Primeiro contato com firewall

Others 2020-10-29 13:01:36 views: null

Firewall

Visão geral

Um firewall é um sistema de software ou hardware que realiza o controle de acesso entre duas ou mais redes, filtra o fluxo de dados de entrada e saída da rede de acordo com as regras de controle de acesso. É um produto de segurança de rede, usado para restringir o acesso de segurança de rede, geralmente usado na extremidade da Internet para evitar ataques de hackers externos. Os firewalls podem ser considerados roteadores com funções de segurança. Os primeiros firewalls adicionavam funções de controle de acesso com base nos roteadores, portanto, muitas funções dos firewalls podem ser vistas nos roteadores, como protocolos de roteamento, listas de controle de acesso e tecnologia de inversão de endereço Esperar.

Classificação de firewalls

  • Firewall de filtragem de pacotes: julgue e filtre o atributo "cinco tuplas" no pacote de dados por meio de regras específicas definidas. (Como a verificação da política do pacote de dados é necessária a cada vez, a velocidade é mais lenta)
  • Firewall de inspeção de estado (ASPF: filtro de pacote específico do aplicativo): avalia se o pacote de dados é legal, detectando o estado da conexão (julgamento com base no fluxo).
  • Firewall proxy: Faça com que o firewall atue como um nó intermediário.

Firewall de filtragem de pacotes

Para pacotes de dados que precisam ser encaminhados, as informações do cabeçalho são obtidas primeiro e, em seguida, comparadas com as regras definidas, e os pacotes de dados são encaminhados ou descartados de acordo com o resultado da comparação.

A principal tecnologia para implementar a filtragem de pacotes é a lista de controle de acesso.

Como um mecanismo de proteção de segurança de rede, a filtragem de pacotes é usada principalmente para fazer o controle mais básico sobre se vários tipos de tráfego na rede são encaminhados. O firewall de filtragem de pacote tradicional obterá primeiro as informações do cabeçalho do pacote que precisa ser encaminhado, incluindo o endereço IP de origem, endereço IP de destino, número do protocolo da camada superior transportado pela camada IP, número da porta de origem e número da porta de destino Em seguida, ele corresponde às regras de filtro predefinidas e encaminha ou descarta os pacotes de acordo com os resultados correspondentes.

Firewall de inspeção stateful (ASPF: filtro de pacote específico do aplicativo)

Os primeiros firewalls de filtragem de pacotes adotaram um mecanismo de "inspeção pacote a pacote", ou seja, todos os pacotes recebidos pelo dispositivo são verificados a cada vez de acordo com as regras de filtragem de pacotes para determinar se devem ser deixados o pacote passar. Esse mecanismo afeta seriamente a eficiência de encaminhamento do dispositivo, tornando o firewall de filtragem de pacotes um gargalo de encaminhamento na rede.

Portanto, mais e mais produtos de firewall adotam o mecanismo de "inspeção com informações de estado" para filtragem de pacotes. O mecanismo de "detecção de status" detecta e encaminha pacotes em unidades de fluxo, ou seja, verifica as regras de filtragem de pacotes para o primeiro pacote de um fluxo e registra o resultado do julgamento como o "estado" do fluxo. Os pacotes subsequentes do fluxo são baseados diretamente neste "estado" para determinar se devem ser encaminhados ou descartados, sem verificar o conteúdo dos dados do pacote novamente . Esse "estado" é o que geralmente chamamos de entrada da tabela de sessão. Esse mecanismo melhorou rapidamente a taxa de detecção e a eficiência de encaminhamento de produtos de firewall e se tornou o mecanismo de filtragem de pacotes principal atual.

Mecanismo de monitoramento de condição:
  • Quando o mecanismo de monitoramento de estado está habilitado, apenas o primeiro pacote passa pelo dispositivo para estabelecer uma entrada de sessão e os pacotes subsequentes correspondem diretamente à entrada de sessão para encaminhamento.
  • Quando o mecanismo de monitoramento de estado é desativado, mesmo se o primeiro pacote não passar pelo dispositivo, uma entrada de sessão pode ser gerada, desde que o dispositivo passe pelo dispositivo posteriormente.

Para pacotes TCP

  • Quando o mecanismo de detecção de estado está habilitado, o primeiro pacote (pacote SYN) estabelece uma entrada na tabela de sessão. Para pacotes diferentes de pacotes SYN, se não houver entrada de sessão correspondente (o dispositivo não recebe o pacote SYN ou a entrada de sessão expirou), ele será descartado e nenhuma entrada de sessão será estabelecida.
  • Quando o mecanismo de detecção de estado é desligado, se não houver uma entrada de sessão correspondente para uma mensagem em qualquer formato, desde que ela passe na verificação de vários mecanismos de segurança, uma entrada de sessão pode ser estabelecida para ela.

