¿Cuáles son las dos tecnologías de firewall más utilizadas?
Tecnología Firewall: concepto y principio
Firewall es el nombre de un componente de un automóvil. En los automóviles, se utiliza un cortafuegos para separar a los pasajeros del motor, de modo que si el motor del coche se incendia, el cortafuegos no sólo puede proteger la seguridad de los pasajeros, sino que también permite al conductor seguir controlando el motor. En terminología informática, por supuesto, no significa esto. Podemos entenderlo por analogía en la red, el llamado "firewall" se refiere a un método para separar la red interna de la red de acceso público (como Internet). En realidad, es una técnica de aislamiento. Un firewall es un estándar de control de acceso implementado cuando se comunica entre dos redes. Permite que las personas y los datos con los que usted "está de acuerdo" ingresen a su red, mientras mantiene a las personas y los datos con los que "no está de acuerdo" fuera de la red en la mayor medida posible. de acceder a su red. En otras palabras, sin pasar por el firewall, las personas dentro de la empresa no pueden acceder a Internet y las personas en Internet no pueden comunicarse con las personas dentro de la empresa.
El firewall (FireWall) se ha convertido en los últimos años en una medida técnica emergente para proteger la seguridad de las redes informáticas. Es una tecnología de control de aislamiento que establece una barrera entre la red de una organización y las redes inseguras (como Internet) para evitar el acceso ilegal a los recursos de información. También se pueden utilizar cortafuegos para evitar que se acceda ilegalmente a información importante desde la red de la empresa. producción. Como software de protección de seguridad en Internet, FireWall se ha utilizado ampliamente. Normalmente, para mantener la seguridad de los sistemas de información internos, las empresas instalan un software FireWall entre la red corporativa e Internet. El sistema de información empresarial adopta un método de recepción selectiva para el acceso desde Internet. Puede permitir o denegar el acceso a un tipo específico de dirección IP y también puede aceptar o denegar un tipo específico de aplicación en TCP/IP. Si hay información o usuarios peligrosos que deben ser prohibidos en un determinado host IP, puede usar FireWall para filtrar los paquetes enviados desde el host a través de la configuración. Si una empresa sólo utiliza el correo electrónico de Internet y servidores WWW para proporcionar información al mundo exterior, puede configurar el FireWall para que sólo puedan pasar paquetes de datos de estos dos tipos de aplicaciones. Para los enrutadores, es necesario no solo analizar la información de la capa IP, sino también comprender mejor la información de la capa de transporte TCP e incluso la capa de aplicación para tomar decisiones. FireWall generalmente se instala en un enrutador para proteger una subred, o se puede instalar en un host para protegerlo de intrusiones.
Tecnología de firewall - tipos
Desde la perspectiva de los principios de implementación, la tecnología de firewall incluye cuatro categorías principales: firewalls a nivel de red (también llamados firewalls de filtrado de paquetes), gateways a nivel de aplicación y Puerta de enlace a nivel de circuito y firewall de verificación de reglas. Cada uno de ellos tiene sus propias ventajas, cuál utilizar o si mezclarlos depende de las necesidades específicas.
1. Firewall a nivel de red: generalmente, el juicio de aprobación o falla se basa en la dirección de origen y la dirección de destino, la aplicación, el protocolo y el puerto de cada paquete IP. Un enrutador es un firewall "tradicional" a nivel de red. La mayoría de los enrutadores pueden verificar esta información para decidir si reenviar el paquete recibido, pero no pueden determinar de dónde proviene un paquete IP ni hacia dónde se dirige. El firewall verifica cada regla hasta que encuentra que la información del paquete coincide con una regla. Si no se cumple ninguna regla, el firewall utilizará la regla predeterminada. En circunstancias normales, la regla predeterminada requiere que el firewall descarte el paquete. En segundo lugar, al definir el número de puerto en función de los paquetes TCP o UDP, el firewall puede determinar si permite el establecimiento de conexiones específicas, como conexiones Telnet y FTP.
