Ένας πλήρης οδηγός για το τείχος προστασίας: Πώς να δημιουργήσετε ένα ασφαλές σύστημα δικτύωσης

complete guide firewall

Μια σε βάθος ματιά στο τείχος προστασίας με κλασικά παραδείγματα:

Εξερευνήσαμε Όλα σχετικά με τους δρομολογητές στο προηγούμενο σεμινάριό μας σε αυτό Εκπαιδευτικά σεμινάρια δικτύωσης για όλους .

Σε αυτό το σύγχρονο σύστημα επικοινωνίας και δικτύωσης, η χρήση του Διαδικτύου έχει εξελιχθεί σε όλους σχεδόν τους τομείς.

Αυτή η ανάπτυξη και η χρήση του Διαδικτύου έχουν φέρει πολλά οφέλη και ευκολία στην καθημερινή επικοινωνία τόσο για προσωπικούς όσο και για οργανωτικούς σκοπούς. Αλλά από την άλλη πλευρά, βγήκε με θέματα ασφαλείας, προβλήματα εισβολής και άλλα είδη ανεπιθύμητων παρεμβολών.

Για την αντιμετώπιση αυτών των ζητημάτων, απαιτείται μια συσκευή που θα πρέπει να έχει την ικανότητα προστασίας των περιουσιακών στοιχείων του υπολογιστή και της εταιρείας από αυτά τα ζητήματα.

Τι θα μάθετε:

• Εισαγωγή στο τείχος προστασίας
  • Λογισμικό Vs Hardware Firewall
  • Απειλές δικτύου
  • Προστασία τείχους προστασίας
  • Μοντέλο αναφοράς τείχους προστασίας και OSI
  • Αντιμετώπιση εσωτερικών απειλών
  • DMZ
  • Στοιχεία ενός συστήματος τείχους προστασίας
    • # 1) Περιμετρικός δρομολογητής
    • # 2) Τείχος προστασίας
    • # 3) VPN
    • # 4) IDS
  • Τοποθέτηση συστατικών
  • Διαχείριση και διαχείριση τείχους προστασίας
  • Κατηγορίες τείχους προστασίας
    • # 1) Τείχος προστασίας φιλτραρίσματος πακέτων
    • # 2) Κρατικό τείχος προστασίας
    • # 3) Τείχος προστασίας διακομιστή μεσολάβησης
  • Τύποι λογισμικού τείχους προστασίας
    • # 1) Τείχος προστασίας Comodo
    • # 2) Τείχος προστασίας AVS
    • # 3) Netdefender
    • # 4) PeerBlock
    • # 5) Τείχος προστασίας των Windows
    • # 6) Τείχος προστασίας Juniper
  • συμπέρασμα
  • Συνιστώμενη ανάγνωση

Εισαγωγή στο τείχος προστασίας

Η ιδέα του τείχους προστασίας εισήχθη για να εξασφαλίσει τη διαδικασία επικοινωνίας μεταξύ διαφόρων δικτύων.

Το τείχος προστασίας είναι ένα λογισμικό ή μια συσκευή υλικού που εξετάζει τα δεδομένα από πολλά δίκτυα και στη συνέχεια είτε το επιτρέπει είτε το εμποδίζει να επικοινωνεί με το δίκτυό σας και αυτή η διαδικασία διέπεται από ένα σύνολο προκαθορισμένων οδηγιών ασφαλείας.

Σε αυτό το σεμινάριο, θα διερευνήσουμε τις διάφορες πτυχές του Τείχους προστασίας και των εφαρμογών του.

Ορισμός:

Το τείχος προστασίας είναι μια συσκευή ή ένας συνδυασμός συστημάτων που επιβλέπουν τη ροή της κυκλοφορίας μεταξύ διακριτών τμημάτων του δικτύου.Ένα τείχος προστασίαςχρησιμοποιείται για να προστατεύει το δίκτυο από άσχημους ανθρώπους και να απαγορεύει τις ενέργειές τους σε προκαθορισμένα επίπεδα ορίων.

Ένα τείχος προστασίας δεν χρησιμοποιείται μόνο για την προστασία του συστήματος από εξωτερικές απειλές, αλλά και η απειλή μπορεί να είναι και εσωτερική. Επομένως, χρειαζόμαστε προστασία σε κάθε επίπεδο της ιεραρχίας των συστημάτων δικτύωσης.

Ένα καλό τείχος προστασίας θα πρέπει να είναι αρκετό για να αντιμετωπίσει τόσο εσωτερικές όσο και εξωτερικές απειλές και να είναι σε θέση να αντιμετωπίσει κακόβουλο λογισμικό, όπως worms από την απόκτηση πρόσβασης στο δίκτυο. Προβλέπει επίσης το σύστημά σας να σταματήσει να προωθεί παράνομα δεδομένα σε άλλο σύστημα.

Για παράδειγμα , υπάρχει τείχος προστασίας πάντα μεταξύ ενός ιδιωτικού δικτύου και του Διαδικτύου που είναι δημόσιο δίκτυο, επομένως φιλτράρει τα πακέτα που εισέρχονται και εξέρχονται.

Το τείχος προστασίας ως εμπόδιο μεταξύ του Διαδικτύου και του LAN

Η επιλογή ενός ακριβούς τείχους προστασίας είναι κρίσιμη για τη δημιουργία ενός ασφαλούς συστήματος δικτύωσης.

