Thực đơn
trang chủInternet

Bức tường lửa. Tường lửa. Phương pháp tổ chức bảo vệ

Tường lửa là hệ thống phần mềm bảo vệ đặc biệt (tường lửa) ngăn chặn trái phép, đồng thời tạo rào cản cho cả máy tính cá nhân và toàn bộ mạng cục bộ khỏi sự xâm nhập của các phần mềm độc hại. Dựa trên mục đích chính của chúng - không cho phép các gói đáng ngờ đi qua, các chương trình như vậy có. đã nhận được một tên khác - bộ lọc. Ngày nay, các nhà sản xuất tường lửa bảo mật nổi tiếng nhất như sau: ZyXEL, Tường lửa, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.

Thiết lập tường lửa

Tường lửa được cấu hình thủ công, cung cấp khả năng thiết lập bảo vệ chi tiết. Một trong những tính năng quan trọng nhất là thiết lập phần mềm chống vi-rút trực tiếp trên cổng USB. Bằng cách thiết lập các cài đặt cần thiết, bạn có thể sử dụng chương trình như vậy để tạo ra quyền kiểm soát hoàn toàn đối với đầu vào và đầu ra trên mạng cục bộ và trên từng thiết bị điện tử trong đó.

Bằng cách thiết lập thủ công màn hình bảo vệ trên một trong các máy tính trong mạng, bạn có thể nhanh chóng chuyển các cài đặt sẵn có sang các thiết bị mạng khác. Hơn nữa, hoạt động đồng bộ được đảm bảo ngay cả khi có kết nối mạng không dây. Việc thiết lập các tham số tường lửa cần thiết sẽ mất chút thời gian, nhưng nếu bạn bỏ qua, các hạn chế bảo vệ có thể chặn một số dịch vụ cần thiết cho hoạt động.

Các tính năng lọc mạng bổ sung

Có những tường lửa có thể được cấu hình để cung cấp khả năng bảo vệ bổ sung cho các dịch vụ và ứng dụng riêng lẻ. Ví dụ: để ngăn chặn việc hack “kiểm soát của phụ huynh” hoặc cài đặt “chống thư rác”. Việc thiết lập quyền truy cập Internet và quyền vận hành trong mạng cục bộ khép kín cho từng chương trình và ứng dụng có thể được xác định riêng biệt. Tường lửa cho phép bạn kiểm soát quyền truy cập vào các trang web, có thể giám sát quá trình quét cổng và lọc nội dung Web. Nó cũng có khả năng chặn quyền truy cập từ các địa chỉ IP đáng ngờ và thông báo về các nỗ lực tấn công hoặc thăm dò.

Các loại tường lửa

Tường lửa được chia thành các loại sau:

Tường lửa truyền thống cung cấp tính năng lọc truy cập để gửi và nhận gói;

Tường lửa phiên giám sát các phiên riêng lẻ giữa các ứng dụng đã cài đặt, đảm bảo chặn kịp thời quyền truy cập vào các gói không được chứng nhận, thường được sử dụng để hack, quét dữ liệu bí mật, v.v.;

Tường lửa phân tích thực hiện lọc dựa trên phân tích thông tin gói nội bộ với việc chặn các Trojan được xác định sau đó;

Tường lửa phần cứng được trang bị bộ tăng tốc tích hợp cho phép ngăn chặn xâm nhập đồng thời (IPS), quét chống vi-rút, ngăn chặn người dùng trong mạng riêng và ẩn danh VPN cũng như hiệu suất tường lửa hiệu quả hơn.

Biện pháp phòng ngừa

Để đảm bảo bảo mật chất lượng cao và đáng tin cậy chống lại sự xâm nhập và hack trái phép, chỉ cần cài đặt tường lửa được chứng nhận trên các nút mạng. Hiện tại, các đạo luật lập pháp của Liên bang Nga quy định phải có chứng nhận của FSTEC, Gazpromsert và FSB. Ví dụ: nó chứng nhận rằng bộ lọc tường lửa này đáp ứng tất cả các yêu cầu được nêu trong phần đầu tiên của tài liệu của Ủy ban Kỹ thuật Nhà nước Nga. Và các chứng chỉ của FSB cho thấy hệ thống chương trình bảo vệ tuân thủ theo tiêu chuẩn Gosstandart của Nga về yêu cầu đảm bảo an ninh, bảo mật thông tin.

14.9. Tường lửa

Sự quan tâm đến tường lửa (tường lửa) từ những người kết nối Internet ngày càng tăng và thậm chí các ứng dụng cho mạng cục bộ đã xuất hiện nhằm cung cấp mức độ bảo mật ngày càng tăng. Trong phần này, chúng tôi hy vọng phác thảo tường lửa là gì, cách sử dụng chúng và cách tận dụng các khả năng do hạt nhân FreeBSD cung cấp để triển khai chúng.

14.9.1. Tường lửa là gì?

Có hai loại tường lửa khác biệt rõ ràng được sử dụng hàng ngày trên Internet hiện đại. Loại đầu tiên được gọi chính xác hơn bộ định tuyến lọc gói . Loại tường lửa này chạy trên một máy được kết nối với nhiều mạng và áp dụng một bộ quy tắc cho từng gói để xác định xem gói đó được chuyển tiếp hay bị chặn. Loại thứ hai, được gọi là máy chủ proxy , được triển khai dưới dạng daemon thực hiện xác thực và chuyển tiếp gói, có thể trên một máy có nhiều kết nối mạng nơi tính năng chuyển tiếp gói bị vô hiệu hóa trong kernel.

Đôi khi hai loại tường lửa này được sử dụng cùng nhau, do đó chỉ có một máy cụ thể (được gọi là chủ pháo đài ) được phép gửi các gói thông qua bộ định tuyến lọc tới mạng nội bộ. Các dịch vụ proxy chạy trên một máy chủ bảo mật, thường an toàn hơn các cơ chế xác thực thông thường.

FreeBSD đi kèm với một gói bộ lọc (được gọi là IPFW) được tích hợp trong kernel, đây sẽ là trọng tâm của phần còn lại của phần này. Máy chủ proxy có thể được xây dựng trên FreeBSD từ phần mềm của bên thứ ba, nhưng có quá nhiều máy chủ proxy sẽ được trình bày trong phần này.

14.9.1.1. Bộ định tuyến có tính năng lọc gói

Bộ định tuyến là một máy chuyển tiếp các gói giữa hai hoặc nhiều mạng. Bộ định tuyến lọc gói được lập trình để so sánh từng gói với danh sách các quy tắc trước khi quyết định có chuyển tiếp gói đó hay không. Hầu hết các phần mềm định tuyến hiện đại đều có khả năng lọc và theo mặc định tất cả các gói đều được chuyển tiếp. Để bật bộ lọc, bạn sẽ cần xác định một bộ quy tắc.

Để xác định xem một gói có được phép đi qua hay không, tường lửa sẽ tìm kiếm một bộ quy tắc khớp với nội dung tiêu đề của gói. Khi tìm thấy kết quả khớp, hành động được gán cho quy tắc đó sẽ được thực thi. Hành động này có thể là loại bỏ gói, chuyển tiếp gói hoặc thậm chí gửi tin nhắn ICMP đến địa chỉ nguồn. Chỉ trận đấu đầu tiên được tính vì luật chơi được xem xét theo một thứ tự cụ thể. Vì vậy, một danh sách các quy tắc có thể được gọi là “chuỗi quy tắc” » .

Tiêu chí lựa chọn gói phụ thuộc vào phần mềm bạn đang sử dụng, nhưng thông thường bạn có thể xác định quy tắc dựa trên địa chỉ IP nguồn của gói, địa chỉ IP đích, số cổng nguồn của gói, số cổng đích (đối với các giao thức hỗ trợ cổng) hoặc thậm chí loại gói (UDP, TCP, ICMP, v.v.).

14.9.1.2. Máy chủ proxy

Máy chủ proxy là các máy tính có trình nền hệ thống thông thường ( telnetd, ftpd, v.v.) được thay thế bằng các máy chủ đặc biệt. Những máy chủ này được gọi máy chủ proxy , vì chúng thường chỉ hoạt động với các kết nối đến. Điều này cho phép bạn chạy (ví dụ) telnet máy chủ proxy trên tường lửa và có thể đăng nhập bằng telnet vào tường lửa, vượt qua cơ chế xác thực và giành quyền truy cập vào mạng nội bộ (tương tự, máy chủ proxy có thể được sử dụng để truy cập mạng bên ngoài).

Máy chủ proxy thường được bảo vệ tốt hơn các máy chủ khác và thường có phạm vi cơ chế xác thực rộng hơn, bao gồm cả hệ thống mật khẩu một lần, do đó ngay cả khi ai đó biết bạn đã sử dụng mật khẩu nào, họ cũng sẽ không thể sử dụng nó để truy cập vào máy chủ. system , vì mật khẩu sẽ hết hạn ngay sau lần sử dụng đầu tiên. Vì mật khẩu không trực tiếp cấp quyền truy cập vào máy tính đặt máy chủ proxy nên việc backdoor hệ thống trở nên khó khăn hơn nhiều.

Máy chủ proxy thường có cách hạn chế quyền truy cập hơn nữa để chỉ một số máy chủ nhất định mới có thể truy cập vào máy chủ. Hầu hết cũng cho phép quản trị viên chỉ định người dùng và máy tính nào họ có thể truy cập. Một lần nữa, các tùy chọn có sẵn chủ yếu phụ thuộc vào phần mềm được sử dụng.

14.9.2. IPFW cho phép bạn làm gì?

Phần mềm IPFW đi kèm với FreeBSD là một hệ thống tính toán và lọc gói nằm trong kernel và được trang bị tiện ích cấu hình người dùng, ipfw (8). Chúng cùng nhau cho phép bạn xác định và xem các quy tắc được kernel sử dụng để định tuyến.

IPFW bao gồm hai phần liên quan. Tường lửa lọc các gói. Phần kế toán gói IP theo dõi việc sử dụng bộ định tuyến dựa trên các quy tắc tương tự như các quy tắc được sử dụng trong phần tường lửa. Điều này cho phép quản trị viên xác định, chẳng hạn như lượng lưu lượng mà bộ định tuyến nhận được từ một máy tính cụ thể hoặc lượng lưu lượng WWW mà nó chuyển tiếp.

Do cách triển khai IPFW nên bạn có thể sử dụng nó trên các máy tính không có bộ định tuyến để lọc các kết nối đến và đi. Đây là trường hợp đặc biệt của việc sử dụng IPFW tổng quát hơn và các lệnh và kỹ thuật tương tự được sử dụng trong tình huống này.