2. Puerta de enlace a nivel de aplicación: la puerta de enlace a nivel de aplicación puede verificar los paquetes de datos entrantes y salientes y copiar y transmitir datos a través de la puerta de enlace para evitar conexiones directas entre servidores y clientes confiables y hosts no confiables. La puerta de enlace a nivel de aplicación puede comprender los protocolos en la capa de aplicación, realizar un control de acceso más complejo y realizar registros y auditorías detalladas. Se dirige a un protocolo de servicio de aplicación de red especial, es decir, un protocolo de filtrado de datos, y puede analizar paquetes de datos y generar informes relevantes. Las puertas de enlace de aplicaciones brindan un control estricto a ciertos entornos donde es fácil iniciar sesión y controlar todas las comunicaciones de entrada y salida para evitar el robo de datos y programas valiosos. En el trabajo real, las puertas de enlace de aplicaciones generalmente se completan con sistemas de estaciones de trabajo dedicadas.
Sin embargo, cada protocolo requiere el software proxy correspondiente, lo que requiere una gran carga de trabajo y no es tan eficiente como un firewall a nivel de red. Las puertas de enlace a nivel de aplicación tienen un mejor control de acceso y actualmente son la tecnología de firewall más segura, pero son difíciles de implementar y algunas puertas de enlace a nivel de aplicación carecen de "transparencia". En el uso real, cuando los usuarios acceden a Internet a través de un firewall en una red confiable, a menudo encuentran que hay un retraso y deben iniciar sesión varias veces para acceder a Internet o Intranet.
3. Puerta de enlace a nivel de circuito: la puerta de enlace a nivel de circuito se utiliza para monitorear la información del protocolo de enlace TCP entre un cliente o servidor confiable y un host que no es confiable, a fin de determinar si la sesión es legal. Puerta de enlace a nivel de circuito La puerta de enlace filtra paquetes de datos en la capa de sesión en el modelo OSI, que es dos capas más alta que el firewall de filtrado de paquetes. Las puertas de enlace a nivel de circuito también proporcionan una función de seguridad importante: el servidor proxy. Un servidor proxy es un código dedicado a nivel de aplicación que se coloca en la puerta de enlace del firewall de Internet. Este servicio de proxy permite a los administradores de red permitir o denegar aplicaciones específicas o funcionalidades específicas de una aplicación. La tecnología de filtrado de paquetes y las puertas de enlace de aplicaciones utilizan juicios lógicos específicos para decidir si se permite el paso de paquetes de datos específicos. Una vez que se cumplen las condiciones de juicio, la estructura y el estado operativo de la red interna del firewall quedarán "expuestos" a los usuarios externos, lo que introduce el problema. El concepto es que el "vínculo" entre la capa de aplicación de los sistemas informáticos dentro y fuera del firewall se realiza mediante dos "enlaces" que terminan en el servicio proxy, lo que logra con éxito el aislamiento de los sistemas informáticos dentro y fuera del firewall. . Al mismo tiempo, el servicio proxy también se puede utilizar para implementar sólidas funciones de monitoreo, filtrado, registro e informes del flujo de datos. La tecnología de servicio de proxy se realiza principalmente a través de hardware informático dedicado (como estaciones de trabajo).
4. Firewall de inspección de reglas: este firewall combina las características de un firewall de filtrado de paquetes, una puerta de enlace a nivel de circuito y una puerta de enlace a nivel de aplicación. Al igual que el firewall de filtrado de paquetes, el firewall de inspección de reglas puede filtrar paquetes de datos entrantes y salientes a través de direcciones IP y números de puerto en la capa de red OSI. También actúa como una puerta de enlace a nivel de circuito y puede verificar si los marcadores SYN y ACK y los números de secuencia están ordenados lógicamente. Por supuesto, al igual que una puerta de enlace a nivel de aplicación, puede verificar el contenido de los paquetes de datos en la capa de aplicación OSI para ver si cumple con las reglas de seguridad de la red empresarial. Aunque el firewall de verificación de reglas integra las características de los tres primeros, se diferencia de una puerta de enlace a nivel de aplicación en que no rompe el modelo cliente/servidor para analizar datos de la capa de aplicación y permite a clientes confiables y hosts no confiables establecer una conexión directa. . Los cortafuegos de verificación de reglas no dependen de agentes relacionados con la capa de aplicación, sino que se basan en ciertos algoritmos para identificar los datos entrantes y salientes de la capa de aplicación. Estos algoritmos comparan los paquetes de datos entrantes y salientes a través de patrones de paquetes de datos legítimos conocidos, de modo que, en teoría, se utilizan. Se puede comparar con la capa de aplicación. Los servidores proxy son más efectivos para filtrar paquetes.