Το τείχος προστασίας προβλέπει τη συσκευή ασφαλείας για να επιτρέπει και να περιορίζει την κυκλοφορία, τον έλεγχο ταυτότητας, τη μετάφραση διευθύνσεων και την ασφάλεια περιεχομένου.

Εξασφαλίζει 365 * 24 * 7 προστασία του δικτύου από χάκερ. Είναι μια επένδυση για οποιονδήποτε οργανισμό και χρειάζεται μόνο έγκαιρες ενημερώσεις για να λειτουργήσει σωστά. Με την ανάπτυξη τείχους προστασίας δεν υπάρχει λόγος πανικού σε περίπτωση επιθέσεων δικτύου.

Λογισμικό Vs Hardware Firewall

Βασικό παράδειγμα δικτύου τείχους προστασίας

Το τείχος προστασίας υλικού προστατεύει ολόκληρο το δίκτυο ενός οργανισμού που το χρησιμοποιεί μόνο από εξωτερικές απειλές. Σε περίπτωση που, εάν ένας υπάλληλος του οργανισμού είναι συνδεδεμένος στο δίκτυο μέσω του φορητού υπολογιστή του, τότε δεν μπορεί να κάνει χρήση της προστασίας.

Από την άλλη πλευρά, το τείχος προστασίας λογισμικού παρέχει ασφάλεια βάσει κεντρικού υπολογιστή καθώς το λογισμικό είναι εγκατεστημένο σε καθεμία από τις συσκευές που είναι συνδεδεμένες στο δίκτυο, προστατεύοντας έτσι το σύστημα από εξωτερικές και εσωτερικές απειλές. Χρησιμοποιείται ευρύτερα από χρήστες κινητών συσκευών για την ψηφιακή προστασία της συσκευής τους από κακόβουλες επιθέσεις.

Απειλές δικτύου

Παρακάτω παρατίθεται μια λίστα απειλών δικτύου:

• Τα σκουλήκια, η άρνηση εξυπηρέτησης (DoS) και οι δούρειοι ίπποι είναι μερικά παραδείγματα απειλών δικτύου που χρησιμοποιούνται για την κατεδάφιση των συστημάτων δικτύωσης υπολογιστών.
• Ο ιός Trojan horse είναι ένα είδος κακόβουλου λογισμικού που εκτελεί μια συγκεκριμένη εργασία στο σύστημα. Στην πραγματικότητα, προσπαθούσε να αποκτήσει παράνομα πρόσβαση στους πόρους του δικτύου. Αυτοί οι ιοί εάν εγχυθούν στο σύστημά σας δίνουν στο χάκερ το δικαίωμα να χαράξει το δίκτυό σας.
• Αυτοί είναι πολύ επικίνδυνοι ιοί, καθώς μπορούν ακόμη και να προκαλέσουν σφάλμα του υπολογιστή σας και μπορούν να τροποποιήσουν ή να διαγράψουν απομακρυσμένα τα κρίσιμα δεδομένα σας από το σύστημα.
• Οι υπολογιστές τύπου worm είναι ένας τύπος προγράμματος κακόβουλου λογισμικού. Καταναλώνουν το εύρος ζώνης και την ταχύτητα του δικτύου για να μεταδίδουν αντίγραφα αυτών στους άλλους υπολογιστές του δικτύου. Βλάπτουν τους υπολογιστές καταστρέφοντας ή τροποποιώντας πλήρως τη βάση δεδομένων του υπολογιστή.
• Τα σκουλήκια είναι πολύ επικίνδυνα καθώς μπορούν να καταστρέψουν τα κρυπτογραφημένα αρχεία και να συνδεθούν με e-mail και έτσι μπορούν να μεταδοθούν στο δίκτυο μέσω του Διαδικτύου.

Προστασία τείχους προστασίας

Σε μικρά δίκτυα, μπορούμε να διασφαλίσουμε την ασφάλεια κάθε συσκευής δικτύου διασφαλίζοντας ότι έχουν εγκατασταθεί όλες οι ενημερώσεις κώδικα λογισμικού, οι ανεπιθύμητες υπηρεσίες είναι απενεργοποιημένες και ότι το λογισμικό ασφαλείας έχει εγκατασταθεί σωστά σε αυτό.

Σε αυτήν την περίπτωση, όπως φαίνεται και στην εικόνα, το λογισμικό τείχους προστασίας είναι εγκατεστημένο σε κάθε μηχάνημα και διακομιστή και διαμορφώνεται με τέτοιο τρόπο ώστε μόνο η επισκεψιμότητα που παρατίθεται μπορεί να εισέλθει και να βγει από τη συσκευή. Αλλά αυτό λειτουργεί αποτελεσματικά μόνο σε δίκτυα μικρής κλίμακας.

Προστασία τείχους προστασίας σε δίκτυο μικρής κλίμακας

Σε ένα δίκτυο μεγάλης κλίμακας, είναι σχεδόν αδύνατο να διαμορφώσετε χειροκίνητα την προστασία του τείχους προστασίας σε κάθε κόμβο.