14.9.3. Kích hoạt IPFW trên FreeBSD

Vì phần lớn hệ thống IPFW nằm trong kernel nên bạn sẽ cần thêm một hoặc nhiều tham số vào tệp cấu hình kernel, tùy thuộc vào khả năng cần thiết và xây dựng lại kernel. Tham khảo chương xây dựng lại kernel (Chương 8) để biết mô tả chi tiết về quy trình này.

Chú ý: Quy tắc IPFW mặc định là từ chối ip từ bất kỳ đến bất kỳ. Nếu bạn không thêm bất kỳ quy tắc nào khác vào lúc khởi động để cho phép truy cập thì chặn truy cập đến máy chủ có tường lửa được kích hoạt trong kernel sau khi khởi động lại. Chúng tôi khuyên bạn nên chỉ định tường lửa_type=open trong tệp /etc/rc.conf khi thêm tường lửa lần đầu và sau khi kiểm tra chức năng của nó, hãy chỉnh sửa các quy tắc trong tệp /etc/rc.firewall. Một biện pháp phòng ngừa bổ sung có thể là ban đầu định cấu hình tường lửa từ bảng điều khiển cục bộ, thay vì đăng nhập qua ssh. Ngoài ra, có thể xây dựng kernel với các tham số IPFIREWALL và IPFIREWALL_DEFAULT_TO_ACCEPT. Trong trường hợp này, quy tắc IPFW mặc định sẽ được thay đổi để cho phép ip từ bất kỳ đến bất kỳ, điều này sẽ ngăn chặn khả năng chặn.

Có bốn tùy chọn cấu hình kernel liên quan đến IPFW:

tùy chọn IPFIREWALL

Bao gồm mã lọc gói trong kernel.

Tùy chọn IPFIREWALL_VERBOSE

Cho phép ghi nhật ký gói thông qua nhật ký hệ thống (8). Nếu không có tham số này, ngay cả khi bạn chỉ định trong quy tắc lọc để ghi nhật ký các gói, nó sẽ không hoạt động.

Tùy chọn IPFIREWALL_VERBOSE_LIMIT=10

Giới hạn số lượng gói được ghi theo từng quy tắc thông qua nhật ký hệ thống (8). Bạn có thể sử dụng tùy chọn này nếu muốn ghi lại hoạt động của tường lửa nhưng không muốn để nhật ký hệ thống bị tấn công DoS.

Khi một trong các quy tắc trong chuỗi đạt đến giới hạn do tham số chỉ định, việc ghi nhật ký cho quy tắc đó sẽ bị tắt. Để kích hoạt tính năng ghi nhật ký, bạn sẽ cần đặt lại bộ đếm tương ứng bằng tiện ích ipfw (8) :

# ipfw số 0 4500

trong đó 4500 là số quy tắc mà bạn muốn tiếp tục ghi nhật ký.

Tùy chọn IPFIREWALL_DEFAULT_TO_ACCEPT

Thay đổi quy tắc mặc định từ "từ chối" thành "cho phép". Điều này ngăn chặn khả năng chặn nếu kernel được tải với hỗ trợ IPFIREWALL nhưng tường lửa chưa được cấu hình. Tùy chọn này cũng hữu ích nếu bạn đang sử dụng ipfw (8) như một giải pháp cho một số vấn đề nhất định khi chúng phát sinh. Tuy nhiên, hãy thận trọng khi sử dụng cài đặt này vì nó sẽ mở tường lửa và thay đổi hành vi của nó.

Bình luận: Các phiên bản trước của FreeBSD bao gồm tùy chọn IPFIREWALL_ACCT. Tùy chọn này không được dùng nữa vì mã tự động kích hoạt tính năng tính toán.

14.9.4. Thiết lập IPFW

Phần mềm IPFW được cấu hình bằng tiện ích ipfw (8). Cú pháp của lệnh này trông rất phức tạp nhưng nó sẽ trở nên tương đối đơn giản khi bạn hiểu cấu trúc của nó.

Tiện ích hiện sử dụng bốn loại lệnh khác nhau: thêm/xóa, liệt kê, xóa và xóa. Thêm/Thả được sử dụng để tạo các quy tắc xác định cách các gói được chấp nhận, loại bỏ và ghi lại. Việc tra cứu được sử dụng để xác định nội dung của một bộ quy tắc (còn gọi là chuỗi) và bộ đếm gói (kế toán). Đặt lại được sử dụng để xóa tất cả các quy tắc trong một chuỗi. Xóa được sử dụng để đặt lại một hoặc nhiều bộ đếm về 0.

14.9.4.1. Thay đổi quy tắc IPFW

ipfw [-N] lệnh [số] địa chỉ hành động giao thức [tham số]

Có một cờ có sẵn khi sử dụng dạng lệnh này:

Giải quyết địa chỉ, tên dịch vụ khi hiển thị.

Có thể xác định đội có thể được rút ngắn thành một dạng duy nhất ngắn hơn. hiện có đội :

Thêm quy tắc vào danh sách lọc/kế toán

Xóa quy tắc khỏi danh sách lọc/kế toán

Các phiên bản trước của IPFW sử dụng các mục riêng biệt để lọc và tính toán gói. Các phiên bản hiện đại có tính đến các gói cho từng quy tắc.

Nếu một giá trị được chỉ định con số, nó được sử dụng để đặt một quy tắc tại một vị trí cụ thể trong chuỗi. Nếu không, quy tắc sẽ được đặt ở cuối chuỗi với số cao hơn quy tắc trước đó là 100 (điều này không bao gồm số quy tắc mặc định là 65535).

Với tham số nhật ký, các quy tắc tương ứng sẽ xuất thông tin ra bảng điều khiển hệ thống nếu kernel được xây dựng bằng tùy chọn IPFIREWALL_VERBOSE.

hiện có hành động :

Thả gói và gửi gói ICMP đến địa chỉ nguồn cho biết rằng máy chủ hoặc cổng không thể truy cập được.

Bỏ qua gói như bình thường. (từ đồng nghĩa: vượt qua, cho phép và chấp nhận)

Bỏ gói đi. Không có thông báo ICMP nào được gửi tới nguồn (như thể gói tin chưa bao giờ đến đích).

Cập nhật bộ đếm gói nhưng không áp dụng quy tắc cho phép/từ chối cho nó. Việc tìm kiếm sẽ tiếp tục với quy tắc tiếp theo trong chuỗi.

Mỗi hoạt động có thể được viết dưới dạng tiền tố duy nhất ngắn hơn.

Có thể xác định những điều sau đây giao thức :

Phù hợp với tất cả các gói IP

Phù hợp với các gói ICMP

So khớp các gói TCP

Phù hợp với các gói UDP

Cánh đồng địa chỉđược hình thành như thế này:

nguồn địa chỉ/mặt nạ [Hải cảng] mục tiêu địa chỉ/mặt nạ [Hải cảng]

Bạn có thể chỉ định Hải cảng chỉ cùng với giao thức cổng hỗ trợ (UDP và TCP).

Tham số via là tùy chọn và có thể chứa địa chỉ IP hoặc tên miền của giao diện IP cục bộ hoặc tên của giao diện (ví dụ ed0), nó định cấu hình quy tắc để chỉ khớp với những gói đi qua giao diện đó. Số giao diện có thể được thay thế bằng mặt nạ tùy chọn. Ví dụ: ppp* sẽ tương ứng với giao diện hạt nhân PPP.

Cú pháp dùng để chỉ địa chỉ/mặt nạ:

Địa chỉ hoặc Địa chỉ/bit mặt nạ hoặc Địa chỉ:mặt nạ mẫu

Thay vì địa chỉ IP, bạn có thể chỉ định tên máy chủ hiện có. bit mặt nạđây là số thập phân cho biết số bit phải được đặt trong mặt nạ địa chỉ. Ví dụ: 192.216.222.1/24 sẽ tạo một mặt nạ khớp với tất cả các địa chỉ mạng con lớp C (trong trường hợp này là 192.216.222). Tên máy chủ hợp lệ có thể được chỉ định thay cho địa chỉ IP. mặt nạ mẫuđây là IP sẽ được nhân một cách hợp lý với địa chỉ đã cho. Từ khóa bất kỳ có thể được sử dụng với nghĩa là "bất kỳ địa chỉ IP nào".

Số cổng được chỉ định theo định dạng sau:

Hải cảng [,Hải cảng [,Hải cảng [.]]]

Để chỉ định một cổng hoặc danh sách các cổng, hoặc

Hải cảng-Hải cảng

Để chỉ định một loạt các cổng. Bạn cũng có thể kết hợp một phạm vi với danh sách các cổng, nhưng phạm vi đó phải luôn được liệt kê trước tiên.

Có sẵn tùy chọn :

Kích hoạt nếu gói không phải là gói đầu tiên của datagram.

So khớp các gói đến.

So khớp các gói gửi đi.

Ipoption thông số kỹ thuật

Kích hoạt nếu tiêu đề IP chứa danh sách các tham số được phân tách bằng dấu phẩy được chỉ định trong thông số kỹ thuật. Các tham số IP được hỗ trợ: ssrr (tuyến nguồn nghiêm ngặt), lsrr (tuyến nguồn lỏng), rr (tuyến gói bản ghi) và ts (dấu thời gian). Hiệu ứng của các tham số riêng lẻ có thể được thay đổi bằng cách chỉ định tiền tố!.

Thành lập

Kích hoạt nếu gói là một phần của kết nối TCP đã được thiết lập (nghĩa là nếu các bit RST hoặc ACK được đặt). Bạn có thể cải thiện hiệu suất tường lửa bằng cách đặt quy tắc với thành lập gần đầu chuỗi.

Phù hợp nếu gói đang cố gắng thiết lập kết nối TCP (bit SYN được đặt và bit ACK không được đặt).

cờ tcp cờ

Kích hoạt nếu tiêu đề TCP chứa danh sách được phân tách bằng dấu phẩy cờ. Các cờ được hỗ trợ là fin, syn, rst, psh, ack và urg. Tác dụng của các quy tắc đối với từng cờ có thể được thay đổi bằng cách chỉ định tiền tố!.

Icmptypes các loại

Kích hoạt nếu loại gói ICMP có trong danh sách các loại. Danh sách có thể được chỉ định dưới dạng bất kỳ sự kết hợp nào của phạm vi và/hoặc loại riêng lẻ, được phân tách bằng dấu phẩy. Các loại ICMP thường được sử dụng là 0 phản hồi tiếng vang (trả lời ping), 3 đích không thể truy cập được, 5 chuyển hướng, 8 yêu cầu tiếng vang (yêu cầu ping) và vượt quá 11 thời gian (được sử dụng để biểu thị hết hạn TTL, như với theo dõi lộ trình (8)).

14.9.4.2. Xem quy tắc IPFW

Cú pháp cho dạng lệnh này là:

danh sách ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S]

Có bảy lá cờ cho dạng lệnh này:

Hiển thị giá trị bộ đếm Tham số này là cách duy nhất để xem các giá trị bộ đếm.

