目次
日常生活の中で「壁の向こうにインターネット」という言葉をよく耳にしますが、この壁とは何を指すのかご存知ですか?実際、この壁は中国の国家ファイアウォールを指します。「ネットワークの突破」とも呼ばれる「オーバー・ザ・ウォール」とは、国家ネットワークの監視を回避し、IP ブロッキング、コンテンツ フィルタリング、ドメイン名ハイジャック、トラフィック制限などを突破するために、仮想プライベート ネットワーク (VPN) テクノロジーを使用することを指します。 、国が禁止している海外サイトに違法にアクセスする行為。つまり、「壁を越える」とは、国家ネットワークの監視を回避し、ブロックされた Web サイトにアクセスすることです。
ここまで述べましたが、今日の主役は言うまでもなく「ファイアウォール」です。今日はこのファイアウォールについて見てみましょう。
1. 背景
古代では、アパートとアパートの間にレンガの壁を建てることがよくあり、火災が発生すると、他のアパートへの延焼を防ぐことができました。ネットワークがインターネットに接続されている場合、そのユーザーは外部の世界にアクセスして通信できます。しかし同時に、外部の世界もネットワークにアクセスして対話することができます。セキュリティ上の理由から、ネットワークとインターネットの間に中間システムを挿入して、セキュリティ障壁を構築することができます。このバリアの機能は、ネットワークを介して外部からネットワークへの脅威や侵入をブロックし、ネットワークのセキュリティを守るためのチェックポイントや監査を提供することであり、古代のファイアウォールと機能が似ているため、これをこう呼んでいます。バリア 「ファイアウォール」といいます。
ファイアウォールが従う基本原則は 2 つあります。
まず、明示的に許可されていないコマンドはすべて拒否されます。ファイアウォールのレビューは、項目ごとのレビューに基づいています。サービス リクエストとアプリケーションの操作は、実行する前に、許可されたコマンドに準拠するかどうか 1 つずつレビューされます。この操作方法は、内部コンピュータのセキュリティ。逆に言えば、ユーザーが申し込めるサービスやサービスの数が制限されてしまうため、セキュリティは向上するものの、利便性は低下してしまいます。
2 番目に、明示的に拒否されていないすべてのコマンドが許可されます。ファイアウォールはすべての情報を送信する際に、取り決められたコマンドに従って実行、つまり各項目をチェックして有害なコマンドを排除するため、セキュリティよりも使いやすさが優れているという欠点がありますが、セキュリティの難易度は高くなります。
2. タイプ
ファイアウォールは、使用シナリオに応じて次の 4 つのカテゴリに分類できます。
2.1. フィルタリングファイアウォール
フィルタリング ファイアウォールは、その名前が示すように、コンピュータ ネットワーク内でフィルタリングの役割を果たすことです。この種のファイアウォールは、事前に設定されたフィルタリング ルールに従って、ネットワーク内を流れるデータ パケットをフィルタリングします。第一世代のファイアウォールはフィルタリング ファイアウォールです。
2.2. アプリケーションゲートウェイファイアウォール
アプリケーション ゲートウェイ ファイアウォールは、主に最上位のアプリケーション層で機能します。それだけでなく、アプリケーション ゲートウェイ ファイアウォールの最大の特徴は、フィルタリング ベースのファイアウォールと比較して、独自のロジック分析を備えていることです。この論理分析に基づいて、アプリケーション ゲートウェイ サーバーは、アプリケーション層で危険なデータをフィルタリングし、内部ネットワーク アプリケーション層の使用プロトコルを分析し、コンピュータ ネットワーク内のすべてのデータ パケットを分析します。データ パケットにアプリケーション ロジックが含まれていない場合は、ファイアウォールを介して解放されることはありません。
2.3. サービスファイアウォール
上記のファイアウォールは両方とも、悪意のある情報がユーザーのコンピュータに侵入するのを防ぐためにコンピュータ ネットワークで使用されます。
2.4. ファイアウォールの監視
以前に導入したファイアウォールがすべて受動的な防御である場合、監視ファイアウォールは防御的なだけでなく、積極的な防御型でもあります。この種類のファイアウォールは、内部でフィルタリングし、外部で監視できます。技術的に言えば、これは従来のファイアウォールの大幅なアップグレードです。
3. 機能
3.1. ネットワークセキュリティの障壁