Το κεντρικό σύστημα ασφαλείας είναι μια λύση για την παροχή ενός ασφαλούς δικτύου σε μεγάλα δίκτυα. Με τη βοήθεια ενός παραδείγματος, φαίνεται στο παρακάτω σχήμα ότι η λύση του τείχους προστασίας επιβάλλεται με τον ίδιο τον δρομολογητή και καθίσταται απλός χειρισμός των πολιτικών ασφαλείας. Οι πολιτικές κυκλοφορίας εισέρχονται και εξέρχονται στη συσκευή και μπορούν να αντιμετωπιστούν μόνο από μία συσκευή.

τι είναι ένα σχέδιο δοκιμών στη δοκιμή λογισμικού

Αυτό καθιστά το συνολικό σύστημα ασφαλείας οικονομικό.

Προστασία τείχους προστασίας σε μεγάλα δίκτυα

Μοντέλο αναφοράς τείχους προστασίας και OSI

Ένα σύστημα τείχους προστασίας μπορεί να λειτουργήσει σε πέντε επίπεδα του μοντέλου αναφοράς OSI-ISO. Αλλά τα περισσότερα από αυτά τρέχουν μόνο σε τέσσερα επίπεδα, δηλαδή επίπεδο σύνδεσης δεδομένων, επίπεδο δικτύου, επίπεδο μεταφοράς και επίπεδα εφαρμογών.

Ο αριθμός των επιπέδων που τυλίγει ένα τείχος προστασίας εξαρτάται από τον τύπο του τείχους προστασίας που χρησιμοποιείται. Μεγαλύτερη θα είναι μια μέτρηση επιπέδων που καλύπτει πιο αποτελεσματική θα είναι η λύση τείχους προστασίας για την αντιμετώπιση όλων των ειδών ανησυχιών ασφαλείας.

Αντιμετώπιση εσωτερικών απειλών

Το μεγαλύτερο μέρος της επίθεσης στο δίκτυο συμβαίνει από το εσωτερικό του συστήματος, οπότε για να αντιμετωπίσει το τείχος προστασίας του συστήματος θα πρέπει να είναι σε θέση να προστατεύει και από εσωτερικές απειλές.

Λίγα είδη εσωτερικών απειλών περιγράφονται παρακάτω:

# 1) Οι κακόβουλες κυβερνοεπιθέσεις είναι ο πιο κοινός τύπος εσωτερικής επίθεσης. Ο διαχειριστής συστήματος ή οποιοσδήποτε υπάλληλος από το τμήμα πληροφορικής που έχει πρόσβαση στο σύστημα δικτύου μπορεί να εγκαταστήσει ορισμένους ιούς για να κλέψει σημαντικές πληροφορίες δικτύου ή να καταστρέψει το σύστημα δικτύωσης.

Η λύση για την αντιμετώπισή του είναι η παρακολούθηση των δραστηριοτήτων κάθε υπαλλήλου και η φύλαξη του εσωτερικού δικτύου χρησιμοποιώντας πολλαπλά επίπεδα του κωδικού πρόσβασης σε καθέναν από τους διακομιστές. Το σύστημα μπορεί επίσης να προστατευτεί δίνοντας πρόσβαση στο σύστημα στους όσο το δυνατόν λιγότερους υπαλλήλους.

#δύο) Οποιοσδήποτε από τους κεντρικούς υπολογιστές του εσωτερικού δικτύου του οργανισμού μπορεί να κατεβάσει κακόβουλο περιεχόμενο στο Διαδίκτυο με έλλειψη γνώσεων για τη λήψη του ιού επίσης. Έτσι, τα συστήματα κεντρικού υπολογιστή θα πρέπει να έχουν περιορισμένη πρόσβαση στο Διαδίκτυο. Πρέπει να αποκλειστεί κάθε περιττή περιήγηση.

# 3) Η διαρροή πληροφοριών από οποιονδήποτε κεντρικό υπολογιστή μέσω μονάδων πένας, σκληρού δίσκου ή CD-ROM αποτελεί επίσης απειλή δικτύου για το σύστημα. Αυτό μπορεί να οδηγήσει σε κρίσιμη διαρροή βάσης δεδομένων του οργανισμού στον εξωτερικό κόσμο ή σε ανταγωνιστές. Αυτό μπορεί να ελεγχθεί απενεργοποιώντας τις θύρες USB των κεντρικών συσκευών, ώστε να μην μπορούν να πάρουν δεδομένα από το σύστημα.

Συνιστώμενη ανάγνωση => Κορυφαία εργαλεία λογισμικού κλειδώματος USB

DMZ

Μια αποστρατικοποιημένη ζώνη (DMZ) χρησιμοποιείται από την πλειονότητα των συστημάτων τείχους προστασίας για την προστασία περιουσιακών στοιχείων και πόρων. Τα DMZ έχουν αναπτυχθεί για να παρέχουν στους εξωτερικούς χρήστες πρόσβαση σε πόρους όπως διακομιστές e-mail, διακομιστές DNS και ιστοσελίδες χωρίς να αποκαλύπτουν το εσωτερικό δίκτυο. Συμπεριφέρεται ως buffer μεταξύ διακριτικών τμημάτων στο δίκτυο.

Σε κάθε περιοχή του συστήματος τείχους προστασίας εκχωρείται επίπεδο ασφαλείας.