Xem các quy tắc ở dạng nhỏ gọn.

Hiển thị các quy tắc động bên cạnh các quy tắc tĩnh.

Nếu tùy chọn -d được chỉ định, cũng hiển thị các quy tắc động đã hết hạn.

Hiển thị thời gian kích hoạt cuối cùng cho mỗi quy tắc trong chuỗi. Danh sách này không tương thích với cú pháp được chấp nhận ipfw (8) .

Cố gắng giải quyết các địa chỉ và tên dịch vụ đã cho.

Hiển thị tập hợp mà mỗi quy tắc thuộc về. Nếu cờ này không được chỉ định, các quy tắc bị chặn sẽ không được hiển thị.

14.9.4.3. Đặt lại quy tắc IPFW

Cú pháp để đặt lại quy tắc:

Tất cả các quy tắc trong chuỗi sẽ bị xóa ngoại trừ quy tắc mặc định do kernel đặt ra (số 65535). Hãy cẩn thận khi đặt lại quy tắc; quy tắc loại bỏ các gói theo mặc định sẽ ngắt kết nối hệ thống khỏi mạng cho đến khi các quy tắc cho phép được thêm vào chuỗi.

14.9.4.4. Xóa bộ đếm gói IPFW

Cú pháp để xóa một hoặc nhiều bộ đếm gói là:

ipfw số không [ mục lục]

Khi được sử dụng mà không có đối số con số Tất cả các bộ đếm gói sẽ bị xóa. Nếu như mục lụcđược chỉ định, thao tác dọn dẹp chỉ áp dụng cho quy tắc chuỗi đã chỉ định.

14.9.5. Các lệnh ví dụ cho ipfw

Lệnh sau sẽ từ chối tất cả các gói tin từ máy chủ evil.crackers.org tới cổng telnet của máy chủ nice.people.org:

# ipfw thêm từ chối tcp từ evil.crackers.org vào nice.people.org 23

Ví dụ sau từ chối và ghi lại tất cả lưu lượng TCP từ mạng cracker.org (lớp C) đến máy tính nice.people.org (trên bất kỳ cổng nào).

# ipfw thêm từ chối đăng nhập tcp từ evil.crackers.org/24 vào nice.people.org

Nếu bạn muốn ngăn các phiên X được gửi đến mạng của mình (một phần của mạng lớp C), lệnh sau sẽ thực hiện quá trình lọc cần thiết:

# ipfw thêm từ chối tcp từ bất kỳ vào thiết lập my.org/28 6000

Để xem hồ sơ kế toán:

# ipfw -a danh sách hoặc viết tắt # ipfw -a l

Bạn cũng có thể xem lần cuối cùng các quy tắc được kích hoạt bằng lệnh:

14.9.6. Tạo tường lửa với tính năng lọc gói

Khi định cấu hình tường lửa lần đầu, trước khi kiểm tra hiệu suất và đưa máy chủ vào hoạt động, chúng tôi đặc biệt khuyên bạn nên sử dụng các phiên bản ghi nhật ký của lệnh và cho phép ghi nhật ký vào kernel. Điều này sẽ cho phép bạn nhanh chóng xác định các khu vực có vấn đề và sửa chữa thiết lập của mình mà không cần nỗ lực nhiều. Ngay cả sau khi thiết lập ban đầu hoàn tất, bạn nên sử dụng tính năng ghi nhật ký để "từ chối" vì nó cho phép bạn giám sát các cuộc tấn công có thể xảy ra và thay đổi quy tắc tường lửa nếu yêu cầu tường lửa của bạn thay đổi.

Bình luận: Nếu bạn đang sử dụng phiên bản ghi nhật ký của lệnh chấp nhận, hãy cẩn thận vì nó có thể tạo ra to lớn khối lượng dữ liệu giao thức. Mọi gói đi qua tường lửa sẽ được ghi lại, do đó khối lượng lớn FTP/http và lưu lượng truy cập khác sẽ làm hệ thống chậm đi đáng kể. Điều này cũng sẽ làm tăng độ trễ của các gói như vậy vì kernel cần thực hiện thêm công việc trước khi cho gói đi qua. syslogd cũng sẽ sử dụng nhiều thời gian CPU hơn vì nó sẽ gửi tất cả dữ liệu bổ sung vào đĩa và phân vùng /var/log có thể nhanh chóng lấp đầy.

Bạn sẽ cần kích hoạt tường lửa trong /etc/rc.conf.local hoặc /etc/rc.conf. Trang tham khảo tương ứng giải thích chính xác những gì cần phải làm và chứa các ví dụ về cài đặt sẵn sàng. Nếu bạn không sử dụng giá trị đặt trước, lệnh danh sách ipfw có thể đặt bộ quy tắc hiện tại vào một tệp, từ đó nó có thể được đặt vào các tệp khởi động của hệ thống. Nếu bạn không sử dụng /etc/rc.conf.local hoặc /etc/rc.conf để bật tường lửa, điều quan trọng là đảm bảo rằng nó được bật sau khi định cấu hình các giao diện.

Tiếp theo, bạn cần xác định Những gì chính xác làm cho tường lửa của bạn! Điều này chủ yếu phụ thuộc vào mức độ truy cập bạn muốn có từ bên ngoài vào mạng của mình. Dưới đây là một số quy tắc chung:

    Chặn quyền truy cập từ bên ngoài vào các số cổng TCP dưới 1024. Hầu hết các dịch vụ quan trọng về bảo mật như Finger, SMTP (thư) và telnet đều được đặt tại đây.

    Khối tất cả lưu lượng UDP đến. Có rất ít dịch vụ hữu ích chạy trên UDP, nhưng chúng thường gây ra rủi ro bảo mật (ví dụ: giao thức Sun RPC và NFS). Phương pháp này cũng có nhược điểm vì giao thức UDP không nhận biết kết nối và việc chặn các gói đến cũng sẽ chặn phản hồi đối với lưu lượng UDP đi. Đây có thể là vấn đề đối với những người sử dụng máy chủ bên ngoài hoạt động với UDP. Nếu bạn muốn cho phép truy cập vào các dịch vụ này, bạn sẽ cần cho phép các gói đến từ các cổng thích hợp. Ví dụ, đối với ntp bạn có thể cần cho phép các gói đến từ cổng 123.

    Chặn tất cả lưu lượng truy cập từ bên ngoài đến cổng 6000. Cổng 6000 được sử dụng để truy cập máy chủ X11 và có thể là một rủi ro bảo mật (đặc biệt nếu người dùng có thói quen chạy lệnh xhost + trên máy trạm của họ). X11 có thể sử dụng nhiều cổng bắt đầu từ 6000, giới hạn trên được xác định bởi số lượng màn hình X có thể chạy trên máy. Giới hạn trên được xác định bởi RFC 1700 (Số được chỉ định) là 6063.

    Kiểm tra các cổng được sử dụng bởi các dịch vụ nội bộ (ví dụ: máy chủ SQL, v.v.). Bạn cũng có thể chặn các cổng này vì chúng thường không nằm trong phạm vi 1-1024 được liệt kê ở trên.

Một danh sách khác để kiểm tra cài đặt tường lửa có sẵn trên CERT tại http://www.cert.org/tech_tips/packet_filtering.html

Như đã nêu ở trên, tất cả các quy tắc này chỉ là sự quản lý . Bạn có thể tự mình quyết định quy tắc lọc nào sẽ được sử dụng trong tường lửa. Chúng tôi không thể chịu bất kỳ trách nhiệm nào nếu mạng của bạn bị hack, ngay cả khi bạn đã làm theo lời khuyên được cung cấp ở trên.

14.9.7. Tối ưu hóa chi phí và IPFW

Nhiều người dùng muốn biết IPFW tải hệ thống bao nhiêu. Câu trả lời chủ yếu phụ thuộc vào bộ quy tắc và tốc độ của bộ xử lý. Đưa ra một bộ quy tắc nhỏ, đối với hầu hết các ứng dụng chạy trên Ethernet, câu trả lời là “không nhiều”. Phần này dành cho những người cần một câu trả lời chính xác hơn.

Các phép đo tiếp theo được thực hiện với 2.2.5-STABLE trên 486-66. (Mặc dù IPFW đã thay đổi một chút trong các bản phát hành FreeBSD tiếp theo, nhưng tốc độ vẫn gần như giữ nguyên.) IPFW đã được sửa đổi để đo thời gian mà ip_fw_chk sử dụng, in kết quả ra bảng điều khiển sau mỗi gói thứ 1000.

Hai bộ 1000 quy tắc đã được thử nghiệm. Cái đầu tiên được thiết kế để thể hiện một bộ quy tắc tồi bằng cách lặp lại quy tắc:

# ipfw thêm từ chối tcp từ bất kỳ vào bất kỳ 55555

Bộ quy tắc này không tốt vì hầu hết các quy tắc IPFW không khớp với các gói đang được kiểm tra (do số cổng). Sau lần lặp thứ 999 của quy tắc này, quy tắc cho phép ip từ bất kỳ đến bất kỳ quy tắc nào sẽ tuân theo.

Bộ quy tắc thứ hai được thiết kế để kiểm tra từng quy tắc nhanh nhất có thể:

# ipfw thêm từ chối ip từ 1.2.3.4 lên 1.2.3.4

Địa chỉ IP nguồn không khớp trong quy tắc trên sẽ khiến các quy tắc này được kiểm tra rất nhanh. Như trước đây, quy tắc thứ 1000 cho phép ip từ bất kỳ đến bất kỳ.

Chi phí kiểm tra gói trong trường hợp đầu tiên là khoảng 2,703 ms/gói hoặc khoảng 2,7 micro giây cho mỗi quy tắc. Giới hạn tốc độ quét lý thuyết là khoảng 370 gói mỗi giây. Giả sử kết nối Ethernet 10 Mbps và kích thước gói khoảng 1500 byte, điều này chỉ dẫn đến việc sử dụng băng thông 55,5%.

Trong trường hợp thứ hai, mỗi gói được quét trong khoảng 1,172 ms hoặc khoảng 1,2 micro giây cho mỗi quy tắc. Giới hạn tốc độ kiểm tra lý thuyết là khoảng 853 gói mỗi giây, giúp tận dụng tối đa băng thông Ethernet 10 Mbps.

Số lượng quy tắc được kiểm tra quá nhiều và loại của chúng không cho phép chúng tôi tạo ra một bức tranh gần với điều kiện bình thường - những quy tắc này chỉ được sử dụng để lấy thông tin về thời gian xác minh. Dưới đây là một số nguyên tắc cần xem xét để tạo ra một bộ quy tắc hiệu quả:

    Đặt quy tắc đã thiết lập càng sớm càng tốt để xử lý phần lớn lưu lượng TCP. Đừng đặt các quy tắc cho phép tcp trước nó.

