¿Puedes explicarme el firewall en detalle? ¡Gracias!

·Definición de firewall Análisis técnico de firewall

Según el Ministerio de Seguridad Pública, en 1998, la policía de China descubrió casi 100 casos de piratería informática y diversas actividades ilegales utilizando redes informáticas. está creciendo a una tasa anual del 30% en China. Según informes de los medios, el 95% de los centros de gestión de redes de China conectados a Internet han sido atacados o invadidos por piratas informáticos, siendo los bancos, las instituciones financieras y de valores el foco de los ataques de los piratas informáticos.

Con el creciente número de delitos cibernéticos, los firewalls de red han comenzado a llamar la atención. Aquí, me gustaría presentarles los conocimientos básicos del "firewall".

¿Qué es un firewall?

El llamado "firewall" se refiere a un método de separar la red interna de la red de acceso público (Internet). . Un firewall es un estándar de control de acceso implementado cuando se comunica entre dos redes. Permite que las personas y los datos con los que usted "está de acuerdo" ingresen a su red, mientras mantiene a las personas y los datos con los que "no está de acuerdo" fuera de la red en la mayor medida posible. acceder a su red y evitar que cambien, copien o destruyan su información importante.

Análisis de la tecnología de seguridad de los firewalls

Los firewalls desempeñan un papel determinado en la protección de la seguridad de la red, pero no son infalibles. A través del análisis y la investigación sobre los principios básicos y los métodos de implementación de los firewalls, el autor tiene los siguientes conocimientos sobre la seguridad de los firewalls.

1. No es fácil seleccionar y configurar correctamente un firewall.

Como medio para proteger la seguridad de la red, los firewalls se pueden implementar de muchas maneras. El establecimiento de un sistema de protección razonable y la configuración de un firewall eficaz deben seguir estos cuatro pasos básicos: (1) análisis de riesgos (2) análisis de la demanda (3) establecimiento de políticas de seguridad (4) selección de métodos de protección precisos y alineamiento con las políticas de seguridad; coherente. Sin embargo, la mayoría de los firewalls se configuran sin o con poco o ningún análisis de riesgo y demanda adecuado. En lugar de eso, simplemente eligen un firewall que parece "satisfacer" las necesidades basándose en políticas de seguridad incompletas. ¿Puede un firewall de este tipo "prevenir incendios" o no? ? una pregunta.

2. Es necesario evaluar correctamente el estado de falla del firewall

Para evaluar el rendimiento del firewall y si puede desempeñar un papel en la protección de la seguridad, no solo debemos vea si funciona normalmente, pero también si puede bloquear o capturar. Hay pistas de ataques maliciosos y acceso ilegal, y necesita ver cuál es el estado del firewall una vez que se viola. Según el nivel, hay cuatro estados. : (1) ileso y capaz de continuar trabajando normalmente; (2) apagar y reiniciar, y restaurar el estado de funcionamiento normal al mismo tiempo; (3) cerrar y prohibir todo acceso a los datos; (4) cerrar y permitir todo el acceso a los datos; . Los dos primeros estados son ideales, mientras que el cuarto es el menos seguro. Sin embargo, muchos firewalls no tienen las condiciones para realizar pruebas y verificación del estado de falla y su nivel de estado de falla no se puede determinar. Por lo tanto, es probable que existan riesgos de seguridad en la red.

3. Los cortafuegos deben mantenerse dinámicamente.

Una vez instalado y puesto en uso el cortafuegos, no todo estará bien. Si desea aprovechar al máximo su función de protección de seguridad, debe rastrearlo y mantenerlo, mantener un contacto cercano con el comerciante y prestar siempre atención a la dinámica del comerciante. Porque una vez que los comerciantes descubran que sus productos tienen vulnerabilidades de seguridad, lanzarán productos de reparación (parches) lo antes posible. En este momento, deben confirmar la autenticidad lo antes posible (para evitar virus como caballos de Troya) y actualizar el firewall. .

4. Actualmente es difícil probar y verificar los cortafuegos.

La forma más fundamental y eficaz de demostrar si un cortafuegos puede desempeñar una función protectora es probarlo, o incluso permanecer en pie. " Desde la perspectiva de los "hackers", se utilizan varios medios para atacar el firewall. Sin embargo, la implementación específica es difícil:

(1) Las pruebas de rendimiento del firewall siguen siendo una tecnología muy nueva, no existe una publicación oficial y hay muy pocas herramientas y software disponibles. Actualmente, sólo la empresa estadounidense ISS proporciona herramientas de software para probar el rendimiento del firewall.

(2) La tecnología de prueba del firewall aún no es avanzada y no coincide completamente con el diseño del firewall, lo que dificulta que el trabajo de prueba alcance los resultados deseados.