Για παράδειγμα , χαμηλή, μεσαία και υψηλή. Κανονικά η κυκλοφορία ρέει από υψηλότερο σε χαμηλότερο επίπεδο. Αλλά για να μετακινηθεί η επισκεψιμότητα από χαμηλότερο σε υψηλότερο επίπεδο, αναπτύσσεται ένα διαφορετικό σύνολο κανόνων φιλτραρίσματος.

Για να επιτρέψετε στην κίνηση να μετακινηθεί από χαμηλότερο επίπεδο ασφάλειας σε υψηλότερο επίπεδο ασφάλειας, θα πρέπει να είστε ακριβείς για το είδος της επιτρεπόμενης κυκλοφορίας. Με την ακρίβεια, ξεκλειδώνουμε το σύστημα τείχους προστασίας μόνο για την κυκλοφορία που είναι απαραίτητη, όλα τα άλλα είδη κυκλοφορίας θα αποκλειστούν από τη διαμόρφωση.

Ένα τείχος προστασίας αναπτύσσεται για το διαχωρισμό διακριτικών τμημάτων του δικτύου.

Οι διάφορες διεπαφές έχουν ως εξής:

• Σύνδεση στο Διαδίκτυο, με το χαμηλότερο επίπεδο ασφάλειας.
• Ένας σύνδεσμος προς το DMZ εκχώρησε ένα μέσο ασφαλείας λόγω της παρουσίας διακομιστών.
• Ένας σύνδεσμος προς τον οργανισμό, που βρίσκεται στο απομακρυσμένο άκρο, έχει αντιστοιχιστεί μέσο ασφαλείας.
• Η υψηλότερη ασφάλεια εκχωρείται στο εσωτερικό δίκτυο.

Προστασία τείχους προστασίας με DMS

Οι κανόνες που ανατίθενται στον οργανισμό είναι:

• Επιτρέπεται η πρόσβαση υψηλού σε χαμηλού επιπέδου
• Δεν επιτρέπεται η πρόσβαση χαμηλού έως υψηλού επιπέδου
• Δεν επιτρέπεται η πρόσβαση σε ισοδύναμο επίπεδο

Χρησιμοποιώντας το παραπάνω σύνολο κανόνων, η κυκλοφορία που επιτρέπεται να ρέει αυτόματα μέσω του τείχους προστασίας είναι:

• Εσωτερικές συσκευές σε DMZ, απομακρυσμένη οργάνωση και Διαδίκτυο.
• DMZ στον απομακρυσμένο οργανισμό και στο Διαδίκτυο.

Οποιαδήποτε άλλη ροή κυκλοφορίας αποκλείεται. Το πλεονέκτημα αυτού του σχεδιασμού είναι ότι δεδομένου ότι στο Διαδίκτυο και στον απομακρυσμένο οργανισμό έχουν αντιστοιχιστεί τα αντίστοιχα επίπεδα ασφάλειας, η κίνηση από το Διαδίκτυο δεν είναι σε θέση να καθορίσει την οργάνωση η οποία από μόνη της βελτιώνει την προστασία και η οργάνωση δεν θα μπορεί να χρησιμοποιήσει το Διαδίκτυο χωρίς κόστος (εξοικονομεί χρήματα).

Ένα άλλο πλεονέκτημα είναι ότι παρέχει πολυεπίπεδη ασφάλεια, επομένως εάν ένας χάκερ θέλει να χαράξει τους εσωτερικούς πόρους, τότε πρέπει πρώτα να χαράξει το DMZ. Η εργασία του Hacker γίνεται πιο δύσκολη, η οποία με τη σειρά της καθιστά το σύστημα πολύ πιο ασφαλές.

Στοιχεία ενός συστήματος τείχους προστασίας

Τα δομικά στοιχεία ενός καλού συστήματος τείχους προστασίας είναι τα εξής:

• Περιμετρικός δρομολογητής
• Τείχος προστασίας
• VPN
• IDS

# 1) Περιμετρικός δρομολογητής

Ο κύριος λόγος για τη χρήση του είναι η παροχή συνδέσμου προς το δημόσιο σύστημα δικτύωσης, όπως το Διαδίκτυο, ή μια ξεχωριστή οργάνωση. Εκτελεί τη δρομολόγηση πακέτων δεδομένων ακολουθώντας ένα κατάλληλο πρωτόκολλο δρομολόγησης.

Προβλέπει επίσης το φιλτράρισμα πακέτων και εξετάζει τις μεταφράσεις.

# 2) Τείχος προστασίας

Όπως συζητήθηκε προηγουμένως, το κύριο καθήκον της είναι να προβλέπει διακριτικά επίπεδα ασφάλειας και να εποπτεύει την κυκλοφορία μεταξύ κάθε επιπέδου. Το μεγαλύτερο μέρος του τείχους προστασίας υπάρχει κοντά στο δρομολογητή για να παρέχει ασφάλεια από εξωτερικές απειλές, αλλά μερικές φορές υπάρχει στο εσωτερικό δίκτυο για προστασία από εσωτερικές επιθέσεις.

# 3) VPN

Η λειτουργία του είναι να προβλέπει ασφαλή σύνδεση μεταξύ δύο μηχανών ή δικτύων ή μιας μηχανής και ενός δικτύου. Αυτό αποτελείται από κρυπτογράφηση, έλεγχο ταυτότητας και διασφάλιση αξιοπιστίας πακέτων. Παρέχει την ασφαλή απομακρυσμένη πρόσβαση του δικτύου, συνδέοντας έτσι δύο δίκτυα WAN στην ίδια πλατφόρμα ενώ δεν είναι φυσικά συνδεδεμένα.