    Đặt các quy tắc được sử dụng thường xuyên gần phần đầu của tập hợp hơn các quy tắc hiếm khi được sử dụng (tất nhiên mà không thay đổi hiệu ứng của toàn bộ bộ ). Bạn có thể xác định các quy tắc được sử dụng phổ biến nhất bằng cách kiểm tra bộ đếm gói bằng lệnh ipfw -al.

Mạng cần được bảo vệ khỏi các mối đe dọa bên ngoài. Trộm cắp dữ liệu, truy cập trái phép và hư hỏng có thể ảnh hưởng đến hoạt động của mạng và gây ra tổn thất nghiêm trọng. Sử dụng các chương trình và thiết bị đặc biệt để bảo vệ bạn khỏi những ảnh hưởng có hại. Trong bài đánh giá này, chúng ta sẽ nói về tường lửa và xem xét các loại chính của nó.

Mục đích của tường lửa

Tường lửa (Firewall) hay tường lửa là các biện pháp phần cứng và phần mềm nhằm ngăn chặn những ảnh hưởng tiêu cực từ bên ngoài. Tường lửa hoạt động giống như một bộ lọc: từ toàn bộ luồng lưu lượng, chỉ những lưu lượng được phép mới được sàng lọc. Đây là tuyến phòng thủ đầu tiên giữa mạng nội bộ và mạng bên ngoài, chẳng hạn như Internet. Công nghệ này đã được sử dụng trong 25 năm.

Nhu cầu về tường lửa nảy sinh khi rõ ràng rằng nguyên tắc kết nối mạng hoàn chỉnh không còn hiệu quả nữa. Máy tính bắt đầu xuất hiện không chỉ ở các trường đại học và phòng thí nghiệm. Với sự phổ biến của PC và Internet, việc tách các mạng nội bộ khỏi các mạng bên ngoài không an toàn trở nên cần thiết để bảo vệ bạn khỏi những kẻ xâm nhập và bảo vệ máy tính của bạn khỏi bị hack.

Để bảo vệ mạng công ty, tường lửa phần cứng được cài đặt - đây có thể là một thiết bị riêng biệt hoặc một phần của bộ định tuyến. Tuy nhiên, cách làm này không phải lúc nào cũng được áp dụng. Một cách khác là cài đặt tường lửa phần mềm trên máy tính cần được bảo vệ. Một ví dụ là tường lửa được tích hợp trong Windows.

Sẽ rất hợp lý khi sử dụng tường lửa phần mềm trên máy tính xách tay của công ty mà bạn sử dụng trên mạng công ty an toàn. Bên ngoài bức tường của tổ chức, bạn thấy mình đang ở trong một môi trường không được bảo vệ - một bức tường lửa được cài đặt sẽ bảo vệ bạn trong những chuyến công tác, khi làm việc trong các quán cà phê và nhà hàng.

Làm thế nào nó hoạt động bức tường lửa

Lọc lưu lượng truy cập xảy ra dựa trên các quy tắc bảo mật được thiết lập trước. Với mục đích này, một bảng đặc biệt được tạo ra để nhập mô tả dữ liệu được chấp nhận và không được chấp nhận để truyền. Tường lửa không cho phép lưu lượng truy cập nếu một trong các quy tắc chặn từ bảng được kích hoạt.

Tường lửa có thể từ chối hoặc cho phép truy cập dựa trên các tham số khác nhau: địa chỉ IP, tên miền, giao thức và số cổng, cũng như sự kết hợp của chúng.

  • Các địa chỉ IP. Mỗi thiết bị sử dụng giao thức IP có một địa chỉ duy nhất. Bạn có thể chỉ định một địa chỉ hoặc phạm vi cụ thể để ngăn chặn nỗ lực nhận gói. Hoặc ngược lại - chỉ cấp quyền truy cập vào một nhóm địa chỉ IP nhất định.
  • Cổng. Đây là những điểm cung cấp cho các ứng dụng quyền truy cập vào cơ sở hạ tầng mạng. Ví dụ: giao thức ftp sử dụng cổng 21 và cổng 80 dành cho các ứng dụng dùng để duyệt trang web. Điều này cung cấp cho chúng tôi khả năng ngăn chặn quyền truy cập vào một số ứng dụng và dịch vụ nhất định.
  • Tên miền. Địa chỉ tài nguyên Internet cũng là một tham số lọc. Bạn có thể chặn lưu lượng truy cập từ một hoặc nhiều trang web. Người dùng sẽ được bảo vệ khỏi nội dung không phù hợp và mạng khỏi các tác động có hại.
  • Giao thức. Tường lửa được cấu hình để cho phép lưu lượng truy cập của một giao thức hoặc chặn quyền truy cập vào một trong số chúng. Loại giao thức cho biết tập hợp các tham số bảo mật và nhiệm vụ mà ứng dụng nó sử dụng thực hiện.

Các loại ITU

1. Máy chủ proxy

Một trong những người sáng lập ITU, hoạt động như một cổng kết nối các ứng dụng giữa mạng nội bộ và mạng bên ngoài. Máy chủ proxy có các chức năng khác, bao gồm bảo vệ dữ liệu và bộ nhớ đệm. Ngoài ra, chúng không cho phép kết nối trực tiếp từ bên ngoài ranh giới mạng. Việc sử dụng các tính năng bổ sung có thể gây áp lực quá mức lên hiệu suất và giảm thông lượng.

2. Tường lửa giám sát trạng thái phiên

Màn hình có khả năng theo dõi trạng thái phiên đã là một công nghệ đã được thiết lập. Quyết định chấp nhận hoặc chặn dữ liệu bị ảnh hưởng bởi trạng thái, cổng và giao thức. Các phiên bản như vậy giám sát mọi hoạt động ngay sau khi kết nối được mở cho đến khi đóng. Hệ thống quyết định có chặn lưu lượng truy cập hay không dựa trên các quy tắc và bối cảnh do quản trị viên đặt ra. Trong trường hợp thứ hai, dữ liệu mà ITU cung cấp từ các kết nối trước đây sẽ được tính đến.

3. Quản lý mối đe dọa thống nhất ITU (UTM)

Thiết bị phức tạp. Theo quy định, tường lửa như vậy giải quyết được 3 vấn đề:

  • theo dõi trạng thái phiên;
  • ngăn chặn sự xâm nhập;
  • thực hiện quét chống vi-rút.

Đôi khi tường lửa được nâng cấp lên phiên bản UTM bao gồm chức năng khác, ví dụ: quản lý đám mây.

4. Tường lửa thế hệ tiếp theo (NGFW)

Một phản ứng với các mối đe dọa hiện đại. Những kẻ tấn công không ngừng phát triển các công nghệ tấn công, tìm ra các lỗ hổng mới, cải tiến phần mềm độc hại và khiến việc đẩy lùi các cuộc tấn công cấp ứng dụng trở nên khó khăn hơn. Tường lửa như vậy không chỉ lọc các gói và theo dõi trạng thái phiên. Nó rất hữu ích trong việc duy trì bảo mật thông tin do các tính năng sau:

  • tính đến các tính năng của ứng dụng giúp xác định và vô hiệu hóa các chương trình độc hại;
  • phòng thủ chống lại các cuộc tấn công đang diễn ra từ các hệ thống bị nhiễm bệnh;
  • cơ sở dữ liệu cập nhật chứa các mô tả về ứng dụng và mối đe dọa;
  • Giám sát lưu lượng được mã hóa bằng giao thức SSL.

5. Tường lửa thế hệ mới với khả năng bảo vệ khỏi mối đe dọa chủ động

Loại tường lửa này là phiên bản cải tiến của NGFW. Thiết bị này giúp bảo vệ chống lại các mối đe dọa nâng cao. Chức năng bổ sung có thể:

  • xem xét bối cảnh và xác định các nguồn lực có nguy cơ cao nhất;
  • nhanh chóng đẩy lùi các cuộc tấn công thông qua tự động hóa bảo mật, quản lý độc lập việc bảo vệ và đặt ra các chính sách;
  • xác định hoạt động gây mất tập trung hoặc đáng ngờ thông qua việc sử dụng mối tương quan giữa các sự kiện trên mạng và trên máy tính;

Phiên bản tường lửa NGFW này giới thiệu các chính sách thống nhất giúp đơn giản hóa đáng kể việc quản trị.

Nhược điểm của ITU

Tường lửa bảo vệ mạng khỏi những kẻ xâm nhập. Tuy nhiên, bạn cần xem xét cấu hình của chúng một cách nghiêm túc. Hãy cẩn thận: nếu mắc lỗi khi định cấu hình các tham số truy cập, bạn sẽ gây hại và tường lửa sẽ dừng lưu lượng cần thiết và không cần thiết, đồng thời mạng sẽ không thể hoạt động được.

Việc sử dụng tường lửa có thể làm giảm hiệu suất mạng. Hãy nhớ rằng họ chặn tất cả lưu lượng truy cập đến để kiểm tra. Khi mạng lớn, việc cố gắng quá mức để thực thi bảo mật và đưa ra nhiều quy tắc hơn sẽ khiến mạng trở nên chậm.

Thông thường, chỉ tường lửa là không đủ để bảo mật hoàn toàn mạng khỏi các mối đe dọa bên ngoài. Do đó, nó được sử dụng cùng với các chương trình khác, chẳng hạn như phần mềm chống vi-rút.

Mục 5. Câu hỏi 8. (53) Tường lửa.

Tường lửa (FW) - Đây là một công cụ cục bộ (một thành phần) hoặc phần mềm (phần cứng và phần mềm) được phân phối theo chức năng (phức hợp) thực hiện kiểm soát thông tin đi vào AS và/hoặc rời khỏi AS. ME cung cấp khả năng bảo vệ AS bằng cách lọc thông tin, tức là phân tích của nó theo một bộ tiêu chí và đưa ra quyết định phân phối nó đến (từ) AS dựa trên các quy tắc nhất định, do đó phân định quyền truy cập của các chủ thể từ một AS này đến các đối tượng của AS khác. Mỗi quy tắc cấm hoặc cho phép chuyển thông tin thuộc một loại nhất định giữa chủ thể và đối tượng. Kết quả là, các chủ thể từ một AS chỉ nhận được quyền truy cập vào các đối tượng thông tin được phép từ một AS khác. Việc diễn giải một bộ quy tắc được thực hiện bởi một chuỗi các bộ lọc cho phép hoặc từ chối việc truyền dữ liệu (gói) đến cấp độ bộ lọc hoặc giao thức tiếp theo.

(định nghĩa từ RD ME)

Tường lửa - phần mềm hoặc phần cứng phức tạp cho phép bạn kiểm soát số lượng và chất lượng của các gói mạng đi qua nó ở mức độ bảo mật thích hợp. Tường lửa phân tích lưu lượng truy cập mạng dựa trên một bộ quy tắc cụ thể, theo đó tất cả dữ liệu sẽ được lọc.

