Комплетан водич за заштитни зид: Како изградити сигуран мрежни систем

complete guide firewall

Дубински преглед заштитног зида са класичним примерима:

Истражили смо Све о рутерима у нашем претходном водичу у овом Водичи за обуку о умрежавању за све .

У данашњим савременим системима комуникације и умрежавања, употреба Интернета се увелико развила у готово свим секторима.

Овај раст и употреба Интернета донели су неколико благодати и олакшали свакодневну комуникацију, како у личне, тако и у организационе сврхе. Али с друге стране, изашао је са безбедносним проблемима, проблемима хаковања и другим врстама нежељених сметњи.

Да би се решио ове проблеме, потребан је уређај који треба да има могућност заштите рачунара и имовине компаније од ових проблема.

Шта ћете научити:

• Увод у заштитни зид
  • Софтвер против хардверског заштитног зида
  • Мрежне претње
  • Заштита заштитног зида
  • Заштитни зид и ОСИ референтни модел
  • Суочавање са унутрашњим претњама
  • ДМЗ
  • Компоненте заштитног зида
    • # 1) Рутер за обод
    • # 2) Заштитни зид
    • # 3) ВПН
    • # 4) ИДС
  • Постављање компонената
  • Администрација и управљање заштитним зидом
  • Категорије заштитног зида
    • # 1) Заштитни зид за филтрирање пакета
    • # 2) Државни заштитни зид
    • # 3) Проки заштитни зид
  • Врсте софтвера заштитног зида
    • # 1) Цомодо заштитни зид
    • # 2) АВС заштитни зид
    • # 3) Нетдефендер
    • # 4) ПеерБлоцк
    • # 5) Виндовс заштитни зид
    • # 6) Јунипер Фиревалл
  • Закључак
  • Препоручено читање

Увод у заштитни зид

Концепт заштитног зида представљен је како би се осигурао процес комуникације између различитих мрежа.

Заштитни зид је софтвер или хардверски уређај који испитује податке из неколико мрежа, а затим им то дозвољава или блокира да комуницира са вашом мрежом, а овај процес регулише скуп унапред дефинисаних безбедносних смерница.

У овом упутству истражићемо различите аспекте заштитног зида и његове примене.

Дефиниција:

Заштитни зид је уређај или комбинација система који надгледа проток промета између различитих делова мреже.Заштитни зидкористи се за заштиту мреже од гадних људи и забрану њиховог деловања на унапред дефинисаним нивоима границе.

Заштитни зид се не користи само за заштиту система од спољних претњи, већ претња може бити и унутрашња. Стога нам је потребна заштита на сваком нивоу хијерархије мрежних система.

Добар заштитни зид треба да буде довољан да се носи и са унутрашњим и са спољним претњама и да буде у стању да се бави злонамерним софтвером као што су црви од стицања приступа мрежи. Такође омогућава вашем систему да заустави прослеђивање незаконитих података другом систему.

На пример , заштитни зид увек постоји између приватне мреже и интернета који је јавна мрежа, па филтрира пакете који улазе и излазе.

Заштитни зид као препрека између Интернета и ЛАН-а

Избор прецизног заштитног зида је пресудан за изградњу сигурног мрежног система.

Заштитни зид обезбеђује сигурносни апарат за омогућавање и ограничавање саобраћаја, потврду идентитета, превођење адреса и сигурност садржаја.

Осигурава 365 * 24 * 7 заштиту мреже од хакера. То је једнократна инвестиција за било коју организацију и треба јој само правовремена ажурирања да би правилно функционисала. Постављањем заштитног зида нема потребе за паником у случају мрежних напада.

Софтвер против хардверског заштитног зида

Пример основног заштитног зида

Хардверски заштитни зид штити целу мрежу организације која је користи само од спољних претњи. У случају да је запосленик организације повезан на мрежу преко свог лаптопа, онда не може искористити заштиту.

С друге стране, софтверски заштитни зид обезбеђује сигурност засновану на хосту, јер се софтвер инсталира на сваки од уређаја повезаних на мрежу, чиме се систем штити од спољних и унутрашњих претњи. Највише је користе корисници мобилних уређаја за дигиталну заштиту своје слушалице од злонамерних напада.