Para pacotes UDP

  • O UDP é baseado na comunicação sem conexão. Qualquer mensagem no formato UDP sem uma entrada de sessão correspondente pode estabelecer uma entrada de sessão para ela, desde que passe na verificação de vários mecanismos de segurança.

Para mensagens ICMP

  • Quando o mecanismo de detecção de estado está habilitado, as mensagens de resposta ICMP que não possuem uma sessão correspondente serão descartadas.
  • Quando o mecanismo de detecção de estado é desligado, a mensagem de resposta sem a sessão correspondente é processada na forma do primeiro pacote.

Firewall proxy

Na verdade, um firewall, como um servidor proxy, é mais seguro. Se os itens dados à senhora por estranhos forem venenosos (enviar dados prejudiciais para fora ou desejar obter informações do servidor), a senhora também será envenenada primeiro. A senhora está segura (o servidor proxy recruta , A intranet ainda é segura).

Mas isso ocorre porque todos os links e todos os pacotes de dados são encaminhados através de uma camada. Se houver um ambiente adicional, levará algum tempo, a eficiência será reduzida e a largura de banda alta atingirá o gargalo , e porque o encaminhamento através do servidor proxy é assim É necessário modificar a informação do cabeçalho e a conversão do endereço, desta forma, o uso de VPN também aumentará um certo grau de dificuldade . Portanto, relativamente falando, o Netfilter (firewall baseado em filtragem de pacotes) é mais amplamente usado do que o firewall do tipo servidor proxy.

Área segura

Zona de segurança: abreviadamente conhecida como zona. É uma coleção de uma ou mais interfaces. O firewall divide a rede através da zona de segurança e marca a rota de fluxo dos pacotes.

De modo geral, as mensagens são controladas quando fluem entre diferentes zonas de segurança.
Classificação do domínio (dividido pelo nível de segurança (quanto maior o valor, maior o nível de segurança)):

Nível de segurança Defina o escopo
Não confiável (zona não confiável) 5 Normalmente usado para definir o tráfego da Internet
DMZ [zona desmilitarizada] (zona desmilitarizada / zona desmilitarizada) 50 Normalmente usado para definir a área onde o servidor de intranet está localizado (alguns recursos do servidor que devem ser expostos podem ser colocados, como servidores Web corporativos, servidores FTP e fóruns). Embora esses dispositivos sejam implantados na rede interna, eles costumam ser acessados ​​pela rede pública, o que representa um risco maior de segurança. Ao mesmo tempo, eles geralmente não têm permissão para acessar ativamente a rede externa. Portanto, o nível de segurança de implantação é inferior a Confiança, mas superior a Desconfiança.
Trust (zona confiável) 85 Normalmente usado para definir a área onde a intranet está localizada.
Área Local 100 Essa área define principalmente o tráfego iniciado pelo próprio dispositivo ou o tráfego que chega ao próprio dispositivo. Como Telnet, SNMP, NTP, VPN IPsec e outro tráfego. Os usuários não podem alterar nenhuma configuração da própria zona local, incluindo a adição de interfaces.

Configuração da zona de segurança

O estabelecimento de uma zona de segurança inclui principalmente a criação de uma zona de segurança e a adição de interfaces à zona de segurança. Além das interfaces físicas que podem ser adicionadas às zonas de segurança, o firewall também oferece suporte a interfaces lógicas, como subinterfaces, interfaces VLANIF, etc. Essas interfaces lógicas também precisam ser adicionadas às zonas de segurança quando usadas.

O fluxo de pacotes entre zonas de segurança:

  • Quando um pacote flui de uma área de segurança de baixo nível para uma área de segurança de alto nível, é a direção de entrada.
  • Quando os pacotes fluem de uma zona de segurança de alto nível para uma zona de segurança de baixo nível, é a direção de saída.
Como o firewall determina em quais zonas de segurança um pacote flui?

Em primeiro lugar, a zona de segurança de origem é fácil de determinar.De qual interface o firewall recebe os pacotes, a zona de segurança à qual esta interface pertence é a zona de segurança de origem do pacote.

Existem três situações ao determinar a zona de segurança de destino:

  • No modo de três camadas, o firewall determina de qual interface o pacote será enviado procurando na tabela de roteamento, e a zona de segurança à qual a interface pertence é a zona de segurança de destino do pacote;

  • No modo de duas camadas, o firewall determina de qual interface o pacote deve ser enviado pesquisando a tabela de encaminhamento de endereços MAC.A zona de segurança à qual essa interface pertence é a zona de segurança de destino do pacote.