# 4) IDS

Η λειτουργία του είναι να εντοπίζει, να αποκλείει, να διερευνά και να επιλύει τις μη εξουσιοδοτημένες επιθέσεις. Ένας χάκερ μπορεί να επιτεθεί στο δίκτυο με διάφορους τρόπους. Μπορεί να εκτελέσει επίθεση DoS ή επίθεση από την πίσω πλευρά του δικτύου μέσω κάποιας μη εξουσιοδοτημένης πρόσβασης. Μια λύση IDS πρέπει να είναι αρκετά έξυπνη για να αντιμετωπίσει αυτούς τους τύπους επιθέσεων.

Λύση IDS είναι δύο ειδών, που βασίζεται σε δίκτυο και σε κεντρικό υπολογιστή. Μια λύση IDS που βασίζεται στο δίκτυο θα πρέπει να είναι εξειδικευμένη με τέτοιο τρόπο κάθε φορά που εντοπίζεται μια επίθεση, μπορεί να έχει πρόσβαση στο σύστημα τείχους προστασίας και αφού συνδεθεί σε αυτό μπορεί να διαμορφώσει ένα αποτελεσματικό φίλτρο που μπορεί να περιορίσει την ανεπιθύμητη κίνηση.

Μια λύση IDS που βασίζεται σε κεντρικό υπολογιστή είναι ένα είδος λογισμικού που εκτελείται σε μια κεντρική συσκευή, όπως φορητό υπολογιστή ή διακομιστή, το οποίο εντοπίζει την απειλή μόνο έναντι αυτής της συσκευής. Η λύση IDS θα πρέπει να επιθεωρεί στενά τις απειλές δικτύου και να τις αναφέρει έγκαιρα και να λαμβάνει τα απαραίτητα μέτρα κατά των επιθέσεων.

Τοποθέτηση συστατικών

Έχουμε συζητήσει μερικά από τα σημαντικότερα δομικά στοιχεία του συστήματος τείχους προστασίας. Τώρα ας συζητήσουμε την τοποθέτηση αυτών των στοιχείων.

Παρακάτω με τη βοήθεια ενός παραδείγματος, απεικονίζω το σχεδιασμό του δικτύου. Αλλά δεν μπορεί να ειπωθεί εντελώς ότι είναι ο συνολικός ασφαλής σχεδιασμός δικτύου, επειδή κάθε σχέδιο μπορεί να έχει κάποιους περιορισμούς.

Ο περιμετρικός δρομολογητής που έχει βασικά χαρακτηριστικά φιλτραρίσματος χρησιμοποιείται όταν η κυκλοφορία διεισδύει στο δίκτυο. Ένα στοιχείο IDS τοποθετείται για τον εντοπισμό επιθέσεων που ο περιμετρικός δρομολογητής ήταν ανίκανος να φιλτράρει.

Η κυκλοφορία περνά έτσι από το τείχος προστασίας. Το τείχος προστασίας έχει ξεκινήσει τρία επίπεδα ασφάλειας, χαμηλό για το Διαδίκτυο σημαίνει εξωτερική πλευρά, μέσο για DMZ και υψηλό για το εσωτερικό δίκτυο. Ο κανόνας που ακολουθείται είναι να επιτρέπεται μόνο η κυκλοφορία από το Διαδίκτυο στον διακομιστή ιστού.

Η υπόλοιπη ροή κίνησης από χαμηλότερη προς υψηλότερη πλευρά είναι περιορισμένη, ωστόσο, επιτρέπεται υψηλότερη προς χαμηλότερη ροή κυκλοφορίας, έτσι ώστε ο διαχειριστής που βρίσκεται στο εσωτερικό δίκτυο για σύνδεση στον διακομιστή DMZ.

Συνολικό παράδειγμα σχεδιασμού συστήματος τείχους προστασίας

Ένας εσωτερικός δρομολογητής εφαρμόζεται επίσης σε αυτόν τον σχεδιασμό για τη δρομολόγηση των πακέτων εσωτερικά και για την εκτέλεση ενεργειών φιλτραρίσματος.

Το πλεονέκτημα αυτού του σχεδιασμού είναι ότι έχει τρία επίπεδα ασφάλειας, τον περιμετρικό δρομολογητή πακέτου φιλτραρίσματος, το IDS και το τείχος προστασίας.

Το μειονέκτημα αυτής της ρύθμισης είναι ότι δεν εμφανίζεται κανένα IDS στο εσωτερικό δίκτυο, επομένως δεν μπορεί εύκολα να αποτρέψει εσωτερικές επιθέσεις.