(3) Elegir “quién” para realizar una prueba justa también es un problema.

Se puede ver que las pruebas de rendimiento del firewall no son una cuestión sencilla, pero este tipo de pruebas son bastante necesarias.

5. "Trucos" básicos para atacar firewalls ilegalmente

(1) Normalmente, los ataques efectivos se llevan a cabo desde subredes relevantes. Debido a que los firewalls confían en estas URL, aunque el éxito depende de factores como la oportunidad, vale la pena que los atacantes las prueben.

(2) Otra forma de destruir un firewall es combinar ataque con interferencia. Es decir, el firewall siempre está ocupado durante el ataque. Un firewall que está demasiado ocupado a veces hace que se olvide de realizar sus funciones de protección de seguridad y quede inactivo.

(3) Es importante tener en cuenta que los cortafuegos también pueden ser atacados desde dentro. Debido a que una vez instalado el firewall, el acceso aleatorio está estrictamente prohibido, por lo que el personal interno no puede buscar correos electrónicos a través de Telnet o usar FTP para enviar información al exterior en su tiempo libre. Las personas no estarán satisfechas con el firewall y pueden atacarlo y destruirlo, con la esperanza de hacerlo. volver al estado anterior del cortafuegos. En este caso, el objetivo del ataque suele ser el cortafuegos o el sistema operativo en el que se ejecuta el cortafuegos, por lo que implica no sólo la seguridad de la red, sino también problemas de seguridad del host.

El análisis anterior muestra que el rendimiento de la protección de seguridad de los firewalls depende de muchos factores y que los firewalls no son omnipotentes.

En la actualidad, la mayoría de los firewalls se basan en el filtrado de paquetes basado en enrutadores y tienen capacidades de protección deficientes. Existen varios medios técnicos para atacar el firewall desde fuera o dentro de la red.

·Tipos básicos de firewalls

Las tecnologías para implementar firewalls incluyen cuatro categorías:

1. Firewalls a nivel de red

De base general on La dirección de origen y la dirección de destino, la aplicación o protocolo y el puerto de cada paquete IP se utilizan para juzgar si se aprueba o no. Un enrutador es un firewall "tradicional" a nivel de red. La mayoría de los enrutadores pueden verificar esta información para decidir si reenviar el paquete recibido, pero no pueden determinar de dónde proviene un paquete IP ni hacia dónde se dirige.

Los firewalls avanzados a nivel de red pueden determinar esto. Pueden proporcionar información interna para describir el estado de la conexión pasada y el contenido de algunos flujos de datos, y comparar la información determinada con la tabla de reglas. Se definen varias reglas para indicar si se aprueba o deniega el paso de un paquete. Los cortafuegos de filtrado de paquetes examinan cada regla hasta que se determina que la información del paquete coincide con una regla. Si no se cumple ninguna regla, el firewall utilizará la regla predeterminada. En circunstancias normales, la regla predeterminada requiere que el firewall descarte el paquete. En segundo lugar, al definir el número de puerto en función de los paquetes TCP o UDP, el firewall puede determinar si permite el establecimiento de conexiones específicas, como conexiones Telnet y FTP.

Las siguientes son las reglas de control de acceso de un determinado firewall a nivel de red:

(1) Permitir que la red 123.1.0 use FTP (puerto 21) para acceder al host 150.0.0.1

(2) Permitir que los usuarios con direcciones IP 202.103.1.18 y 202.103.1.14 a Telnet (puerto 23) alojen 150.0.0.2

(3) Permitir correo electrónico desde; cualquier dirección (25 puertos) en el host 150.0.0.3

(4) Permitir el paso de cualquier dato WWW (puerto 80)

(5) No se permiten otros paquetes de datos; para entrar.

Los firewalls a nivel de red son simples, rápidos, de bajo costo y transparentes para los usuarios, pero su protección para la red es muy limitada porque solo verifican direcciones y puertos y no tienen capacidad de entender información de niveles superiores. Capas de protocolo en la red.

2. Puerta de enlace a nivel de aplicación

La puerta de enlace a nivel de aplicación puede comprobar los paquetes de datos entrantes y salientes, copiar y transferir datos a través de la puerta de enlace e impedir la comunicación entre servidores y clientes de confianza y hosts que no son de confianza. Realice conexiones directas. La puerta de enlace a nivel de aplicación puede comprender los protocolos en la capa de aplicación, realizar un control de acceso más complejo y realizar un registro detallado. Sin embargo, cada protocolo requiere el software proxy correspondiente, lo que requiere una gran carga de trabajo y no es tan eficiente como un firewall a nivel de red.