  • Há outra situação:
    no cenário VPN, o firewall recebe a mensagem encapsulada, desencapsula a mensagem para obter a mensagem original e, em seguida, determina a zona de segurança de destino, consultando a tabela de roteamento e de qual interface a mensagem é enviada , A zona de segurança à qual a interface pertence é a zona de segurança de destino da mensagem.
    A zona de segurança de origem não pode ser determinada simplesmente com base na interface recebida. Nesse momento, o firewall usará o método de "tabela de roteamento de pesquisa reversa" para determinar a zona de segurança de origem do pacote original.

    Especificamente, o firewall assume que o endereço de origem na mensagem original é o endereço de destino e, em seguida, pesquisa a tabela de roteamento para determinar de qual interface a mensagem do endereço de destino será enviada e a zona de segurança à qual a interface pertence é o destino da mensagem Área segura. Por outro lado, a mensagem é enviada desta área, de modo que a zona de segurança obtida da pesquisa reversa da tabela de roteamento é a zona de segurança de origem da mensagem.

Depois que a zona de segurança de origem e a zona de segurança de destino são determinadas, é possível saber de quais duas zonas de segurança a mensagem flui.

Classificação da política de segurança:

  • Política de segurança entre domínios

    A política de segurança entre domínios é usada para controlar o encaminhamento de tráfego entre domínios (conhecida como política de encaminhamento neste momento) e é aplicável a cenários onde interfaces são adicionadas a diferentes zonas de segurança . A política de segurança entre domínios combina o tráfego de várias maneiras, como endereço IP, período de tempo, serviço (porta ou tipo de protocolo), usuário, etc., e executa o controle de filtragem de pacotes (permitir / negar) ou UTM avançado (Gerenciamento unificado de ameaças) em tráfego qualificado Detecção de camada de aplicativo do Unified Threat Management). A política de segurança entre domínios também é usada para controlar o acesso mútuo entre o mundo externo e o próprio dispositivo (referido como a política local neste momento), para combinar o tráfego de acordo com vários métodos, como endereço IP, período de tempo e serviço (porta ou tipo de protocolo), e para O tráfego é controlado por filtragem de pacotes (permitir / negar), permitindo ou negando acesso mútuo com o próprio dispositivo.

  • Política de segurança intra-domínio

    Por padrão, o fluxo de dados dentro do domínio não é restrito . Se as verificações de segurança forem necessárias, a política de segurança dentro do domínio pode ser aplicada. Como as políticas de segurança entre domínios, o tráfego pode ser correspondido por vários métodos, como endereço IP, período de tempo, serviço (porta ou tipo de protocolo), usuário, etc., e então o tráfego pode ser verificado quanto à segurança. Por exemplo, o departamento de marketing e o departamento financeiro pertencem à zona de confiança em que a intranet está localizada e podem se comunicar normalmente. Porém, o departamento financeiro é o departamento onde se encontram os dados importantes da empresa, sendo necessário evitar que os funcionários internos façam ataques maliciosos a servidores e PCs. Portanto, políticas de segurança são aplicadas no domínio para detecção de IPS para bloquear o acesso ilegal de funcionários mal-intencionados.

  • Filtragem de pacotes de interface

    Quando a interface não é adicionada à zona de segurança, os pacotes IP recebidos e enviados pela interface são controlados através da filtragem de pacotes de interface, e o tráfego pode ser combinado de acordo com vários métodos, como endereço IP, período de tempo e serviço (porta ou tipo de protocolo) e executar ações correspondentes ( permitir / negar). A filtragem de pacotes baseada em endereço MAC é usada para controlar quais quadros Ethernet a interface pode receber. Ela pode combinar o tráfego e executar ações correspondentes (permitir / negar) de acordo com o endereço MAC, tipo de protocolo de quadro e prioridade de quadro. A filtragem de pacotes de hardware é implementada em uma placa de interface de hardware de Camada 2 específica para controlar o tráfego que a interface na placa de interface pode receber. A filtragem de pacotes de hardware é implementada diretamente por meio do hardware, de modo que a velocidade da filtragem é mais rápida.

Três modos de funcionamento do firewall:

  • Modo de roteamento: o firewall está conectado externamente na terceira camada (a interface tem um endereço IP). Neste momento, ele pode concluir a filtragem de pacotes ACL, filtragem dinâmica ASPF, conversão NAT e outras funções (o modo de roteamento precisa modificar a topologia da rede).
  • Modo transparente: O firewall se conecta ao exterior na segunda camada (a interface não possui um endereço IP), que é equivalente a um switch, e alguns firewalls não suportam STP.
  • Modo misto: Misture os dois anteriores.

Acho que você gosta

Origin blog.csdn.net/qq_40741808/article/details/106690276
Recomendado
Clasificación
Diario
Más
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(0)
2024-06-02(0)
2024-06-01(0)
2024-05-31(0)
2024-05-30(0)

Code World

© 2018 codetd.com