Σημαντικά στοιχεία σχεδιασμού:

• Ένα τείχος προστασίας φιλτραρίσματος πακέτων θα πρέπει να χρησιμοποιείται στο όριο του δικτύου για μεγαλύτερη ασφάλεια.
• Κάθε διακομιστής που έχει έκθεση σε δημόσιο δίκτυο όπως το Διαδίκτυο θα τοποθετείται σε DMZ. Οι διακομιστές που έχουν κρίσιμα δεδομένα θα είναι εξοπλισμένοι με λογισμικό τείχους προστασίας που βασίζεται σε κεντρικό υπολογιστή. Εκτός από αυτούς σε διακομιστές, όλες οι ανεπιθύμητες υπηρεσίες πρέπει να απενεργοποιηθούν.
• Εάν το δίκτυό σας διαθέτει κρίσιμους διακομιστές βάσεων δεδομένων όπως διακομιστές HLR, IN και SGSN που χρησιμοποιούνται σε λειτουργίες κινητής τηλεφωνίας, τότε θα αναπτυχθούν πολλά DMZ.
• Εάν εξωτερικές πηγές, όπως οργανώσεις άκρου, θέλουν να αποκτήσουν πρόσβαση στον διακομιστή σας που βρίσκεται σε ένα εσωτερικό δίκτυο συστήματος ασφαλείας, χρησιμοποιήστε το VPN.
• Για κρίσιμες εσωτερικές πηγές, όπως Ε & Α ή χρηματοοικονομικές πηγές, το IDS θα πρέπει να χρησιμοποιείται για την παρακολούθηση και την αντιμετώπιση εσωτερικών επιθέσεων. Επιβάλλοντας ξεχωριστά επίπεδα ασφάλειας, μπορεί να παρέχεται επιπλέον ασφάλεια στο εσωτερικό δίκτυο.
• Για τις υπηρεσίες e-mail, όλα τα εξερχόμενα email πρέπει πρώτα να περνούν μέσω του διακομιστή e-mail DMZ και, στη συνέχεια, κάποιο επιπλέον λογισμικό ασφαλείας, ώστε να αποφεύγονται οι εσωτερικές απειλές.
• Για εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου, εκτός από τον διακομιστή DMZ, πρέπει να εγκατασταθεί και να εκτελείται λογισμικό προστασίας από ιούς, ανεπιθύμητα μηνύματα και λογισμικό κεντρικού υπολογιστή κάθε φορά που ένα μήνυμα εισέρχεται στο διακομιστή.

Διαχείριση και διαχείριση τείχους προστασίας

Τώρα έχουμε επιλέξει τα δομικά στοιχεία του συστήματος τείχους προστασίας μας. Τώρα ήρθε η ώρα να διαμορφώσετε τους κανόνες ασφαλείας σε ένα σύστημα δικτύου.

απαιτούνται αρχεία βάζων για πρόγραμμα οδήγησης σεληνίου

Η διεπαφή γραμμής εντολών (CLI) και η διεπαφή χρήστη γραφικών (GUI) χρησιμοποιούνται για τη διαμόρφωση του λογισμικού τείχους προστασίας. Για παράδειγμα , Τα προϊόντα Cisco υποστηρίζουν και τα δύο είδη μεθόδων διαμόρφωσης.

Σήμερα στα περισσότερα από τα δίκτυα, ο Διαχειριστής συσκευών ασφαλείας (SDM) που είναι επίσης προϊόν της Cisco χρησιμοποιείται για τη ρύθμιση παραμέτρων δρομολογητών, τείχους προστασίας και VPN.

Για την εφαρμογή ενός συστήματος τείχους προστασίας, είναι απαραίτητη μια αποτελεσματική διαχείριση για την ομαλή εκτέλεση της διαδικασίας. Οι άνθρωποι που διαχειρίζονται το σύστημα ασφαλείας πρέπει να είναι κύριος στην εργασία τους, καθώς δεν υπάρχει περιθώριο για ανθρώπινο λάθος.

Οποιοσδήποτε τύπος σφαλμάτων διαμόρφωσης πρέπει να αποφεύγεται. Κάθε φορά που θα πραγματοποιούνται ενημερώσεις διαμόρφωσης, ο διαχειριστής πρέπει να εξετάζει και να ελέγχει ξανά ολόκληρη τη διαδικασία, ώστε να μην αφήνει περιθώρια για παραθυράκια και εισβολείς να την επιτεθούν. Ο διαχειριστής πρέπει να χρησιμοποιήσει ένα εργαλείο λογισμικού για να εξετάσει τις αλλαγές που έγιναν.

Τυχόν σημαντικές αλλαγές διαμόρφωσης σε συστήματα τείχους προστασίας δεν μπορούν να εφαρμοστούν άμεσα στα τρέχοντα μεγάλα δίκτυα, όπως εάν αποτύχουν μπορεί να οδηγήσουν σε μεγάλη απώλεια στο δίκτυο και επιτρέποντας απευθείας στην ανεπιθύμητη κίνηση να εισέλθει στο σύστημα. Έτσι, πρώτα πρέπει να εκτελεστεί στο εργαστήριο και να εξεταστούν τα αποτελέσματα εάν τα αποτελέσματα βρεθούν εντάξει, τότε μπορούμε να εφαρμόσουμε τις αλλαγές στο ζωντανό δίκτυο.

Κατηγορίες τείχους προστασίας

Με βάση το φιλτράρισμα της κυκλοφορίας υπάρχουν πολλές κατηγορίες του τείχους προστασίας, μερικές εξηγούνται παρακάτω:

# 1) Τείχος προστασίας φιλτραρίσματος πακέτων

Είναι ένα είδος δρομολογητή που έχει τη δυνατότητα να φιλτράρει τις λίγες ουσίες των πακέτων δεδομένων. Όταν χρησιμοποιείτε φιλτράρισμα πακέτων, οι κανόνες ταξινομούνται στο τείχος προστασίας. Αυτοί οι κανόνες ανακαλύπτουν από τα πακέτα ποια κυκλοφορία επιτρέπεται και ποια όχι.