Los firewalls a nivel de aplicaciones de uso común ya tienen servidores proxy correspondientes, como: HTTP, NNTP, FTP, Telnet, rlogin, X-Window, etc. Sin embargo, no existe un proxy correspondiente para las aplicaciones recientemente desarrolladas. servicios, pasarán a través de firewalls a nivel de red y servicios de proxy generales.

Las puertas de enlace a nivel de aplicación tienen un mejor control de acceso y actualmente son la tecnología de firewall más segura. Sin embargo, la implementación es difícil y algunas puertas de enlace a nivel de aplicación carecen de "transparencia". En el uso real, cuando los usuarios acceden a Internet a través de un firewall en una red confiable, a menudo encuentran que hay un retraso y deben iniciar sesión varias veces para acceder a Internet o a la intranet.

3. Puerta de enlace a nivel de circuito

La puerta de enlace a nivel de circuito se utiliza para monitorear la información del protocolo de enlace TCP entre un cliente o servidor confiable y un host que no es confiable para determinar si la sesión es legal. Las puertas de enlace a nivel de circuito filtran paquetes de datos en la capa de sesión en el modelo OSI, que es dos capas más altas que los firewalls de filtrado de paquetes.

De hecho, la puerta de enlace a nivel de circuito no existe como un producto independiente. Se combina con otras puertas de enlace a nivel de aplicación, como Gauntlet Internet Firewall de Trust Information Systems y otros productos. . Además, la puerta de enlace a nivel de circuito también proporciona una función de seguridad importante: el servidor proxy. El servidor proxy es un firewall que ejecuta un proceso llamado "transferencia de direcciones" para asignar todas las direcciones IP internas de su empresa a una "seguridad". Dirección IP. Esta es la dirección utilizada por los firewalls. Sin embargo, también existen algunos inconvenientes como puerta de enlace a nivel de circuito. Dado que la puerta de enlace funciona en la capa de sesión, no puede inspeccionar paquetes de datos a nivel de aplicación.

4. Firewall de inspección de reglas

Este firewall combina las características de un firewall de filtrado de paquetes, una puerta de enlace a nivel de circuito y una puerta de enlace a nivel de aplicación. Al igual que el firewall de filtrado de paquetes, el firewall de inspección de reglas puede filtrar paquetes de datos entrantes y salientes a través de direcciones IP y números de puerto en la capa de red OSI. También actúa como una puerta de enlace a nivel de circuito, capaz de comprobar si los marcadores SYN y ACK y los números de secuencia están ordenados lógicamente. Por supuesto, al igual que una puerta de enlace a nivel de aplicación, puede verificar el contenido de los paquetes de datos en la capa de aplicación OSI para ver si el contenido cumple con las reglas de seguridad de la red de la empresa.

Aunque el firewall de inspección de reglas integra las características de los tres primeros, se diferencia de una puerta de enlace a nivel de aplicación en que no rompe el modelo cliente/servidor para analizar datos de la capa de aplicación y permite clientes confiables. Establecer una conexión directa con un host que no sea de confianza. Los cortafuegos de verificación de reglas no dependen de agentes relacionados con la capa de aplicación, sino que se basan en ciertos algoritmos para identificar los datos entrantes y salientes de la capa de aplicación. Estos algoritmos comparan los paquetes de datos entrantes y salientes a través de patrones de paquetes de datos legítimos conocidos, de modo que, en teoría, se utilizan. Se puede comparar con la capa de aplicación. Los servidores proxy son más efectivos para filtrar paquetes.

La mayoría de los firewalls actualmente populares en el mercado son firewalls de verificación de reglas, porque el firewall es transparente para los usuarios y cifra los datos en el nivel más alto de OSI. No requiere que usted modifique el programa cliente. ni requiere que usted modifique el programa de cada cliente. Los servicios que requieren ejecutarse en el firewall requieren un proxy adicional.

Por ejemplo, On Guard, uno de los firewalls más populares producido por On Technology Software Company, y el firewall Fire Wall-1 producido por Check Point Software Company son firewalls de verificación de reglas.

Desde una perspectiva de tendencias, los futuros cortafuegos se ubicarán entre los cortafuegos a nivel de red y los cortafuegos a nivel de aplicación. En otras palabras, los cortafuegos a nivel de red serán más capaces de identificar la información pasada, mientras que los cortafuegos a nivel de aplicación se desarrollarán hacia aspectos "transparentes" y de "bajo nivel" en sus funciones actuales. El firewall definitivo será un sistema rápido de verificación de registro que proteja el paso de los datos de forma cifrada para que todas las organizaciones puedan estar en el nodo con confianza.