(một định nghĩa đơn giản cho việc ghi nhớ, Habr)

Như vậy, nhiệm vụ chính của tường lửa (tường lửa, tường lửa, tường lửa) làbảo vệ các nút tự trị hoặc mạng máy tính dùng chung khỏi sự truy cập trái phép của bên thứ ba, những bên có thể sử dụng dữ liệu cho mục đích riêng của họ hoặc gây ra tác hại không thể khắc phục được cho chủ sở hữu mạng. Đó là lý do tại sao tường lửa còn được gọi là bộ lọc, không cho phép các gói dữ liệu không đáp ứng tiêu chí được chỉ định trong cấu hình đi qua. Lọc lưu lượng mạng có thể được thực hiện ở bất kỳ cấp độ nào của mô hình OSI. Thông tin từ các cấp độ khác nhau có thể được sử dụng làm tiêu chí: số cổng, nội dung trường dữ liệu, địa chỉ người gửi/người nhận.

Cơ quan kiểm soát công nghệ thông tin nhà nước xác định tường lửa cụ thể hơn là một thành phần của hệ thống bảo mật thông tin rộng rãi bao gồm một số tính năng bổ sung để đảm bảo hoạt động hiệu quả của nó. Chủ sở hữu mạng không bắt buộc phải mua tường lửa. Mặc dù thực tế rằng anh ta hoàn toàn chịu trách nhiệm về sự an toàn của thông tin bí mật, nhưng hiện tại, hệ thống bảo vệ như vậy ở Liên bang Nga chưa được phổ biến ở mức độ phù hợp. Lý tưởng nhất là nó nên được triển khai trong mọi mạng nội bộ để giám sát các luồng thông tin đến/đi suốt ngày đêm. Hệ thống giám sát an ninh thông tin ở một mức độ nào đó hiện đang thay thế các công cụ bảo mật mạng bổ sung, nhưng điều này là không đủ để định nghĩa hệ thống bảo mật cá nhân là một bộ phần cứng cấp cao.

(Habr)

Đối với những người tò mò, nó được viết rất hay về các vấn đề chứng nhậnhttp://habrahabr.ru/post/246193/

Bức tường lửa(ME) thực hiện chức năng phân định các luồng thông tin ở ranh giới của hệ thống tự động được bảo vệ. Điều này cho phép:

Tăng tính bảo mật cho các đối tượng trong môi trường bên trong bằng cách bỏ qua các yêu cầu trái phép từ môi trường bên ngoài;

Kiểm soát các luồng thông tin ra môi trường bên ngoài;

Đảm bảo đăng ký quá trình trao đổi thông tin.

Các luồng thông tin được kiểm soát thông qualọc thông tin, I E. phân tích nó dựa trên một bộ tiêu chí và đưa ra quyết định về lan rộng đến hoặc từ AC.

Tùy thuộc vào nguyên tắc hoạt động, có một sốlớp tường lửa. Đặc điểm phân loại chính là mức độ Mô hình ISO/OSI mà ME vận hành.

1. Bộ lọc gói.

Lớp tường lửa đơn giản nhất hoạt động ở cấp độ mạng và truyền tải của mô hình ISO/OSI. Việc lọc gói thường được thực hiện theo các tiêu chí sau:

Nguồn Địa chỉ IP;

Địa chỉ IP của người nhận;

Cổng nguồn;

Cổng người nhận;

Các thông số cụ thể của tiêu đề gói mạng.

Quá trình lọc được thực hiện bằng cách so sánh các tham số được liệt kê của tiêu đề gói mạng với cơ sở các quy tắc lọc.

Tường lửa lọc gói cũng có thể là các gói phần mềm dựa trên các hệ điều hành có mục đích chung (như Windows NT và Unix) hoặc trên nền tảng tường lửa phần cứng. Tường lửa có một số giao diện, mỗi giao diện dành cho mỗi mạng mà tường lửa được kết nối. Tương tự như tường lửa lớp ứng dụng, việc phân phối lưu lượng từ mạng này sang mạng khác được xác định bởi

một tập hợp các quy tắc chính sách. Nếu một quy tắc không cho phép rõ ràng một số lưu lượng nhất định thì các gói tương ứng sẽ bị tường lửa từ chối hoặc loại bỏ. Các quy tắc chính sách được tăng cường bởi

sử dụng bộ lọc gói. Bộ lọc kiểm tra các gói và xác định xem lưu lượng có được phép theo

quy tắc chính sách và trạng thái giao thức (kiểm tra trạng thái). Nếu giao thức ứng dụng đang chạy

thông qua TCP, việc xác định trạng thái tương đối đơn giản vì bản thân TCP hỗ trợ các trạng thái. Nó có nghĩa là,

rằng khi một giao thức ở một trạng thái nhất định, chỉ một số gói nhất định mới được phép truyền đi.

Hãy xem trình tự thiết lập kết nối làm ví dụ. Gói đầu tiên được mong đợi là gói SYN. Tường lửa phát hiện gói này và đặt kết nối vào trạng thái SYN. Ở trạng thái này, dự kiến ​​sẽ có một trong hai gói - SYN ACK (nhận dạng gói và cho phép kết nối) hoặc gói RST (đặt lại kết nối do người nhận từ chối kết nối). Nếu các gói khác xuất hiện trên một kết nối nhất định, tường lửa sẽ loại bỏ hoặc từ chối chúng vì chúng không phù hợp với trạng thái kết nối nhất định, ngay cả khi kết nối được bộ quy tắc cho phép. Nếu giao thức kết nối là UDP, tường lửa lọc gói không thể sử dụng trạng thái vốn có của giao thức và thay vào đó giám sát trạng thái lưu lượng UDP. Thông thường, tường lửa nhận gói UDP bên ngoài và đợi gói đến từ người nhận khớp với gói gốc theo địa chỉ và cổng trong một thời gian nhất định. Nếu gói được nhận trong khoảng thời gian này, việc truyền gói sẽ được phép. Mặt khác, tường lửa xác định rằng lưu lượng UDP không phản hồi yêu cầu và loại bỏ nó. Khi sử dụng tường lửa lọc gói, các kết nối không bị chấm dứt ở tường lửa mà được định tuyến trực tiếp đến hệ thống cuối. Khi các gói đến, tường lửa sẽ xác định xem gói và trạng thái kết nối có được các quy tắc chính sách cho phép hay không. Nếu vậy, gói sẽ được gửi dọc theo tuyến đường của nó. Nếu không, gói hàng sẽ bị từ chối hoặc hủy bỏ.

Tường lửa lọc gói không sử dụng các mô-đun truy cập cho mỗi

giao thức và do đó có thể được sử dụng với bất kỳ giao thức nào chạy trên IP. Một số giao thức yêu cầu tường lửa nhận ra các hành động mà chúng thực hiện. Ví dụ: FTP sẽ sử dụng một kết nối để đăng nhập và ra lệnh lần đầu, còn một kết nối khác để truyền tệp. Các kết nối được sử dụng để truyền tệp được thiết lập như một phần của kết nối FTP và do đó tường lửa phải có khả năng đọc lưu lượng và xác định các cổng sẽ được kết nối mới sử dụng. Nếu tường lửa của bạn không hỗ trợ điều này

chức năng, việc truyền tập tin là không thể. Tường lửa lọc gói có khả năng hỗ trợ nhiều lưu lượng truy cập hơn vì chúng không phải chịu gánh nặng về cấu hình và tính toán bổ sung xảy ra trong các mô-đun truy cập phần mềm. Tường lửa chỉ hoạt động thông qua lọc gói không sử dụng mô-đun truy cập và do đó lưu lượng được gửi trực tiếp từ máy khách đến máy chủ. Nếu máy chủ bị tấn công thông qua một dịch vụ mở được các quy tắc chính sách tường lửa cho phép,

tường lửa sẽ không phản ứng với cuộc tấn công. Tường lửa lọc gói cũng cho phép khả năng hiển thị bên ngoài vào cấu trúc địa chỉ bên trong. Không cần phải ẩn địa chỉ nội bộ vì các kết nối không bị gián đoạn bởi tường lửa.

2. Cổng cấp phiên

Các tường lửa này hoạt động ở cấp phiên của mô hình ISO/OSI. Không giống như các bộ lọc gói, chúng có thể kiểm soát tính hợp lệ của phiên giao tiếp bằng cách phân tích các tham số của các giao thức lớp phiên. Do đó, các cổng cấp phiên bao gồm các bộ lọc không thể được xác định bằng lớp mạng, lớp vận chuyển hoặc lớp ứng dụng. Bộ lọc cấp phiên có nhiều loại tùy thuộc vào tính năng chức năng của chúng, nhưng sự phân loại này khá tùy tiện vì khả năng của chúng phần lớn trùng lặp. Cần nhớ rằng tường lửa bao gồm tất cả hoặc hầu hết các loại cổng lớp phiên.

Kiểm soát các bit SYN và ACK. Một số bộ lọc cho phép bạn giám sát các bit SYN và ACK trong các gói TCP. Tất cả chúng đều được thiết kế để chống lại các cuộc tấn công tràn ngập SYN (xem thanh bên “Tấn công tràn ngập SYN”), nhưng chúng sử dụng các cách tiếp cận khác nhau. Bộ lọc đơn giản nhất cấm truyền các gói TCP có bit SYN, nhưng không có bit ACK, từ mạng công cộng đến các máy tính trong mạng nội bộ, trừ khi máy chủ sau được khai báo rõ ràng cho mạng bên ngoài (hoặc ít nhất là đối với một mạng cụ thể). nhóm máy tính trên mạng bên ngoài). Thật không may, bộ lọc như vậy không giúp chống lại các cuộc tấn công tràn ngập SYN trên các máy là máy chủ cho mạng bên ngoài nhưng nằm trên mạng nội bộ.

Đối với những mục đích này, các bộ lọc chuyên dụng với thứ tự nhiều giai đoạn để thiết lập kết nối được sử dụng. Ví dụ: bộ lọc SYNDefender Gateway từ tường lửa FireWall-1 của Check Point hoạt động như sau. Giả sử máy tính bên ngoài Z đang cố gắng thiết lập kết nối với máy chủ nội bộ A thông qua tường lửa Tường lửa. Quy trình thiết lập kết nối được hiển thị trong Hình 2. Khi tường lửa nhận gói SYN từ máy tính Z (bước 1), gói này sẽ được truyền đến máy chủ A (bước 2). Đáp lại, máy chủ A gửi gói SYN/ACK đến máy tính Z, nhưng tường lửa chặn nó (bước 3). Tiếp theo, ME chuyển tiếp gói đã nhận đến máy tính Z; ngoài ra, ME thay mặt máy tính Z gửi gói ACK đến máy chủ A (bước 4). Do phản hồi nhanh với máy chủ A, bộ nhớ máy chủ được phân bổ để thiết lập kết nối mới sẽ không bao giờ đầy và cuộc tấn công tràn ngập SYN sẽ không hoạt động.