# 2) Κρατικό τείχος προστασίας

Ονομάζεται επίσης ως δυναμικό φιλτράρισμα πακέτων, ελέγχει την κατάσταση των ενεργών συνδέσεων και χρησιμοποιεί αυτά τα δεδομένα για να ανακαλύψει ποια από τα πακέτα πρέπει να επιτρέπονται μέσω του τείχους προστασίας και ποια όχι.

Το τείχος προστασίας επιθεωρεί το πακέτο μέχρι το επίπεδο εφαρμογής. Ανιχνεύοντας τα δεδομένα περιόδου σύνδεσης όπως διεύθυνση IP και αριθμό θύρας του πακέτου δεδομένων, μπορεί να παρέχει πολύ ισχυρή ασφάλεια στο δίκτυο.

Επιθεωρεί επίσης τόσο την εισερχόμενη όσο και την εξερχόμενη κίνηση, επομένως οι χάκερ δυσκολεύτηκαν να παρέμβουν στο δίκτυο χρησιμοποιώντας αυτό το τείχος προστασίας.

# 3) Τείχος προστασίας διακομιστή μεσολάβησης

Αυτά είναι επίσης γνωστά ως τείχη προστασίας πύλης εφαρμογών. Το stateful firewall δεν μπορεί να προστατεύσει το σύστημα από επιθέσεις που βασίζονται σε HTTP. Επομένως, το proxy firewall εισάγεται στην αγορά.

Περιλαμβάνει τα χαρακτηριστικά του επιθετικού ελέγχου καθώς και την ικανότητα στενής ανάλυσης πρωτοκόλλων επιπέδου εφαρμογής.

Έτσι μπορεί να παρακολουθεί την κυκλοφορία από HTTP και FTP και να ανακαλύπτει την πιθανότητα επιθέσεων. Έτσι, το τείχος προστασίας συμπεριφέρεται ως διακομιστής μεσολάβησης σημαίνει ότι ο πελάτης ξεκινά μια σύνδεση με το τείχος προστασίας και το τείχος προστασίας εκκινεί μια σόλο σύνδεση με τον διακομιστή από την πλευρά του πελάτη.

Τύποι λογισμικού τείχους προστασίας

Τα λίγα από τα πιο δημοφιλή λογισμικά τείχους προστασίας που χρησιμοποιούν οι οργανισμοί για την προστασία των συστημάτων τους αναφέρονται παρακάτω:

# 1) Τείχος προστασίας Comodo

Η εικονική περιήγηση στο Διαδίκτυο, ο αποκλεισμός ανεπιθύμητων αναδυόμενων διαφημίσεων και η προσαρμογή των διακομιστών DNS είναι τα κοινά χαρακτηριστικά αυτού του Τείχους προστασίας. Το εικονικό περίπτερο χρησιμοποιείται για τον αποκλεισμό ορισμένων διαδικασιών και προγραμμάτων με διαφυγή και διείσδυση στο δίκτυο.

Σε αυτό το τείχος προστασίας, εκτός από την παρακολούθηση της μακράς διαδικασίας για τον καθορισμό των θυρών και άλλων προγραμμάτων που επιτρέπουν και αποκλείουν, οποιοδήποτε πρόγραμμα μπορεί να επιτρέπεται και να αποκλείεται με απλή περιήγηση στο πρόγραμμα και κάνοντας κλικ στην επιθυμητή έξοδο.

Το Comodo killswitch είναι επίσης ένα βελτιωμένο χαρακτηριστικό αυτού του τείχους προστασίας που απεικονίζει όλες τις τρέχουσες διαδικασίες και το καθιστά πολύ εύκολο να αποκλείσετε οποιοδήποτε ανεπιθύμητο πρόγραμμα.

# 2) Τείχος προστασίας AVS

Είναι πολύ απλό να εφαρμοστεί. Προστατεύει το σύστημά σας από δυσάρεστες τροποποιήσεις μητρώου, αναδυόμενα παράθυρα και ανεπιθύμητες διαφημίσεις. Μπορούμε επίσης να τροποποιήσουμε τις διευθύνσεις URL για διαφημίσεις ανά πάσα στιγμή και να τις αποκλείσουμε επίσης.

Διαθέτει επίσης τη δυνατότητα ενός γονικού ελέγχου, το οποίο αποτελεί μέρος της άδειας πρόσβασης σε μια συγκεκριμένη ομάδα ιστότοπων μόνο.

Χρησιμοποιείται στα Windows 8, 7, Vista και XP.

# 3) Netdefender

Εδώ μπορούμε εύκολα να περιγράψουμε τη διεύθυνση IP προέλευσης και προορισμού, τον αριθμό θύρας και το πρωτόκολλο που επιτρέπονται και δεν επιτρέπονται στο σύστημα. Μπορούμε να επιτρέψουμε και να αποκλείσουμε το FTP για ανάπτυξη και περιορισμό σε οποιοδήποτε δίκτυο.