ファイアウォールは、内部ネットワーク環境のセキュリティを大幅に向上させ、ブロック ポイントおよび制御ポイントとして機能し、潜在的に危険なサービスをフィルタリングすることで、内部ネットワーク環境のリスクを軽減します。ネットワーク コンテンツに入力されるすべての情報はファイアウォールによって慎重にフィルタリングされるため、ネットワークの内部環境は非常に安全で信頼性が高くなります。
3.2. ネットワークセキュリティポリシー
ネットワーク セキュリティ構成がファイアウォールを中心にしている場合、パスワード、暗号化、ID 認証、監査などのセキュリティ ソフトウェアをファイアウォール上で構成できます。
3.3. モニタリングと監査の実施
ファイアウォールは非常に優れたログ記録機能を備えており、ファイアウォールを介してアクセスされたすべての記録を記録し、ネットワーク使用状況のデータを要約および分析して、ネットワークアクセスの統計データを取得することもできます。
3.4. 内部情報の漏洩の防止
ファイアウォールは、内部ネットワークをいくつかのセグメントに分離し、ローカル キーまたは機密ネットワークの監視を強化して、グローバル ネットワークのセキュリティがローカル ネットワークのセグメントに影響されないようにすることができます。
ファイアウォールは盗難防止ドアのようなもので、セキュリティ保護を提供することができ、ネットワークの計画と展開に不可欠な部分です。
4 つまたは 5 つのセキュリティ ドメイン
インバウンド方向は、パケットが低レベルのセキュリティ ゾーンから高レベルのセキュリティ ゾーンに流れる場合であり、アウトバウンド方向は、パケットが高レベルのセキュリティ ゾーンから低レベルのセキュリティ ゾーンに流れる場合です。
untrust (ドメインを信頼しない) : 低レベルのセキュリティ ゾーン、セキュリティ優先度は 5
通常、インターネットなどの安全でないネットワークを定義するために使用され、ネットワーク入口回線へのアクセスに使用されます。
dmz (隔離ゾーン):セキュリティ優先度 50 の中レベルのセキュリティ ゾーン
通常、内部サーバーが配置されているネットワークを定義するために使用されます。
この機能は、外部アクセスを許可するWEBサーバーや電子メールサーバーなどをこのエリアのポートに接続し、保護する必要のある内部ネットワーク全体を信頼エリアのポートに接続し、アクセスを遮断する機能です。内部ネットワークと外部ネットワークの分離を実現し、ユーザーのニーズに応えます。DMZ は、外部ネットワークやイントラネットとは異なる特別なネットワーク領域として理解でき、通常、Web、メール、FTP など、機密情報を含まない一部の公開サーバーが DMZ 内に配置されます。これにより、外部ネットワークからの訪問者は DMZ 内のサービスにアクセスできますが、内部ネットワークに保存されている企業秘密や個人情報にはアクセスできず、たとえ DMZ 内のサーバーが被害を受けたとしても、企業に損害を与えることはありません。内部ネットワーク上の機密情報への影響。
trust (トラスト ドメイン) : 上級レベルのセキュリティ ゾーン、セキュリティ優先度は 85
これは通常、内部ユーザーが配置されているネットワークを定義するために使用され、最も厳格な保護が施されたエリアとしても理解できます。
local (local) : セキュリティ優先度 100 のトップレベルのセキュリティ ゾーン
ローカルとはファイアウォール自体の領域で、たとえば ping コマンドなどのインターネット制御プロトコルの応答にはローカル ドメインの権限が必要です。
ファイアウォールによってアクティブに送信されたすべてのパケットは、ローカル エリアから送信されたものと見なされます。
ファイアウォールによって応答され、(転送されるのではなく)処理される必要があるすべてのパケットは、ローカル エリアによって受信されると見なされます。
管理 (管理) : 最上位のセキュリティ ゾーン、セキュリティ優先度は 100
デバイスを設定するためのコンソール制御インターフェイスに加えて、Web インターフェイスを通じてファイアウォール デバイスを設定できる場合は、ツイスト ペア ケーブルを使用して管理インターフェイスに接続し、設定用のユーザー名とパスワードを入力する必要があります。
5、3 つの動作モード
ファイアウォールの各インターフェイスがルーティング モードであるかスイッチング モードであるかの違いにすぎません。3 つの図は明らかです。
5.1 スイッチングモード (レイヤー 2 モード):
5.2 ルーティング モード (3 層モード):
5.3 ハイブリッド モード:
ファイアウォールはネットワーク エンジニアリングの知識体系の非常に重要な部分であり、興味のある友人は多くの情報にアクセスでき、お互いに通信することを歓迎します。
ご清聴ありがとうございました!