Мрежне претње

Списак мрежних претњи дат је у наставку:

• Црви, ускраћивање услуге (ДоС) и тројански коњи неколико су примера мрежних претњи које се користе за рушење система рачунарских мрежа.
• Вирус тројанског коња је врста малвера који извршава задати задатак у систему. Али заправо, покушавао је да илегално приступи мрежним ресурсима. Ови вируси ако се убризгају у ваш систем дају хакеру право да хакује вашу мрежу.
• То су врло опасни вируси, јер чак могу да доведу до пада вашег рачунара и могу на даљину да модификују или избришу ваше кључне податке из система.
• Рачунарски црви су врста злонамерног софтвера. Они троше пропусни опсег и брзину мреже да би их пренели на друге рачунаре мреже. Оштећују рачунаре оштећујући или у потпуности модификујући базу података рачунара.
• Црви су врло опасни јер могу уништити шифроване датотеке и прикачити се е-поштом, па се тако могу пренети у мрежу путем Интернета.

Заштита заштитног зида

У малим мрежама сваки наш мрежни уређај можемо учинити заштићеним тако што ћемо осигурати да су инсталиране све софтверске закрпе, онемогућене нежељене услуге и сигурносни софтвер правилно инсталиран у њему.

У овој ситуацији, као што је такође приказано на слици, софтвер заштитног зида се монтира на сваку машину и сервер и конфигурише на такав начин да само наведени промет може улазити и излазити из уређаја. Али ово ефикасно функционише само у малим мрежама.

Заштита заштитног зида у малој мрежи

У великој мрежи готово је готово немогуће ручно конфигурисати заштиту заштитног зида на сваком чвору.

Централизовани систем безбедности решење је за пружање сигурне мреже великим мрежама. Уз помоћ примера, на доњој слици је приказано да се решење заштитног зида намеће самим усмеривачем и постаје једноставно руковање безбедносним политикама. Политике саобраћаја улазе и излазе на уређај и њима може управљати само један уређај.

како прегледати свф датотеке на рачунару

Ово цјелокупни сигурносни систем чини исплативим.

Заштита заштитног зида у великим мрежама

Заштитни зид и ОСИ референтни модел

Систем заштитног зида може да ради на пет слојева ОСИ-ИСО референтног модела. Али већина њих ради на само четири слоја, тј. Слој везе података, мрежни слој, транспортни слој и слојеви апликације.

Број слојева које омотава заштитни зид зависи од врсте заштитног зида који се користи. Већи број слојева које покрива ефикаснији ће бити заштитни зид за решавање свих врста сигурносних проблема.

Суочавање са унутрашњим претњама

Већина напада на мрежу се дешава изнутра у систему, тако да би рад са његовим заштитним зидом требало да буде у стању да обезбеди и од унутрашњих претњи.

У наставку је описано неколико врста унутрашњих претњи:

# 1) Злонамерни сајбер напади су најчешћи тип интерног напада. Администратор система или било који запослени из ИТ одељења који има приступ мрежном систему може подметнути неке вирусе да би украо кључне мрежне информације или оштетио мрежни систем.

Решење за његово решавање је надгледање активности сваког запосленог и чување интерне мреже коришћењем више слојева лозинке за сваки од сервера. Систем се такође може заштитити давањем приступа систему што је могуће мањем броју запослених.

#два) Било који од рачунара домаћина интерне мреже организације може да преузме злонамерни Интернет садржај са недостатком знања о преузимању вируса, такође са њим. Стога би домаћински системи требали имати ограничен приступ Интернету. Сва непотребна претраживања треба блокирати.

# 3) Пропуштање информација са било ког рачунара-домаћина преко погона оловака, тврдог диска или ЦД-РОМ-а такође представља мрежну претњу систему. То може довести до пресудног цурења базе података из организације у спољни свет или конкуренте. Ово се може контролисати онемогућавањем УСБ портова хост уређаја тако да они не могу да изваде податке из система.

Препоручена литература => Врхунски софтверски алати за закључавање УСБ-а

ДМЗ

Демилитаризовану зону (ДМЗ) користи већина система ватрозида за заштиту имовине и ресурса. ДМЗ-ови су распоређени како би спољним корисницима омогућили приступ ресурсима као што су сервери е-поште, ДНС сервери и веб странице без откривања интерне мреже. Понаша се као бафер између различитих сегмената у мрежи.

Свакој регији у систему заштитног зида додељен је ниво заштите.

На пример , ниско, средње и високо. Обично саобраћај тече са вишег на нижи ниво. Али да би се саобраћај пребацио са нижег на виши ниво, примењује се другачији скуп правила филтрирања.

Да бисте дозволили да се саобраћај пребаци са нижег на виши ниво заштите, треба бити прецизан у погледу врсте саобраћаја који је дозвољен. Прецизно откључавамо систем заштитног зида само за онај саобраћај који је неопходан, све остале врсте саобраћаја биће блокиране конфигурацијом.

Заштитни зид је постављен за одвајање различитих делова мреже.

