruke ovennevnte regelsett er trafikken som får lov til å strømme automatisk gjennom brannmuren:
- Interne enheter til DMZ, ekstern organisasjon og internett.
- DMZ til den eksterne organisasjonen og internett.
Enhver annen form for trafikkstrøm er blokkert. Fordelen med en slik utforming er at siden internett og den eksterne organisasjonen er tildelt tilsvarende slags sikkerhetsnivåer, kan trafikk fra Internett som ikke er i stand til å bestemme organisasjonen, som i seg selv forbedrer beskyttelsen, og organisasjonen ikke kunne bruke internett gratis (det sparer penger).
En annen fordel er at den gir lagvis sikkerhet, så hvis en hacker ønsker å hacke de interne ressursene, må den først hacke DMZ. Hacker's oppgave blir tøffere, noe som igjen gjør systemet mye sikrere.
Komponenter i et brannmursystem
Byggesteinene til et godt brannmursystem er som følger:
- Ramme router
- Brannmur
- VPN
- IDS
# 1) Perimeter Router
Hovedårsaken til å bruke den er å gi en lenke til det offentlige nettverkssystemet som internett, eller en særegen organisasjon. Den utfører rutingen av datapakker ved å følge en passende rutingsprotokoll.
Den sørger også for filtrering av pakker og adresserer oversettelser.
# 2) Brannmur
Som diskutert tidligere, er hovedoppgaven også å sørge for særegne sikkerhetsnivåer og overvåke trafikken mellom hvert nivå. Det meste av brannmuren finnes i nærheten av ruteren for å gi sikkerhet mot eksterne trusler, men noen ganger til stede i det interne nettverket, også for å beskytte mot interne angrep.
# 3) VPN
Dens funksjon er å sørge for en sikret forbindelse mellom to maskiner eller nettverk eller en maskin og et nettverk. Dette består av kryptering, autentisering og pakke-pålitelighetssikring. Den sørger for sikker ekstern tilgang til nettverket, og kobler dermed to WAN-nettverk på samme plattform mens de ikke er fysisk tilkoblet.
# 4) IDS
Dens funksjon er å identifisere, utelukke, undersøke og løse uautoriserte angrep. En hacker kan angripe nettverket på forskjellige måter. Det kan utføre et DoS-angrep eller et angrep fra baksiden av nettverket gjennom uautorisert tilgang. En IDS-løsning bør være smart nok til å håndtere denne typen angrep.
IDS-løsning er av to slag, nettverksbasert og vertsbasert. En nettverksbasert IDS-løsning bør være dyktig på en slik måte når et angrep blir oppdaget, kan få tilgang til brannmursystemet og etter å ha logget på det kan konfigurere et effektivt filter som kan begrense den uønskede trafikken.
En vertsbasert IDS-løsning er en slags programvare som kjører på en vertsenhet, for eksempel en bærbar datamaskin eller server, som bare oppdager trusselen mot den enheten. IDS-løsningen bør inspisere nettverkstrusler nøye og rapportere dem i tide, og bør ta nødvendige tiltak mot angrepene.
Komponentplassering
Vi har diskutert noen av de viktigste byggesteinene i brannmursystemet. La oss nå diskutere plasseringen av disse komponentene.
Nedenfor ved hjelp av et eksempel illustrerer jeg utformingen av nettverket. Men det kan ikke sies helt at det er den overordnede sikre nettverksdesignen, fordi hvert design kan ha noen begrensninger.
Perimeterruteren med grunnleggende filtreringsfunksjoner brukes når trafikk trenger inn i nettverket. En IDS-komponent er plassert for å identifisere angrep som omkretsruteren ikke var i stand til å filtrere ut.
Trafikken går derved gjennom brannmuren. Brannmuren har startet tre nivåer av sikkerhet, lavt for Internett betyr ekstern side, medium for DMZ og høyt for det interne nettverket. Regelen som følges er å kun tillate trafikk fra internett til webserveren.
Resten av trafikkflyten fra lavere til høyere side er begrenset, men høyere til lavere trafikkflyt er tillatt, slik at administratoren som er bosatt i det interne nettverket for å logge på DMZ-serveren.
Generelt eksempel på brannmurdesign
En intern ruter er også implementert i denne utformingen for å dirigere pakkene internt og utføre filtreringshandlinger.
Fordelen med denne designen er at den har tre lag med sikkerhet, ruter for pakkefiltrering, IDS og brannmur.
Ulempen med dette oppsettet er at ingen IDS forekommer i det interne nettverket og dermed ikke lett kan forhindre interne angrep.
Viktige designfakta:
- En pakkefiltrerende brannmur skal brukes ved nettverkets grense for å gi økt sikkerhet.