Tecnología de firewall: uso de un firewall
Los firewalls son muy protectores. Los intrusos primero deben atravesar el perímetro de seguridad del firewall antes de poder acceder a la computadora de destino. Puede configurar el firewall con muchos niveles diferentes de protección. Los niveles altos de protección pueden desactivar algunos servicios como la transmisión de video, pero al menos es su elección de protección.
Al aplicar específicamente la tecnología de firewall, se deben considerar dos aspectos:
1. Los firewalls no pueden prevenir virus, aunque muchos productos de firewall afirman tener esta función. 2. Otra debilidad de la tecnología de firewall es que la actualización de datos entre firewalls es un problema, si el retraso es demasiado grande, no podrá admitir solicitudes de servicio en tiempo real. Además, los firewalls utilizan tecnología de filtrado. El filtrado suele reducir el rendimiento de la red en más del 50%. Si compra un enrutador de alta velocidad para mejorar el rendimiento de la red, aumentará considerablemente el presupuesto económico.
En resumen, los firewalls son una solución popular para los problemas de seguridad de las redes corporativas, es decir, colocar datos y servicios públicos fuera del firewall para restringir el acceso a los recursos dentro del firewall. Como tecnología de seguridad de red, los firewalls son simples y prácticos y tienen una alta transparencia. Pueden cumplir ciertos requisitos de seguridad sin modificar el sistema de aplicación de red original.
Tecnología de firewall - Función
Un firewall escanea el tráfico de red que fluye a través de él, lo que puede filtrar algunos ataques antes de que se ejecuten en la computadora de destino. Los firewalls también pueden cerrar puertos no utilizados. Y también puede prohibir las comunicaciones salientes en puertos específicos y bloquear troyanos.
Finalmente, puede bloquear el acceso desde sitios específicos, impidiendo así todas las comunicaciones de intrusos desconocidos. 1. El firewall es una barrera para la seguridad de la red: un firewall (como punto de bloqueo o punto de control) puede mejorar en gran medida la seguridad de una red interna y reducir los riesgos al filtrar servicios inseguros. Dado que sólo los protocolos de aplicación cuidadosamente seleccionados pueden atravesar el firewall, el entorno de red se vuelve más seguro. Por ejemplo, el firewall puede prohibir que protocolos inseguros conocidos, como NFS, entren y salgan de la red protegida, de modo que los atacantes externos no puedan utilizar estos protocolos vulnerables para atacar la red interna. Los firewalls también protegen la red de ataques basados en rutas, como ataques de enrutamiento de origen en opciones de IP y rutas de redireccionamiento en redirecciones ICMP. El firewall debería poder rechazar todos los tipos de paquetes de ataque anteriores y notificar al administrador del firewall.
2. Los firewalls pueden fortalecer las políticas de seguridad de la red: al configurar una solución de seguridad centrada en firewalls, todo el software de seguridad (como contraseñas, cifrado, autenticación de identidad, auditoría, etc.) se puede configurar en el firewall. La gestión de seguridad centralizada de los firewalls es más rentable que difundir los problemas de seguridad de la red a hosts individuales. Por ejemplo, durante el acceso a la red, el sistema de contraseña de un solo uso y otros sistemas de autenticación de identidad no necesitan estar dispersos en varios hosts, sino concentrados en el firewall.
3. Monitorear y auditar el acceso y el acceso a la red: si todo el acceso pasa a través del firewall, entonces el firewall puede registrar estos accesos y realizar registros, y también puede proporcionar estadísticas sobre el uso de la red. Cuando ocurren acciones sospechosas, el firewall puede emitir alarmas apropiadas y proporcionar información detallada sobre si la red está siendo monitoreada y atacada. Además, también es muy importante recopilar el uso y mal uso de una red. La primera razón es saber si el firewall puede resistir la detección y los ataques de atacantes, y si los controles del firewall son adecuados. Las estadísticas de uso de la red también son muy importantes para el análisis de la demanda de la red y el análisis de amenazas.