Различити интерфејси су следећи:

• Веза до Интернета, додељена са најнижим нивоом сигурности.
• Вези до ДМЗ додељена је средња сигурност због присуства сервера.
• Веза до организације, која се налази на удаљеном крају, додељена је средњој сигурности.
• Највећа сигурност додељена је интерној мрежи.

Заштита заштитног зида са ДМС-ом

Правила додељена организацији су:

• Дозвољен је приступ од високог до ниског нивоа
• Приступ од ниског до високог нивоа није дозвољен
• Приступ на еквивалентном нивоу такође није дозвољен

Коришћењем горе наведеног скупа правила, саобраћај коме је дозвољено да аутоматски пролази кроз заштитни зид је:

• Интерни уређаји за ДМЗ, удаљену организацију и интернет.
• ДМЗ за удаљену организацију и интернет.

Било која друга врста саобраћајног тока је блокирана. Предност таквог дизајна је у томе што пошто су Интернету и удаљеној организацији додељени једнаки нивои безбедности, саобраћај са Интернета који није у стању да одреди организацију која сама појачава заштиту и организација неће моћи бесплатно да користи Интернет (штеди новац).

Још једна предност је та што пружа слојевиту сигурност, па ако хакер жели да хакује интерне ресурсе, онда прво мора да хакује ДМЗ. Задатак Хацкера постаје све тежи што систем чини систем много сигурнијим.

Компоненте заштитног зида

Грађевни елементи доброг заштитног зида су следећи:

• Ободни усмеривач
• Ватрени зид
• ВПН
• ИДС

# 1) Рутер за обод

Главни разлог за његово коришћење је пружање везе до јавног мрежног система попут Интернета или препознатљиве организације. Изводи усмјеравање пакета података слиједећи одговарајући протокол усмјеравања.

Такође омогућава филтрирање превода пакета и адреса.

# 2) Заштитни зид

Као што је раније речено, његов главни задатак је да обезбеди различите нивое сигурности и надгледа саобраћај између сваког нивоа. Већина заштитног зида постоји у близини рутера како би пружио сигурност од спољних претњи, али понекад је присутан у унутрашњој мрежи и ради заштите од унутрашњих напада.

# 3) ВПН

Његова функција је да обезбеди сигурну везу између две машине или мреже или машине и мреже. Ово се састоји од шифровања, потврде идентитета и осигурања поузданости пакета. Омогућава сигуран даљински приступ мрежи, повезујући тако две ВАН мреже на истој платформи, а притом нису физички повезане.

# 4) ИДС

Његова функција је идентификација, спречавање, истрага и рјешавање неовлаштених напада. Хакер може напасти мрежу на разне начине. Може извршити ДоС напад или напад са задње стране мреже путем неовлашћеног приступа. ИДС решење би требало да буде довољно паметно да се носи са овим врстама напада.

ИДС решење је две врсте, мрежно и хостовано. Мрежно засновано решење ИДС требало би да буде вешто на такав начин кад год се примети напад, може приступити заштитном зиду и након пријаве у њега може конфигурисати ефикасан филтер који може ограничити нежељени саобраћај.

Решење ИДС засновано на хосту је врста софтвера који се покреће на главном уређају као што је лаптоп или сервер, а који уочава претњу само против тог уређаја. ИДС решење би требало пажљиво да прегледа мрежне претње и да их благовремено пријави и да предузме неопходне мере против напада.

Постављање компонената

Разговарали смо о неколико главних блокова заштитног зида. Хајде сада да разговарамо о постављању ових компоненти.

Испод, на примеру, илуструјем дизајн мреже. Али не може се у потпуности рећи да је то свеукупни дизајн сигурне мреже, јер сваки дизајн може имати одређена ограничења.

Ободни усмеривач који има основне карактеристике филтрирања користи се када промет продире у мрежу. Компонента ИДС постављена је да идентификује нападе које периметрални усмеривач није био у стању да филтрира.

Саобраћај на тај начин пролази кроз заштитни зид. Заштитни зид је покренуо три нивоа сигурности, низак за Интернет значи спољну страну, средњи за ДМЗ и висок за интерну мрежу. Правило које се поштује је да се дозволи саобраћај са Интернета само до веб сервера.

Остатак протока саобраћаја са ниже на вишу страну је ограничен, мада је дозвољен већи на нижи проток промета, тако да администратор који борави у интерној мрежи за пријављивање на ДМЗ сервер.

Укупан пример дизајна система заштитног зида

У овај дизајн је такође уграђен интерни рутер за интерно усмеравање пакета и извођење акција филтрирања.

Предност овог дизајна је у томе што има три нивоа заштите, рутер за филтрирање пакета који филтрира пакет, ИДС и заштитни зид.