- Hver server som har eksponering for et offentlig nettverk som Internett vil bli plassert i DMZ. Servere som har viktige data vil være utstyrt med vertsbasert brannmurprogramvare. I tillegg til disse på serverne, bør alle uønskede tjenester være deaktivert.
- Hvis nettverket ditt har kritiske databaseservere som HLR-server, IN og SGSN som brukes i mobiloperasjoner, vil flere DMZ bli distribuert.
- Hvis eksterne kilder som fjernorganisasjoner vil få tilgang til serveren din som er plassert i et internt nettverk av sikkerhetssystem, så bruk VPN.
- For viktige interne kilder, som FoU eller økonomiske kilder, bør IDS brukes til å overvåke og håndtere interne angrep. Ved å innføre sikkerhetsnivåer separat, kan det gis ekstra sikkerhet til det interne nettverket.
- For e-posttjenester bør alle utgående e-postmeldinger først sendes gjennom DMZ-e-postserveren, og deretter litt ekstra sikkerhetsprogramvare slik at interne trusler kan unngås.
- For innkommende e-post, i tillegg til DMZ-serveren, bør antivirus-, spam- og vertsbasert programvare installeres og kjøres på serveren hver gang en e-post kommer inn på serveren.
Brannmuradministrasjon og -ledelse
Nå har vi valgt byggesteinene til brannmursystemet vårt. Nå er tiden inne for å konfigurere sikkerhetsreglene på et nettverkssystem.
Kommandolinjegrensesnitt (CLI) og grafisk brukergrensesnitt (GUI) brukes til å konfigurere brannmurprogramvare. For eksempel , Cisco-produkter støtter begge typer konfigurasjonsmetoder.
I dag i de fleste nettverk brukes SDM (Security device manager), som også er et produkt av Cisco, for å konfigurere rutere, brannmurer og VPN-attributter.
For å implementere et brannmursystem er en effektiv administrasjon veldig viktig for å kjøre prosessen jevnt. Personene som administrerer sikkerhetssystemet må være mestre i arbeidet sitt, da det ikke er rom for menneskelige feil.
Alle typer konfigurasjonsfeil bør unngås. Hver gang konfigurasjonsoppdateringer blir gjort, må administratoren undersøke og dobbeltsjekke hele prosessen, slik at det ikke gir rom for smutthull og hackere å angripe den. Administratoren bør bruke et programvareverktøy for å undersøke endringene som er gjort.
Eventuelle større konfigurasjonsendringer i brannmursystemer kan ikke brukes direkte på de pågående store nettverkene, som om de mislyktes kan føre til et stort tap for nettverket og direkte tillate uønsket trafikk å komme inn i systemet. Derfor bør det først utføres i laboratoriet og undersøke resultatene hvis resultatene blir funnet ok, så kan vi implementere endringene i live nettverket.
Brannmur Kategorier
Basert på filtrering av trafikk er det mange kategorier av brannmuren, noen forklares nedenfor:
# 1) Brannmur for pakkefiltrering
Det er en slags ruter som har muligheten til å filtrere de få stoffene i datapakkene. Når du bruker pakkefiltrering, klassifiseres reglene i brannmuren. Disse reglene finner ut av pakkene hvilken trafikk som er tillatt og ikke.
# 2) Stateful Firewall
Det kalles også som dynamisk pakkefiltrering, det inspiserer statusen til aktive tilkoblinger og bruker disse dataene for å finne ut hvilke av pakkene som skal tillates gjennom brannmuren og hvilke som ikke er det.
Brannmuren inspiserer pakken ned til applikasjonslaget. Ved å spore øktdata som IP-adresse og portnummer på datapakken, kan det gi mye sterk sikkerhet til nettverket.
Det inspiserer også både innkommende og utgående trafikk, og hackere syntes det var vanskelig å forstyrre nettverket ved hjelp av denne brannmuren.
# 3) Proxy-brannmur
Disse er også kjent som applikasjonsgateway-brannmurer. Den stateful brannmuren kan ikke beskytte systemet mot HTTP-baserte angrep. Derfor introduseres proxy-brannmur i markedet.
Det inkluderer funksjonene ved stateful inspeksjon pluss å ha muligheten til å analysere applikasjonslagsprotokoller nøye.
Dermed kan den overvåke trafikk fra HTTP og FTP og finne ut muligheten for angrep. Dermed oppfører brannmur som en proxy, at klienten initierer en forbindelse med brannmuren, og brannmuren til gjengjeld starter en solo-kobling med serveren på klientsiden.