Điều gì xảy ra tiếp theo tùy thuộc vào việc máy tính Z có thực sự bắt đầu kết nối với máy chủ A hay không. Nếu vậy, máy tính Z sẽ gửi gói ACK đến máy chủ A, gói này đi qua tường lửa (bước 5a). Máy chủ A sẽ bỏ qua gói ACK thứ hai. Khi đó tường lửa sẽ tự do chuyển các gói tin giữa máy tính A và Z. Nếu tường lửa không nhận được gói ACK hoặc hết thời gian chờ thiết lập kết nối, nó sẽ gửi gói RST đến máy chủ A, hủy kết nối (bước 5b).

Bộ lọc để theo dõi trạng thái của kênh liên lạc.

Các bộ lọc để theo dõi trạng thái của kênh liên lạc thường bao gồm các bộ lọc mạng (cấp mạng) với các khả năng nâng cao.

Lọc động trong bộ lọc mạng. Không giống như lọc tĩnh tiêu chuẩn trong các bộ lọc mạng, lọc động (trạng thái) cho phép bạn chỉ gán một quy tắc cho mỗi kênh liên lạc thay vì một số quy tắc lọc. Trong trường hợp này, bộ lọc động tự giám sát trình tự trao đổi gói dữ liệu giữa máy khách và máy chủ, bao gồm địa chỉ IP, giao thức lớp vận chuyển, số cổng người gửi và người nhận và đôi khi là số thứ tự của gói. Rõ ràng là việc lọc như vậy đòi hỏi phải có thêm RAM. Về hiệu suất, bộ lọc động có phần kém hơn bộ lọc tĩnh.

Lọc các gói bị phân mảnh. Khi được truyền qua các mạng có MTU khác nhau, các gói IP có thể được chia thành các đoạn riêng biệt, chỉ đoạn đầu tiên luôn chứa tiêu đề gói lớp vận chuyển hoàn chỉnh, bao gồm cả thông tin cổng phần mềm. Các bộ lọc mạng thông thường không thể kiểm tra các đoạn khác ngoài đoạn đầu tiên và cho phép chúng vượt qua (nếu đáp ứng các tiêu chí về địa chỉ IP và giao thức được sử dụng). Do đó, kẻ tấn công có thể tổ chức các cuộc tấn công từ chối dịch vụ nguy hiểm bằng cách cố tình tạo ra một số lượng lớn các phân đoạn và từ đó chặn hoạt động của máy tính nhận gói. Bộ lọc gói bị phân mảnh không cho phép các phân đoạn đi qua nếu phân đoạn đầu tiên đăng ký không thành công.

3. Cổng ứng dụng

Tường lửa của lớp này cho phép bạn lọc một số loại lệnh hoặc bộ dữ liệu nhất định trong các giao thức cấp ứng dụng. Với mục đích này chúng được sử dụngdịch vụ proxy- các chương trình có mục đích đặc biệt quản lý lưu lượng truy cập thông qua tường lửa cho một số giao thức cấp cao nhất định (http, ftp, telnet, v.v.).

Nếu không sử dụng dịch vụ proxy, kết nối mạng được thiết lập giữa các bên tương tácMỘTBtrực tiếp, thì trong trường hợp sử dụng dịch vụ proxy, một bên trung gian sẽ xuất hiện -máy chủ proxy, tương tác độc lập với người tham gia thứ hai trong việc trao đổi thông tin. Lược đồ này cho phép bạn kiểm soát khả năng chấp nhận sử dụng các lệnh giao thức cấp cao riêng lẻ, cũng như lọc dữ liệu mà máy chủ proxy nhận được từ bên ngoài; trong trường hợp này, máy chủ proxy, dựa trên các chính sách đã thiết lập, có thể quyết định khả năng hoặc không thể chuyển dữ liệu này cho máy kháchMỘT.

Tường lửa lớp ứng dụng hoặc tường lửa proxy là các gói phần mềm dựa trên các hệ điều hành có mục đích chung (chẳng hạn như Windows NT và Unix) hoặc trên nền tảng phần cứng tường lửa.

Trong tường lửa lớp ứng dụng, mỗi giao thức được phép phải có mô-đun truy cập riêng. Các mô-đun truy cập tốt nhất là những mô-đun được xây dựng riêng cho giao thức đang được giải quyết. Ví dụ: mô-đun truy cập FTP nhắm mục tiêu vào giao thức FTP và có thể xác định xem lưu lượng truyền qua có phù hợp với giao thức đó hay không và liệu lưu lượng đó có được phép theo các quy tắc chính sách bảo mật hay không.

Tường lửa chấp nhận kết nối, phân tích nội dung của gói và giao thức được sử dụng, đồng thời xác định xem lưu lượng có tuân thủ các quy tắc chính sách bảo mật hay không. Nếu có sự trùng khớp, tường lửa sẽ khởi tạo một kết nối mới giữa giao diện bên ngoài của nó và hệ thống máy chủ.

Mô-đun truy cập của tường lửa chấp nhận các kết nối đến và xử lý các lệnh trước khi gửi lưu lượng truy cập đến người nhận, từ đó bảo vệ hệ thống khỏi các cuộc tấn công dựa trên ứng dụng.

Tường lửa lớp ứng dụng chứa các mô-đun truy cập cho các giao thức được sử dụng phổ biến nhất như HTTP, SMTP, FTP và telnet. Một số mô-đun truy cập có thể bị thiếu, ngăn cản việc sử dụng một giao thức cụ thể để liên lạc qua tường lửa.

4. Tường lửa cấp chuyên gia.

Tường lửa phức tạp nhất, kết hợp các yếu tố của cả ba loại trên. Thay vì dịch vụ proxy, những màn hình như vậy sử dụng thuật toán để nhận dạng và xử lý dữ liệu ở cấp ứng dụng. Hầu hết các tường lửa hiện đang được sử dụng đều được phân loại là tường lửa chuyên nghiệp. ME nổi tiếng và phổ biến nhất làCISCO PIXCheckPoint FireWall-1. Các nhà sản xuất tường lửa cấp ứng dụng, do sự phát triển nhanh chóng của công nghệ CNTT, đã đi đến kết luận rằng cần phải phát triển một phương pháp hỗ trợ các giao thức không có mô-đun truy cập cụ thể. Đây là cách xuất hiện công nghệ mô-đun truy cập Proxy dịch vụ chung (GSP), được thiết kế để hỗ trợ các mô-đun truy cập cấp ứng dụng với các giao thức khác mà hệ thống bảo mật và công việc của quản trị viên mạng yêu cầu. GSP cho phép tường lửa lớp ứng dụng hoạt động như tường lửa lọc gói. Nhiều tường lửa lọc gói đã có sẵn mô-đun truy cập SMTP. Ở thời điểm hiện tại, hầu như không thể tìm thấy tường lửa có hoạt động chỉ được xây dựng trên lớp ứng dụng hoặc lọc gói, vì nó cho phép quản trị viên chịu trách nhiệm bảo mật định cấu hình thiết bị để hoạt động trong các điều kiện cụ thể.

(nguồn Câu trả lời từ năm ngoái)

Văn bản quy định chínhtheo ME là “Tài liệu hướng dẫn. Cơ sở máy tính. Tường lửa. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số an ninh chống truy cập thông tin trái phép" (Được Ủy ban Kỹ thuật Nhà nước phê duyệt ngày 25/7/1997)

Theo đó, ME là một công cụ cục bộ (một thành phần) hoặc được phân phối theo chức năng (phức hợp), thực hiện kiểm soát thông tin đi vào AS và/hoặc ra khỏi AS và đảm bảo bảo vệ AS bằng cách lọc thông tin, tức là. phân tích của nó theo một bộ tiêu chí và đưa ra quyết định về việc phân phối nó đến (từ) AS.

Năm lớp bảo mật ME được thiết lập.

Mỗi lớp được đặc trưng bởi một bộ yêu cầu tối thiểu nhất định để bảo vệ thông tin.

Lớp bảo mật thấp nhất là lớp thứ năm, được sử dụng để tương tác an toàn giữa loa lớp 1D với môi trường bên ngoài, lớp thứ tư - dành cho 1G, lớp thứ ba - 1B, lớp thứ hai - 1B, cao nhất là lớp đầu tiên, được sử dụng cho lớp bảo mật an toàn của loa lớp 1A với môi trường bên ngoài.

Các yêu cầu đối với ME không loại trừ các yêu cầu đối với thiết bị máy tính (CT) và AS theo hướng dẫn của “Thiết bị máy tính” của Ủy ban Kỹ thuật Nhà nước Nga. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số bảo mật chống truy cập thông tin trái phép” và “Hệ thống tự động. Bảo vệ chống truy cập trái phép vào thông tin. Phân loại hệ thống tự động và yêu cầu bảo vệ thông tin.”

Khi ME được bao gồm trong AS của một lớp bảo mật nhất định thì lớp bảo mật của tổng AS thu được từ AS ban đầu bằng cách thêm ME vào nó sẽ không bị giảm.

Đối với loa loại 3B, 2B, phải sử dụng ME ít nhất là loại 5.

Đối với người nói loại 3A, 2A, tùy theo tầm quan trọng của thông tin được xử lý, nên sử dụng ME của các loại sau:

Khi xử lý thông tin được phân loại là “bí mật” - không thấp hơn loại 3;

Khi xử lý thông tin được phân loại là “tuyệt mật” - không thấp hơn loại 2;

Khi xử lý thông tin được phân loại là “tầm quan trọng đặc biệt” - không thấp hơn loại 1.

Yêu cầu về tường lửa

Chỉ báo bảo mật

Lớp bảo mật

Kiểm soát truy cập (lọc dữ liệu và dịch địa chỉ)

Nhận dạng và xác thực

Sự đăng ký

Quản trị: Nhận dạng và xác thực

Quản trị: đăng ký

Quản trị: dễ sử dụng

Chính trực

Sự hồi phục

Kiểm tra

Hướng dẫn quản trị viên bảo mật

Tài liệu kiểm tra

Tài liệu thiết kế (dự án)

(nguồn RD ME)

Chỉ vài năm trước, để bảo vệ PC của bạn một cách đáng tin cậy, việc cài đặt một chương trình chống vi-rút tốt và theo dõi các bản cập nhật cơ sở dữ liệu thường xuyên là đủ. Tuy nhiên, sự khéo léo của những kẻ tấn công ngày càng tạo ra nhiều cách thức gây thiệt hại mới. Thông thường, con đường xâm nhập chính vào máy tính của người dùng là thông qua các kết nối mạng của nó, hay chính xác hơn là thông qua các lỗ hổng hệ thống liên quan đến chúng. Một gói diệt virus chỉ có thể phát hiện được mã độc nhưng không phải phần mềm diệt virus nào cũng có khả năng phát hiện những truy cập trái phép vào dữ liệu.