Недостатак ове поставке је што се ИДС не јавља у унутрашњој мрежи, па стога не може лако спречити унутрашње нападе.

Важне чињенице о дизајнирању:

• Заштитни зид за филтрирање пакета треба користити на граници мреже да би се побољшала сигурност.
• Сваки сервер који је изложен јавној мрежи као што је Интернет биће смештен у ДМЗ. Сервери који имају кључне податке биће опремљени заштитним зидом заснованим на хосту. Поред ових на серверима, треба онемогућити све нежељене услуге.
• Ако ваша мрежа има критичне сервере базе података као што су ХЛР сервер, ИН и СГСН који се користи у мобилним операцијама, тада ће се применити вишеструки ДМЗ.
• Ако спољни извори, попут удаљених организација, желе да приступе вашем серверу смештеном у унутрашњу мрежу безбедносног система, онда користите ВПН.
• За кључне унутрашње изворе, као што су истраживање и развој или финансијски извори, ИДС треба користити за надгледање и решавање интерних напада. Одвојеним наметањем нивоа безбедности, додатна сигурност се може пружити интерној мрежи.
• За услуге е-поште, све одлазне поруке е-поште треба прво проћи кроз ДМЗ сервер е-поште, а затим и неки додатни безбедносни софтвер како би се избегле интерне претње.
• За долазну е-пошту, поред ДМЗ сервера, антивирус, нежељену пошту и софтвер заснован на хосту треба инсталирати и покренути на серверу сваки пут када пошта уђе у сервер.

Администрација и управљање заштитним зидом

Сада смо изабрали блокове нашег заштитног зида. Сада је дошло време за конфигурисање сигурносних правила на мрежни систем.

За конфигурисање софтвера заштитног зида користе се интерфејс командне линије (ЦЛИ) и графички кориснички интерфејс (ГУИ). На пример , Цисцо производи подржавају обе врсте метода конфигурације.

Данас се у већини мрежа Менаџер сигурносних уређаја (СДМ), који је такође производ компаније Цисцо, користи за конфигурисање рутера, заштитних зидова и ВПН атрибута.

Да би се имплементирао систем заштитног зида, ефикасна администрација је врло битна за несметано одвијање процеса. Људи који управљају сигурносним системом морају бити мајстори у свом послу, јер нема простора за људске грешке.

Треба избегавати било коју врсту конфигурационих грешака. Кад год се изврше ажурирања конфигурације, администратор мора испитати и поново проверити читав процес тако да не оставља простор за рупе и хакере да га нападну. Администратор треба да користи софтверски алат за испитивање извршених промена.

питања о Мицрософт Екцел функцијама и уобичајеној синтакси

Било које велике промене конфигурације у заштитним зидовима не могу се директно применити на велике мреже које су у току, јер ако не успеју, могу довести до великог губитка мреже и директног омогућавања уласка нежељеног саобраћаја у систем. Дакле, прво би то требало обавити у лабораторији и испитати исходе ако се пронађу резултати, онда можемо применити промене у живој мрежи.

Категорије заштитног зида

На основу филтрирања саобраћаја постоје многе категорије заштитног зида, неке су објашњене у наставку:

# 1) Заштитни зид за филтрирање пакета

То је нека врста усмеривача који има могућност филтрирања оно мало супстанце пакета података. Када се користи филтрирање пакета, правила се класификују на заштитном зиду. Ова правила из пакета сазнају који је саобраћај дозвољен, а који није.

# 2) Државни заштитни зид

Такође се назива и динамичко филтрирање пакета, проверава статус активних веза и користи те податке да би сазнао који од пакета треба да буде дозвољен кроз заштитни зид, а који не.

Заштитни зид прегледава пакет до слоја апликације. Праћењем података сесије попут ИП адресе и броја порта пакета података може пружити много јаке сигурности мрежи.

Такође прегледава долазни и одлазни саобраћај, па је хакерима било тешко да се умешају у мрежу користећи овај заштитни зид.

# 3) Проки заштитни зид

Они су такође познати као заштитни зидови приступног пролаза. Заштитни зид са статусом није у стању да заштити систем од напада заснованих на ХТТП-у. Због тога је на тржишту представљен проки заштитни зид.

Обухвата карактеристике инспекције са статусом плус могућност блиске анализе протокола апликативног слоја.

Тако може надгледати промет са ХТТП-а и ФТП-а и сазнати могућност напада. Стога се заштитни зид понаша као прокси, што значи да клијент иницира везу са заштитним зидом, а заштитни зид заузврат покреће соло везу са сервером на страни клијента.