Typer av brannmurprogramvare
De få av de mest populære brannmurprogramvarene som organisasjonene bruker for å beskytte systemene deres, er nevnt nedenfor:
# 1) Comodo-brannmur
Virtuell Internett-surfing, for å blokkere uønskede popup-annonser og tilpasse DNS-servere er de vanlige funksjonene i denne brannmuren. Virtual Kiosk brukes til å blokkere noen prosedyrer og programmer ved å skjule og trenge gjennom nettverket.
I denne brannmuren, bortsett fra å følge den lange prosessen for å definere porter og andre programmer for å tillate og blokkere, kan ethvert program tillates og blokkeres ved å bare bla etter programmet og klikke på ønsket utgang.
Comodo killswitch er også en forbedret funksjon i denne brannmuren som illustrerer alle pågående prosesser og gjør det veldig enkelt å blokkere ethvert uønsket program.
# 2) AVS-brannmur
Det er veldig enkelt å implementere. Det beskytter systemet ditt mot stygge registerendringer, popup-vinduer og uønskede annonser. Vi kan også endre nettadressene for annonser når som helst og kan også blokkere dem.
Det har også funksjonen foreldrekontroll, som er en del av å bare tillate tilgang til en presis gruppe nettsteder.
Den brukes i Windows 8, 7, Vista og XP.
# 3) Netdefender
Her kan vi enkelt skissere kilden og destinasjonens IP-adresse, portnummer og protokoll som er tillatt og ikke tillatt i systemet. Vi kan tillate og blokkere FTP for distribusjon og begrensning i ethvert nettverk.
Den har også en havneskanner som kan visualisere hvilke som kan brukes til trafikkflyt.
# 4) PeerBlock
Til tross for blokkering av individuell programklasse som er definert i datamaskinen, blokkerer den samlede IP-adresseklassen i en bestemt kategori.
Den distribuerer denne funksjonen ved å blokkere både innkommende og utgående trafikk ved å definere et sett med IP-adresser som er sperret. Derfor kan ikke nettverket eller datamaskinen som bruker det settet med IP-er, få tilgang til nettverket, og det interne nettverket kan heller ikke sende den utgående trafikken til de blokkerte programmene.
programvare for å rippe DVD til datamaskin
# 5) Windows-brannmur
Den hyppigste brannmuren som brukes av Windows 7-brukere, er denne brannmuren. Den gir tilgang til og begrensning av trafikk og kommunikasjon mellom nettverk eller et nettverk eller en enhet ved å analysere IP-adresse og portnummer. Den tillater som standard all utgående trafikk, men tillater bare den innkommende trafikken som er definert.
# 6) Juniper-brannmur
Juniper i seg selv en nettverksorganisasjon og designe forskjellige typer rutere og brannmurfiltre også. I et live nettverk som mobilleverandører bruker Juniper-brannmurer for å beskytte nettverkstjenestene sine mot forskjellige typer trusler.
De vokter nettverksruterne og ekstra innkommende trafikk og mottakelige angrep fra eksterne kilder som kan avbryte nettverkstjenester og håndtere hvilken trafikk som skal videresendes fra hvilken av ruterenes grensesnitt.
Den implementerer en inngangs- og en utgangsbrannmurfilter til hvert av de innkommende og utgående fysiske grensesnittene. Dette filtrerer ut uønskede datapakker etter reglene som er definert i både innkommende og utgående grensesnitt.
I henhold til standardinnstillingene for brannmur konfigureres hvilke pakker som skal aksepteres og hvilke som skal kastes.
Konklusjon
Fra beskrivelsen ovenfor om ulike aspekter ved brannmuren, vil vi konkludere med at for å overvinne de eksterne og interne nettverksangrepene, er konseptet med brannmuren blitt introdusert.
Brannmuren kan være maskinvare eller programvare som ved å følge et bestemt sett med regler vil beskytte vårt nettverkssystem mot viruset og andre typer ondsinnede angrep.
Vi har også utforsket her de forskjellige kategoriene av brannmuren, komponenter i brannmuren, utforming og implementering av en brannmur, og deretter noen av de berømte brannmurprogramvarene vi pleide å distribuere i nettverksindustrien.
PREV Opplæring | NESTE veiledning
Anbefalt lesing
- LAN Vs WAN Vs MAN: Nøyaktig forskjell mellom typer nettverk
- TCP / IP-modell med forskjellige lag
- Alt om rutere: Typer rutere, rutetabell og IP-ruting
- Alt om Layer 2 og Layer 3 Switches i Networking System
- Veiledning til nettverksmaske (subnetting) og IP-nettverkskalkulator
- Hva er Wide Area Network (WAN): Eksempler på live WAN-nettverk
- Viktige applikasjonslagsprotokoller: DNS-, FTP-, SMTP- og MIME-protokoller
- IPv4 vs IPv6: Hva er den nøyaktige forskjellen