Với sự phát triển của quan hệ thị trường, thông tin ngày càng mang những đặc tính của một loại hàng hóa, tức là nó có thể được mua, bán, chuyển nhượng và không may bị đánh cắp. Vì vậy, vấn đề đảm bảo an ninh thông tin ngày càng trở nên cấp bách hơn mỗi năm. Một giải pháp khả thi cho vấn đề này là sử dụng tường lửa.

Công nghệ bảo mật mạng hiện đại là một trong những phân khúc năng động nhất của thị trường bảo mật hiện đại. Các công cụ an ninh mạng đang phát triển nhanh đến mức thuật ngữ được chấp nhận rộng rãi hiện nay trong lĩnh vực này vẫn chưa được thiết lập đầy đủ. Những phương tiện bảo vệ này xuất hiện trong tài liệu và phương tiện truyền thông như tường lửa, tường lửa và thậm chí cả màng thông tin. Nhưng thuật ngữ được sử dụng phổ biến nhất là “tường lửa” (FW).

Nói chung, để đảm bảo bảo vệ mạng, một màn hình hoặc màng thông tin được lắp đặt giữa hai bộ hệ thống thông tin (IS), đây là một phương tiện hạn chế quyền truy cập của máy khách từ một bộ hệ thống này vào thông tin được lưu trữ trên các máy chủ trong một bộ khác. Theo nghĩa này, ME có thể được biểu diễn dưới dạng một tập hợp các bộ lọc để phân tích thông tin đi qua chúng và đưa ra quyết định: truyền thông tin hay chặn thông tin đó. Đồng thời, các sự kiện được ghi lại và cảnh báo được tạo ra nếu phát hiện mối đe dọa. Thông thường, hệ thống che chắn được làm không đối xứng. Đối với màn hình, các khái niệm “bên trong” và “bên ngoài” được xác định và nhiệm vụ của màn hình là bảo vệ mạng nội bộ khỏi môi trường thù địch tiềm ẩn. Ngoài ra, ME có thể được sử dụng như một phần mở của mạng công ty, có thể nhìn thấy được từ Internet. Ví dụ: nhiều tổ chức sử dụng ME để lưu trữ dữ liệu truy cập mở, chẳng hạn như thông tin về sản phẩm và dịch vụ, tệp từ cơ sở dữ liệu FTP, thông báo lỗi, v.v.

Tường lửa hoặc tường lửa là một tập hợp phần cứng hoặc phần mềm kiểm soát và lọc các gói mạng đi qua nó theo các quy tắc được chỉ định.

Nhiệm vụ chính của tường lửa là bảo vệ mạng máy tính hoặc các nút riêng lẻ khỏi bị truy cập trái phép. Ngoài ra, tường lửa thường được gọi là bộ lọc, vì nhiệm vụ chính của chúng là không cho (lọc) các gói không đáp ứng các tiêu chí được xác định trong cấu hình đi qua.

Một số tường lửa cũng cho phép dịch địa chỉ - thay thế động các địa chỉ hoặc cổng mạng nội bộ (màu xám) bằng các địa chỉ hoặc cổng bên ngoài được sử dụng bên ngoài mạng cục bộ.

Hình 4. Cấu trúc tường lửa chung

Vài cái tên khác

Tường lửa (tiếng Đức: Brandmauer) là một thuật ngữ mượn từ tiếng Đức, tương tự như tường lửa tiếng Anh theo nghĩa gốc (bức tường ngăn cách các tòa nhà liền kề, bảo vệ khỏi sự lây lan của lửa). Điều thú vị là trong lĩnh vực công nghệ máy tính, từ “Tường lửa” được sử dụng trong tiếng Đức.

Tường lửa - được hình thành bằng cách phiên âm thuật ngữ tường lửa trong tiếng Anh.

Các loại tường lửa

Tường lửa được chia thành nhiều loại khác nhau tùy thuộc vào các đặc điểm sau:

liệu tấm chắn có cung cấp kết nối giữa một nút và mạng hoặc giữa hai hoặc nhiều mạng khác nhau hay không;

ở cấp độ giao thức mạng, luồng dữ liệu được kiểm soát;

trạng thái của các kết nối đang hoạt động có được giám sát hay không.

Tùy thuộc vào phạm vi bao phủ của luồng dữ liệu được kiểm soát, tường lửa được chia thành:

mạng truyền thống (hoặc tường lửa) -- một chương trình (hoặc một phần không thể thiếu của hệ điều hành) trên một cổng (máy chủ truyền lưu lượng giữa các mạng) hoặc giải pháp phần cứng kiểm soát luồng dữ liệu đến và đi giữa các mạng được kết nối.

tường lửa cá nhân là một chương trình được cài đặt trên máy tính của người dùng và được thiết kế để chỉ bảo vệ máy tính này khỏi bị truy cập trái phép.

Trường hợp thoái hóa là việc máy chủ sử dụng tường lửa truyền thống để hạn chế quyền truy cập vào tài nguyên của chính nó.

Tùy thuộc vào mức độ kiểm soát truy cập xảy ra, có sự phân chia thành các tường lửa hoạt động trên:

cấp độ mạng, khi quá trình lọc diễn ra dựa trên địa chỉ của người gửi và người nhận gói, số cổng của lớp vận chuyển của mô hình OSI và các quy tắc tĩnh do quản trị viên chỉ định;

lớp phiên (còn được gọi là trạng thái) - theo dõi các phiên giữa các ứng dụng, không cho phép các gói vi phạm thông số kỹ thuật TCP/IP, thường được sử dụng trong các hoạt động độc hại - quét tài nguyên, hack thông qua việc triển khai TCP/IP không chính xác, kết nối bị rớt/chậm, tiêm dữ liệu.

cấp độ ứng dụng, lọc dựa trên phân tích dữ liệu ứng dụng được truyền trong gói. Những loại màn hình này cho phép bạn chặn việc truyền thông tin không mong muốn và có khả năng gây hại dựa trên các chính sách và cài đặt.

Một số giải pháp tường lửa cấp ứng dụng là máy chủ proxy có một số khả năng tường lửa, triển khai proxy minh bạch với chuyên môn hóa giao thức. Khả năng của máy chủ proxy và sự chuyên môn hóa đa giao thức giúp việc lọc linh hoạt hơn nhiều so với tường lửa cổ điển, nhưng những ứng dụng như vậy có tất cả những nhược điểm của máy chủ proxy (ví dụ: ẩn danh lưu lượng truy cập).

Tùy thuộc vào việc giám sát các kết nối đang hoạt động, tường lửa là:

không trạng thái (lọc đơn giản), không giám sát các kết nối hiện tại (ví dụ: TCP), nhưng chỉ lọc luồng dữ liệu dựa trên các quy tắc tĩnh;

kiểm tra gói có trạng thái, trạng thái (SPI) (lọc nhận biết ngữ cảnh), giám sát các kết nối hiện tại và chỉ truyền những gói đáp ứng logic và thuật toán của các giao thức và ứng dụng tương ứng. Những loại tường lửa này giúp chống lại các loại tấn công DoS và lỗ hổng khác nhau của một số giao thức mạng một cách hiệu quả hơn. Ngoài ra, chúng còn đảm bảo hoạt động của các giao thức như H.323, SIP, FTP, v.v., sử dụng các sơ đồ truyền dữ liệu phức tạp giữa những người nhận, khó mô tả bằng các quy tắc tĩnh và thường không tương thích với tường lửa tiêu chuẩn, không trạng thái.

Cần lưu ý rằng hiện nay, cùng với tường lửa một cấp, các tường lửa phức tạp bao trùm các cấp độ từ mạng đến ứng dụng đang ngày càng trở nên phổ biến, vì các sản phẩm này kết hợp các đặc tính tốt nhất của tường lửa một cấp thuộc nhiều loại khác nhau. Hình 1 thể hiện cấu trúc che chắn thông tin giữa hai hệ thống khi sử dụng mô hình tham chiếu ISO/OSI.


Hình 5. Khung bảo vệ thông tin sử dụng mô hình tham chiếu

Yêu cầu hiện đại đối với tường lửa

Yêu cầu chính là đảm bảo tính bảo mật của mạng nội bộ (được bảo vệ) và kiểm soát hoàn toàn các kết nối và phiên liên lạc bên ngoài.

Hệ thống bảo mật phải có các biện pháp kiểm soát mạnh mẽ và linh hoạt để thực hiện dễ dàng và đầy đủ chính sách bảo mật của tổ chức.

Tường lửa phải hoạt động mà người dùng mạng cục bộ không chú ý và không gây khó khăn cho họ khi thực hiện các hành động pháp lý.

Bộ xử lý tường lửa phải nhanh, hoạt động đủ hiệu quả và có thể xử lý tất cả lưu lượng truy cập đến và đi vào thời gian cao điểm để không bị chặn bởi số lượng lớn cuộc gọi và làm gián đoạn hoạt động của nó.

Bản thân hệ thống bảo mật phải được bảo vệ một cách đáng tin cậy khỏi mọi ảnh hưởng trái phép, vì đây là chìa khóa dẫn đến thông tin bí mật trong tổ chức.

Hệ thống quản lý màn hình phải có khả năng thực thi tập trung chính sách bảo mật thống nhất cho các chi nhánh ở xa.

Đặc điểm của tường lửa hiện đại

Như có thể thấy trong Bảng 3, tường lửa là phương tiện phổ biến nhất để tăng cường các phương tiện bảo vệ truyền thống chống truy cập trái phép và được sử dụng để đảm bảo bảo vệ dữ liệu khi tổ chức liên mạng.

Việc triển khai ME cụ thể phần lớn phụ thuộc vào nền tảng điện toán được sử dụng, tuy nhiên, tất cả các hệ thống thuộc lớp này đều sử dụng hai cơ chế, một trong số đó đảm bảo chặn lưu lượng mạng và cơ chế thứ hai, ngược lại, cho phép trao đổi dữ liệu.

Đồng thời, một số phiên bản ME tập trung vào việc chặn lưu lượng truy cập không mong muốn, trong khi những phiên bản khác tập trung vào việc điều chỉnh việc trao đổi giữa các máy được phép.