Врсте софтвера заштитног зида

Неколико најпопуларнијих софтвера заштитног зида које организације користе за заштиту својих система поменуте су у наставку:

# 1) Цомодо заштитни зид

Прегледавање виртуелног Интернета за блокирање нежељених искачућих огласа и прилагођавање ДНС сервера су уобичајене карактеристике овог заштитног зида. Виртуелни киоск се користи за блокирање неких процедура и програма бежањем и продирањем у мрежу.

У овом заштитном зиду, осим праћења дугог поступка дефинисања портова и других програма које треба дозволити и блокирати, било који програм може бити дозвољен и блокиран само претраживањем програма и кликом на жељени излаз.

Цомодо киллсвитцх је такође побољшана карактеристика овог заштитног зида која илуструје све текуће процесе и олакшава блокирање било ког нежељеног програма.

# 2) АВС заштитни зид

Веома је једноставно за спровођење. Штити ваш систем од гадних измена регистра, искачућих прозора и нежељених реклама. УРЛ адресе огласа такође можемо да изменимо у било ком тренутку и да их такође блокирамо.

Такође има функцију родитељске контроле, која је део омогућавања приступа само одређеној групи веб локација.

Користи се у оперативним системима Виндовс 8, 7, Виста и КСП.

# 3) Нетдефендер

Овде можемо лако да наведемо изворну и одредишну ИП адресу, број порта и протокол који су дозвољени и недозвољени у систему. Можемо дозволити и блокирати ФТП за примену и ограничење у било којој мрежи.

Такође има скенер порта, који може да визуализује који се може користити за проток саобраћаја.

# 4) ПеерБлоцк

Упркос блокирању појединачне класе програма дефинисаних у рачунару, он блокира укупну класу ИП адреса које спадају у одређену категорију.

Ову функцију примењује блокирањем долазног и одлазног саобраћаја дефинисањем скупа забрањених ИП адреса. Стога мрежа или рачунар који користе тај скуп ИП-ова не могу да приступе мрежи, а такође ни интерна мрежа не може да пошаље одлазни саобраћај тим блокираним програмима.

# 5) Виндовс заштитни зид

Најчешћи заштитни зид који користе корисници оперативног система Виндовс 7 је овај заштитни зид. Омогућава приступ и ограничење саобраћаја и комуникације између мрежа или мреже или уређаја анализом ИП адресе и броја порта. Подразумевано дозвољава сав одлазни саобраћај, али дозвољава само онај долазни саобраћај који је дефинисан.

# 6) Јунипер Фиревалл

Клека је сама по себи организација за умрежавање и такође дизајнира разне врсте рутера и филтера заштитног зида. У живој мрежи попут добављача мобилних услуга користи заштитне зидове направљене од компаније Јунипер да би заштитио своје мрежне услуге од различитих врста претњи.

Они штите мрежне рутере и додатни долазни саобраћај и неприхватљиве нападе из спољних извора који могу да прекидају мрежне услуге и управљају прометом који ће бити прослеђен са ког интерфејса рутера.

Имплементира по један улазни и излазни филтер заштитног зида на сваки долазни и одлазни физички интерфејс. Ово филтрира нежељене пакете података пратећи правила дефинисана и на долазном и на одлазном интерфејсу.

Према подразумеваним подешавањима конфигурације заштитног зида, одлучује се који ће се пакети прихватити, а који одбацити.

Закључак

Из горњег описа различитих аспеката заштитног зида закључићемо да је за превазилажење спољних и унутрашњих мрежних напада уведен концепт заштитног зида.

Заштитни зид може бити хардвер или софтвер који ће поштујући одређени скуп правила заштитити наш мрежни систем од вируса и других врста злонамерних напада.

Овде смо такође истражили различите категорије заштитног зида, компоненте заштитног зида, дизајнирање и примену заштитног зида, а затим и неки од познатих софтверских заштитних зидова које смо користили за примену у мрежној индустрији.

ПРЕВ Туториал |. | СЛЕДЕЋА Лекција

Препоручено читање

• ЛАН против ВАН-а против МАН-а: Тачна разлика између типова мрежа
• ТЦП / ИП модел са различитим слојевима
• Све о рутерима: типови рутера, табела рутирања и ИП рутирање
• Све о преклопницима нивоа 2 и слоја 3 у мрежном систему
• Водич за маску подмреже (подмреже) и калкулатор подмреже ИП
• Шта је мрежа широког подручја (ВАН): примери ВАН мреже уживо
• Важни протоколи слоја апликација: ДНС, ФТП, СМТП и МИМЕ протоколи
• ИПв4 вс ИПв6: У чему је тачна разлика