4. Evite la fuga de información interna: mediante el uso de firewalls para dividir la red interna, se pueden aislar segmentos clave de la red de la intranet, limitando así el impacto de las claves locales o los problemas de seguridad de la red sensible a nivel global. red. Además, la privacidad es un tema de gran preocupación en las redes internas. Los detalles discretos en una red interna pueden contener pistas sobre la seguridad y despertar el interés de atacantes externos, e incluso exponer ciertas vulnerabilidades de seguridad de la red interna. El uso de un firewall puede ocultar servicios que revelan detalles internos como Finger y DNS. Finger muestra los nombres registrados, los nombres reales, la hora del último inicio de sesión y el tipo de shell de todos los usuarios del host. Sin embargo, los atacantes pueden aprender muy fácilmente la información mostrada por Finger. Un atacante puede saber con qué frecuencia se utiliza un sistema, si los usuarios de este sistema están conectados a Internet, si este sistema llama la atención cuando es atacado, etc. Los firewalls también pueden bloquear la información DNS sobre la red interna para que el mundo exterior no conozca el nombre de dominio y la dirección IP de un host. Además de la función de seguridad, el firewall también admite VPN (red privada virtual), un sistema de tecnología de red empresarial interna con características de servicio de Internet.
Tecnología de firewall: importancia y características
El nombre en inglés del firewall es "FireWall", que es actualmente el dispositivo de protección de red más importante. Desde una perspectiva profesional, un firewall es un conjunto de componentes ubicados entre dos (o más) redes para implementar el control de acceso entre las redes. El significado original de cortafuegos se refiere a los tiempos antiguos en los que se construían y utilizaban casas con estructura de madera para evitar la aparición y propagación del fuego, la gente amontonaba piedras sólidas alrededor de la casa como barrera. Esta estructura protectora se llama "cortafuegos". . De hecho, lo que funciona junto con el firewall es la "puerta". Si no hay puerta, ¿cómo pueden comunicarse las personas en diferentes habitaciones y cómo pueden entrar las personas en estas habitaciones? Cuando se produce un incendio, ¿cómo escapan estas personas del lugar? Esta puerta es equivalente a la "política de seguridad" del firewall del que estamos hablando aquí, por lo que el firewall del que estamos hablando aquí no es en realidad una pared sólida, sino una pared con algunos pequeños agujeros. Estos pequeños orificios se utilizan para permitir la comunicación y se instala un mecanismo de filtrado en estos pequeños orificios, que es la "conectividad unidireccional" presentada anteriormente.
Lo que normalmente llamamos firewall de red se basa en el significado metafórico de un firewall que en realidad se usaba para protección contra incendios en la antigüedad. Se refiere a un sistema de defensa que aísla la red local de la red externa.
La protección contra incendios puede aislar la red de área local (LAN) interna de la empresa de Internet u otras redes externas y restringir el acceso a la red para proteger la red interna. Un firewall típico tiene las siguientes tres características básicas: (1) Todos los flujos de datos de la red entre la red interna y la red externa deben pasar a través del firewall. Esta es una característica de la ubicación de la red donde se encuentra el firewall y también es un requisito previo. Porque sólo cuando el firewall es el único canal de comunicación entre las redes internas y externas, puede proteger de manera integral y efectiva la red corporativa contra infracciones. Según el "Marco de tecnología de garantía de la información" formulado por la Agencia de Seguridad Nacional de EE. UU., los firewalls son aplicables a los límites de los sistemas de red del usuario y son dispositivos de protección de seguridad en el límite de la red del usuario. El llamado límite de red se refiere a dos conexiones de red que adoptan diferentes políticas de seguridad, como la conexión entre la red del usuario e Internet, la conexión de red con otras unidades de negocio, la conexión entre diferentes departamentos de la red interna del usuario, etc. El propósito de un firewall es establecer un punto de control de seguridad entre las conexiones de red para auditar y controlar los servicios y el acceso hacia y desde la red interna permitiendo, negando o redirigiendo flujos de datos a través del firewall.
Una estructura de red típica de un sistema de firewall tiene un extremo conectado a la LAN interna de una empresa o institución y el otro extremo conectado a Internet. Todas las comunicaciones entre redes internas y externas deben pasar a través del firewall. (2) Solo los flujos de datos que cumplen con las políticas de seguridad pueden pasar a través del firewall. La función más básica de un firewall es garantizar la legitimidad del tráfico de la red y, bajo esta premisa, reenviar rápidamente el tráfico de la red de un enlace a otro. Comencemos con el primer modelo de firewall. El firewall original era un "host de doble hogar" que tenía dos interfaces de red y dos direcciones de capa de red al mismo tiempo. El firewall recibe el tráfico en la red a través de la interfaz de red correspondiente, lo carga secuencialmente de acuerdo con la estructura de siete capas de la pila de protocolos OSI, realiza reglas de acceso y revisión de seguridad en la capa de protocolo apropiada y luego envía los paquetes que cumplen con los requisitos. Se envían las condiciones de paso desde la interfaz de red correspondiente y se bloquean aquellos paquetes que no cumplen con las condiciones de paso. Por lo tanto, desde esta perspectiva, un firewall es un dispositivo de reenvío multipuerto (interfaz de red >= 2) similar a un puente o enrutador. Abarca múltiples segmentos de red físicos separados y reenvía mensajes. Durante el proceso, se revisa el mensaje. terminado.