Διαθέτει επίσης σαρωτή θύρας, ο οποίος μπορεί να απεικονίσει ποιος μπορεί να χρησιμοποιηθεί για ροή κυκλοφορίας.

# 4) PeerBlock

Παρά τον αποκλεισμό μεμονωμένης κατηγορίας προγραμμάτων που ορίζονται στον υπολογιστή, αποκλείει την πτώση της κατηγορίας διευθύνσεων IP σε μια συγκεκριμένη κατηγορία.

Χρησιμοποιεί αυτή τη λειτουργία αποκλείοντας τόσο την εισερχόμενη όσο και την εξερχόμενη κίνηση, καθορίζοντας ένα σύνολο διευθύνσεων IP που αποκλείονται. Επομένως, το δίκτυο ή ο υπολογιστής που χρησιμοποιεί αυτό το σύνολο IP δεν μπορεί να έχει πρόσβαση στο δίκτυο και επίσης το εσωτερικό δίκτυο δεν μπορεί να στείλει την εξερχόμενη κίνηση σε αυτά τα αποκλεισμένα προγράμματα.

# 5) Τείχος προστασίας των Windows

Το πιο συχνά τείχος προστασίας που χρησιμοποιούν οι χρήστες των Windows 7 είναι αυτό το τείχος προστασίας. Προβλέπει την πρόσβαση και τον περιορισμό της κυκλοφορίας και της επικοινωνίας μεταξύ δικτύων ή ενός δικτύου ή μιας συσκευής, αναλύοντας τη διεύθυνση IP και τον αριθμό θύρας. Από προεπιλογή επιτρέπει όλη την εξερχόμενη κίνηση, αλλά επιτρέπει μόνο την εισερχόμενη κίνηση που έχει οριστεί.

# 6) Τείχος προστασίας Juniper

Ο juniper από μόνος του είναι ένας οργανισμός δικτύωσης και σχεδιάζει διάφορους τύπους δρομολογητών και φίλτρων τείχους προστασίας επίσης. Σε ένα ζωντανό δίκτυο όπως οι πάροχοι υπηρεσιών κινητής τηλεφωνίας χρησιμοποιεί τείχη προστασίας από Juniper για την προστασία των υπηρεσιών δικτύου τους από διαφορετικούς τύπους απειλών.

Προστατεύουν τους δρομολογητές δικτύου και την επιπλέον εισερχόμενη κίνηση και τις μη αποδεκτές επιθέσεις από εξωτερικές πηγές που μπορούν να διακόψουν τις υπηρεσίες δικτύου και να χειριστούν ποια κίνηση θα προωθηθεί από ποια από τις διεπαφές του δρομολογητή.

Εφαρμόζει ένα φίλτρο εισόδου και εξόδου τείχους προστασίας σε καθεμία από τις εισερχόμενες και εξερχόμενες φυσικές διεπαφές. Αυτό φιλτράρει τα ανεπιθύμητα πακέτα δεδομένων ακολουθώντας τους κανόνες που ορίζονται τόσο στις εισερχόμενες όσο και στις εξερχόμενες διεπαφές.

Σύμφωνα με τις προεπιλεγμένες ρυθμίσεις διαμόρφωσης τείχους προστασίας, αποφασίζονται ποια πακέτα πρέπει να γίνουν αποδεκτά και ποια θα απορριφθούν.

συμπέρασμα

Από την παραπάνω περιγραφή για διάφορες πτυχές του τείχους προστασίας, θα καταλήξουμε στο συμπέρασμα ότι για να ξεπεραστούν οι εξωτερικές και εσωτερικές επιθέσεις δικτύου, έχει εισαχθεί η έννοια του τείχους προστασίας.

Το τείχος προστασίας μπορεί να είναι υλικό ή λογισμικό το οποίο, ακολουθώντας ένα συγκεκριμένο σύνολο κανόνων, θα προστατεύει το δίκτυό μας από τον ιό και άλλους τύπους κακόβουλων επιθέσεων.

Εξετάσαμε επίσης εδώ τις διάφορες κατηγορίες του τείχους προστασίας, τα στοιχεία του τείχους προστασίας, το σχεδιασμό και την εφαρμογή ενός τείχους προστασίας, και στη συνέχεια μερικά από τα διάσημα λογισμικά τείχους προστασίας που χρησιμοποιούσαμε για τη βιομηχανία δικτύωσης.

Εκπαιδευτικό πρόγραμμα PREV | ΕΠΟΜΕΝΟ Φροντιστήριο

Συνιστώμενη ανάγνωση

• LAN Vs WAN Vs MAN: Ακριβής διαφορά μεταξύ τύπων δικτύου
• Μοντέλο TCP / IP με διαφορετικά επίπεδα
• Όλα για δρομολογητές: Τύποι δρομολογητών, πίνακας δρομολόγησης και δρομολόγηση IP
• All About Layer 2 and Layer 3 Switches στο Networking System
• Οδηγός για Subnet Mask (Subnetting) & Υπολογιστής υποδικτύου IP
• Τι είναι το δίκτυο ευρείας περιοχής (WAN): Παραδείγματα ζωντανών δικτύων WAN
• Σημαντικά πρωτόκολλα επιπέδου εφαρμογής: Πρωτόκολλα DNS, FTP, SMTP και MIME
• IPv4 vs IPv6: Ποια είναι η ακριβής διαφορά