Bảng 3 - Đặc điểm của tường lửa

Loại tường lửa

Nguyên tắc hoạt động

Thuận lợi

sai sót

Che chắn bộ định tuyến (tường lửa lọc gói)

Việc lọc gói được thực hiện theo tiêu đề IP của gói theo tiêu chí: những gì không bị cấm rõ ràng đều được cho phép. Thông tin được phân tích là: - địa chỉ của người gửi; - địa chỉ của người nhận; - thông tin về ứng dụng hoặc giao thức; - số cổng nguồn; - số cổng người nhận

Chi phí thấp Tác động tối thiểu đến hiệu suất mạng Dễ dàng cấu hình và cài đặt Phần mềm minh bạch

Lỗ hổng của cơ chế bảo vệ trước các kiểu tấn công mạng khác nhau, chẳng hạn như giả mạo địa chỉ nguồn gói, sửa đổi trái phép nội dung gói Thiếu các công cụ kiểm tra và hỗ trợ nhật ký sự kiện trong một số sản phẩm

Cổng sàng lọc (ESG)

Trao đổi thông tin xảy ra thông qua một máy chủ pháo đài được cài đặt giữa mạng nội bộ và bên ngoài, đưa ra quyết định về khả năng định tuyến lưu lượng. Có hai loại ES: cấp phiên và cấp ứng dụng

· Thiếu khả năng truyền gói tin từ đầu đến cuối trong trường hợp bị lỗi · Cơ chế bảo mật được nâng cao so với EM, cho phép sử dụng các công cụ xác thực bổ sung, cả phần mềm và phần cứng · Sử dụng quy trình dịch địa chỉ, cho phép ẩn địa chỉ của các máy chủ trong một mạng đóng

· Chỉ sử dụng các máy chủ pháo đài mạnh do khối lượng tính toán lớn · Thiếu "tính minh bạch" do ES gây ra sự chậm trễ trong quá trình truyền và yêu cầu các thủ tục xác thực từ người dùng

Mạng con che chắn (ES)

Một mạng con biệt lập được tạo giữa mạng nội bộ và mạng công cộng. Tin nhắn từ mạng mở được cổng ứng dụng xử lý và kết thúc bằng chữ ký điện tử. Sau khi vượt qua thành công quyền kiểm soát ở chữ ký điện tử, chúng sẽ vào một mạng đóng. Các yêu cầu từ mạng đóng được xử lý thông qua chữ ký điện tử theo cách tương tự. Lọc dựa trên nguyên tắc: cái gì không được phép thì bị cấm

Khả năng ẩn địa chỉ của mạng nội bộ · Tăng độ tin cậy bảo vệ · Khả năng tạo lưu lượng lớn giữa mạng nội bộ và mạng mở khi sử dụng một số máy chủ pháo đài trong mạng điện tử · "minh bạch" công việc cho mọi dịch vụ mạng và mọi cấu trúc nội bộ mạng

Chỉ sử dụng các máy chủ pháo đài mạnh mẽ do khối lượng tính toán lớn Việc bảo trì (cài đặt, cấu hình) chỉ có thể được thực hiện bởi các chuyên gia

Các tùy chọn điển hình để kích hoạt tường lửa


Hình 6. Kích hoạt ME bằng sơ đồ cổng hai cổng


Hình 7. Kích hoạt ME trực tiếp trên máy chủ được bảo vệ


Hình 8. Kích hoạt ME trong hệ thống Internet Intranet

Đặc điểm so sánh của tường lửa hiện đại

Bảng 4 - Đặc điểm so sánh của tường lửa hiện đại

Nền tảng

Công ty

Đặc điểm

Tường lửa hạ chí

Tổ hợp

SunOS, UNIX, Solaris

Hệ thống vi mô mặt trời

Thực hiện chính sách bảo mật: tất cả dữ liệu không có sự cho phép rõ ràng sẽ bị loại bỏ. Trong quá trình hoạt động, bộ lọc gói trên cổng và máy chủ tạo ra bản ghi của tất cả các sự kiện và kích hoạt cơ chế cảnh báo yêu cầu phản hồi của quản trị viên.

Tập đoàn mạng lưới Milkyway

Không sử dụng cơ chế lọc gói. Nguyên tắc hoạt động: những gì không được cho phép rõ ràng đều bị cấm. Đăng ký tất cả các hành động của máy chủ và cảnh báo các vi phạm có thể xảy ra. Có thể được sử dụng như một cổng hai chiều.

Máy chủ tường lửa BorderWare

Cổng sàng lọc cấp ứng dụng

UNIX, Windows, DOS

Tập đoàn máy tính an toàn

Phần mềm bảo mật đảm bảo hoạt động dưới sự kiểm soát của hệ điều hành (do chúng tôi phát triển). Cho phép bạn ghi lại địa chỉ, thời gian, lần thử, giao thức được sử dụng.

ALF (Bộ lọc lớp ứng dụng)

Cổng sàng lọc cấp ứng dụng

Có thể lọc các gói IP theo địa chỉ, phạm vi cổng, giao thức và giao diện. Một gói hàng đến có thể bị bỏ sót, loại bỏ hoặc gửi đến địa chỉ của nó.

Dịch vụ khóa liên động ANS

Cổng sàng lọc cấp ứng dụng

Hệ thống ANS CO + RE

Sử dụng các chương trình trung gian cho các dịch vụ Telnet, FTR, HTTR. Hỗ trợ mã hóa các kết nối điểm-điểm và phần cứng có thể được sử dụng làm phương tiện xác thực.

Màn hình tích hợp

SunOS, BSDI trên Intel, IRIX trên INDY và ​​Challenge

Sử dụng thời gian, ngày tháng, địa chỉ, cổng, v.v. để phân tích. Bao gồm phần mềm trung gian lớp ứng dụng cho Telnet, FTR, SMTP, X11, HTTP, Gopher và các dịch vụ khác. Hỗ trợ hầu hết các gói xác thực phần cứng.

Cổng sàng lọc cấp ứng dụng

SunOS, BSDI, Solaris, HP-UX, AIX

Một mạng khép kín được nhìn từ bên ngoài như một máy chủ duy nhất. Nó có các chương trình trung gian cho các dịch vụ: email, giao thức FTR, v.v. Đăng ký mọi hành động của máy chủ và cảnh báo các vi phạm.

Cổng sàng lọc cấp ứng dụng

Phần mềm Sterling

Nó là một sản phẩm phần mềm bảo vệ thông tin khỏi bị truy cập trái phép khi kết nối các mạng đóng và mở. Cho phép bạn ghi lại mọi hoạt động của máy chủ và cảnh báo về những vi phạm có thể xảy ra.

Tường lửa CyberGuard

Cổng đầu cuối hai chiều (máy chủ đến pháo đài dưới dạng bộ lọc, cổng cấp ứng dụng hoặc màn hình đầu cuối)

Nền tảng RISC, OS UNIX

Tập đoàn hệ thống máy tính Harris

Các giải pháp phức tạp đã được sử dụng, bao gồm cơ chế bảo mật hệ điều hành UNIX và các công cụ mạng tích hợp được thiết kế cho máy tính RISC. Địa chỉ nguồn, địa chỉ đích, v.v. được sử dụng để phân tích.

Tường lửa kỹ thuật số cho UNIX

Màn hình tích hợp

Công Ty Cổ Phần Thiết Bị Kỹ Thuật Số

Được cài đặt sẵn trên các hệ thống Digital Alpha và cung cấp khả năng lọc che chắn và cổng ứng dụng.

Doanh nghiệp đại bàng

Cổng sàng lọc cấp ứng dụng

Triển khai công nghệ Mạng riêng ảo

Bao gồm các chương trình trung gian cấp ứng dụng cho các dịch vụ FTR, HTTP, Telnet. Đăng ký tất cả các hành động của máy chủ và cảnh báo về các vi phạm.

Bộ định tuyến tường lửa IRX

Bộ định tuyến che chắn

Cho phép bạn phân tích mạng để tối ưu hóa lưu lượng mạng, kết nối an toàn mạng cục bộ với mạng từ xa dựa trên mạng mở.

Tường lửa toàn diện

Intel x86, Sun Sparc, v.v.

Cung cấp khả năng bảo vệ chống lại các cuộc tấn công của hacker như giả mạo địa chỉ (giả mạo địa chỉ gói) và thể hiện sự kết hợp giữa các công cụ bảo vệ cấp độ mạng và ứng dụng.

Tường lửa-1/VPN-1

Tường lửa toàn diện

Intel x86, Sun Sparc, v.v.

Công nghệ phần mềm Check Point

Đại diện cho giao diện ứng dụng API OPSEC mở. Cung cấp: - nhận dạng virus máy tính; - quét URL; - chặn Java và ActiveX; - Hỗ trợ giao thức SMTP; - Lọc HTTP; - Xử lý giao thức FTP

Bộ công cụ tường lửa TIS

Một bộ chương trình tạo và quản lý hệ thống tường lửa

Hệ thống thông tin đáng tin cậy

Được phân phối dưới dạng mã nguồn, tất cả các mô-đun được viết bằng C. Bộ này dành cho các lập trình viên chuyên nghiệp.

Tường lửa Internet Gauntlet

Cổng sàng lọc cấp ứng dụng

UNIX, BSD bảo mật

Hệ thống thông tin đáng tin cậy

Hỗ trợ các dịch vụ: email, dịch vụ Web, dịch vụ đầu cuối, v.v. Các tính năng: mã hóa ở cấp độ mạng, bảo vệ chống lại các cuộc tấn công của hacker như giả mạo địa chỉ, bảo vệ chống lại các nỗ lực thay đổi định tuyến.

Tường lửa đa giao thức

Nền tảng phần cứng khác nhau

Phần mềm và công nghệ Network-1

Kiểm soát được thực hiện ở cấp độ khung, gói, kênh và ứng dụng (đối với mỗi giao thức). Cho phép bạn làm việc với hơn 390 giao thức, có thể mô tả mọi điều kiện lọc cho công việc tiếp theo.

Máy bay phản lực Zastava

Tường lửa toàn diện

SPARC, Solaris, UNIX

Thực hiện chính sách bảo mật: tất cả dữ liệu không có sự cho phép rõ ràng sẽ bị loại bỏ.

Bản thân tường lửa không phải là thuốc chữa bách bệnh cho tất cả các mối đe dọa mạng. Đặc biệt, anh:

không bảo vệ các nút mạng khỏi sự xâm nhập qua cửa sau hoặc lỗ hổng phần mềm;

không cung cấp khả năng bảo vệ chống lại nhiều mối đe dọa nội bộ, chủ yếu là rò rỉ dữ liệu;

không bảo vệ chống lại người dùng tải xuống các chương trình độc hại, bao gồm cả vi-rút;

Để giải quyết hai vấn đề cuối cùng, các công cụ bổ sung thích hợp, đặc biệt là phần mềm chống vi-rút, sẽ được sử dụng. Thông thường, chúng kết nối với tường lửa và đi qua phần tương ứng của lưu lượng mạng, hoạt động như một proxy trong suốt đối với các nút mạng khác hoặc chúng nhận bản sao của tất cả dữ liệu được truyền từ tường lửa. Tuy nhiên, việc phân tích như vậy đòi hỏi tài nguyên phần cứng đáng kể nên nó thường được thực hiện độc lập trên mỗi nút mạng.