(3) El firewall en sí debe tener una inmunidad muy fuerte contra los ataques: este es un requisito previo para que el firewall pueda asumir la importante tarea de proteger la seguridad de la red interna de la empresa. El firewall está en el borde de la red, es como un guardia fronterizo y debe enfrentar las intrusiones de piratas informáticos en todo momento. Esto requiere que el firewall tenga una capacidad muy fuerte para resistir las intrusiones. La razón por la que tiene una capacidad de firewall tan fuerte es la clave del sistema operativo en sí. Sólo un sistema operativo con una relación de total confianza puede hablar de la seguridad del sistema. En segundo lugar, el firewall en sí tiene funciones de servicio muy bajas, excepto el sistema integrado de firewall especializado, no se ejecutan otras aplicaciones en el firewall. Por supuesto, estos aspectos de seguridad sólo pueden decirse que son relativos. En la actualidad, los cortafuegos nacionales representan casi la mitad del mercado ocupado por marcas extranjeras. Las ventajas de las marcas extranjeras son principalmente que son más tecnológicas y populares que los productos nacionales. Los fabricantes de cortafuegos nacionales conocen mejor a los usuarios nacionales y tienen más ventajas de precio. Entre los productos de firewall, los principales fabricantes extranjeros son Cisco, CheckPoint, NetScreen, etc., y los principales fabricantes nacionales son Neusoft, Tianrongxin, Lenovo, Founder, etc. Todos ofrecen diferentes niveles de productos de firewall.
La arquitectura de hardware de los firewalls ha experimentado la arquitectura general de CPU, la arquitectura ASIC y la arquitectura de procesador de red. Sus características respectivas son las siguientes: Arquitectura general de CPU: la arquitectura general de CPU más común se basa en los firewalls con arquitectura Intel X86. entre los firewalls de 100M, los fabricantes de firewalls siempre han preferido el hardware de arquitectura Intel X86 por su alta flexibilidad y escalabilidad debido al uso de la interfaz de bus PCI, aunque Intel es alto, pero en aplicaciones reales, especialmente en el caso de paquetes pequeños, es así. lejos del rendimiento nominal, y la potencia de procesamiento de las CPU de uso general también es muy limitada. Los equipos de seguridad domésticos utilizan principalmente la arquitectura general de CPU basada en X86.
Arquitectura ASIC: la tecnología ASIC (circuito integrado de aplicación específica) fue ampliamente adoptada por equipos de red extranjeros de alta gama hace unos años. Debido a la adopción del modo de reenvío de hardware, la tecnología multibus y la separación del plano de datos y el plano de control, el firewall de arquitectura ASIC resuelve el problema de la capacidad y el rendimiento del ancho de banda insuficiente y su estabilidad también está bien garantizada.
La ventaja de rendimiento de la tecnología ASIC se refleja principalmente en el reenvío de la capa de red, pero no tiene ninguna ventaja en el procesamiento de datos de la capa de aplicación que requiere una gran potencia informática, frente a aplicaciones que mutan con frecuencia. cuestiones de seguridad, su flexibilidad es difícil y la escalabilidad también es difícil de cumplir con los requisitos. Dado que esta tecnología tiene altos umbrales técnicos y financieros, es adoptada principalmente por fabricantes nacionales y extranjeros de renombre. El principal fabricante representativo en el extranjero es Netscreen y el principal fabricante representativo nacional es Tianrongxin. Arquitectura del procesador de red: debido a la dificultad técnica para escribir el microcódigo utilizado por los procesadores de red, es difícil lograr el rendimiento óptimo del producto. Por lo tanto, es difícil que los productos de firewall basados en la arquitectura del procesador de red ocupen una gran participación en el mercado. A medida que los principales proveedores de procesadores de red, incluidos Intel, Broadcom e IBM, vendieron sucesivamente sus negocios de procesadores de red, la aplicación de esta tecnología en productos de seguridad de red ha llegado a su fin.