Was ist eine Firewall?

1. Das Konzept der Firewall

Die Firewall, auch Schutzmauer genannt, wurde 1993 von Check Point-Gründer Gil Shwed erfunden und im internationalen Internet eingeführt (US5606668(A) 1993-12-15). Es ist ein Netzwerksicherheitssystem, das sich zwischen dem internen Netzwerk und dem externen Netzwerk befindet.

Es handelt sich um ein Informationssicherheits-Schutzsystem, das den Durchgang übertragener Daten nach bestimmten Regeln zulässt oder einschränkt.

In der Netzwerkwelt sind es die Kommunikationspakete, die die Kommunikationsdaten tragen, die von der Firewall gefiltert werden. Im Netzwerk bezieht sich die „Firewall“ auf eine Methode zur Trennung des Intranets vom öffentlichen Zugangsnetz (dem Internet), bei der es sich eigentlich um eine Isolationstechnologie handelt. Eine Firewall ist eine Skala der Zugriffskontrolle, die implementiert wird, wenn zwei Netzwerke kommunizieren, die Personen und Daten, denen Sie „zustimmen“, den Zugang zu Ihrem Netzwerk ermöglicht, während Personen und Daten, denen Sie „nicht zustimmen“, außen vor bleiben, wodurch die Chance maximiert wird, Hacker im Netzwerk zu verhindern vom Zugriff auf Ihr Netzwerk. Mit anderen Worten, wenn Sie die Firewall nicht passieren, können Personen in Ihrem Unternehmen nicht auf das Internet zugreifen, und andere im Internet können nicht mit Personen in Ihrem Unternehmen kommunizieren.

 

2. Die Geschichte der Firewall

Seit ihrer Geburt hat die Firewall vier Entwicklungsstufen durchlaufen.

• Firewall basiert auf Router
• Angepasste Firewall-Tool-Sets
• Firewall, die auf einem universellen Betriebssystem basiert
• Firewall mit einem sicheren Betriebssystem

Die heute gängigen Firewalls sind Firewalls mit sicheren Betriebssystemen wie NETEYE, NETSCREEN, TALENTIT usw.

3. Die Arten von Firewalls

Firewall auf Netzwerkebene

Eine Firewall auf Netzwerkebene kann als IP-Paketfilter betrachtet werden, der auf dem zugrunde liegenden TCP/IP-Protokollstapel arbeitet. Es kann aufgezählt werden, um nur Pakete zuzulassen, die bestimmten Regeln entsprechen, während der Rest die Firewall nicht passieren darf (mit Ausnahme von Viren, die nicht verhindert werden können). Diese Regeln können normalerweise vom Administrator definiert oder geändert werden, obwohl einige Firewall-Geräte möglicherweise nur die integrierten Regeln anwenden können.

Anwendungs-Firewall

Die Anwendungs-Firewall arbeitet auf der „Anwendungsschicht“ des TCP/IP-Stacks, wohin die Datenströme gehören, die Sie bei der Verwendung eines Browsers oder bei der Verwendung von FTP generieren. Eine Firewall auf Anwendungsebene fängt alle Pakete zu und von einer Anwendung ab und blockiert andere (normalerweise durch einfaches Verwerfen). Theoretisch kann eine solche Firewall den Datenfluss von außen zur geschützten Maschine vollständig blockieren.

Datenbank-Firewall

Eine Datenbank-Firewall ist ein Datenbank-Sicherheitssystem, das auf Datenbankprotokoll-Analyse- und Kontrolltechnologie basiert. Basierend auf einem aktiven Abwehrmechanismus realisiert es eine Datenbankzugriffs- und Verhaltenskontrolle, blockiert gefährliche Operationen und überwacht verdächtiges Verhalten. Durch die SQL-Protokollanalyse lässt die Datenbank-Firewall legale SQL-Operationen passieren und blockiert illegale und nicht konforme Operationen gemäß vordefinierten Verbots- und Berechtigungsrichtlinien, bildet den peripheren Verteidigungskreis der Datenbank und realisiert eine aktive Prävention und Echtzeit-Überprüfung von gefährlichem SQL Operationen. Die Datenbank-Firewall bietet eine SQL-Injection-Verhinderung und eine virtuelle Datenbank-Patch-Paketfunktion angesichts der Invasion von außen.

4.Linux Firwall

Linux-Firewalls sind sehr nützlich in Unternehmensanwendungen, Beispiele sind wie folgt.

• Kleine und mittelständische Unternehmen und Internetcafes haben iptables als NAT-Router, mit dem herkömmliche Router kostensparend ersetzt werden können.
• IDC-Serverräume haben im Allgemeinen keine Hardware-Firewalls und Server IDC Serverräume können Linux-Firewalls anstelle von Hardware-Firewalls verwenden.
• iptables in Kombination mit squid kann als transparenter Proxy für den internen Internetzugang verwendet werden. Herkömmliche Proxys müssen die Proxy-Server-Informationen im Browser konfigurieren, während iptables + squid transparent proxy die Anfrage des Clients an den Proxy-Server-Port umleiten kann. Der Client muss keine Einstellungen vornehmen und spürt die Präsenz des Proxys nicht.
• Wenn Sie iptables als Unternehmens-NAT-Router verwenden, können Sie die iptables-Erweiterung verwenden, um P2P-Verkehr zu blockieren und auch illegale Webseiten zu blockieren.
• iptables kann verwendet werden, um externe IP auf interne IP abzubilden.
• Iptables kann leichtgewichtige DOS-Angriffe wie Ping-Angriffe und SYN-Flood verhindern.
• Zusammenfassend hat Iptables zwei Anwendungsmodi: Host-Firewall und NAT-Router.

 

5. Das Grundprinzip der Firewall

Entsprechend dem Fluss der Byte-Übertragung in der folgenden Abbildung kann diese in die folgenden Schichten unterteilt werden:

• Paketfilterung: Arbeitet auf der Netzwerkschicht und bestimmt, ob Pakete passieren dürfen oder nicht, basierend auf der IP-Adresse, der Portnummer, dem Protokolltyp und anderen Flags im Paketheader.
• Anwendungsproxy: arbeitet auf der Anwendungsschicht und realisiert durch das Schreiben verschiedener Anwendungsproxys die Erkennung und Analyse von Anwendungsschichtdaten.
• Stateful Inspection: Funktioniert auf Layer 2~4, Zugriffskontrolle ist die gleiche wie 1, aber das Objekt der Verarbeitung ist nicht ein einzelnes Paket, sondern die gesamte Verbindung, durch die Regeltabelle und die Verbindungsstatustabelle, umfassende Beurteilung, ob das Paket zugelassen werden soll bestehen.
• Vollständige Inhaltsprüfung: Arbeitet auf den Ebenen 2 bis 7, analysiert nicht nur Paket-Header-Informationen und Statusinformationen, sondern stellt auch den Inhalt von Anwendungsschichtprotokollen wieder her und analysiert sie, um hybride Sicherheitsbedrohungen effektiv zu verhindern.

6. Netzfilter und iptables

Netfilter ist ein von Rusty Russell vorgeschlagenes Kernel-Firewall-Framework für Linux 2.4, das sowohl einfach als auch flexibel ist und viele Funktionen in Anwendungen für Sicherheitsstrategien implementieren kann. B. Paketfilterung, Paketverarbeitung, IP-Masquerading, transparenter Proxy, dynamische Network Address Translation (NAT) sowie Benutzer- und Media Access Control (MAC)-adressbasierte Filterung und zustandsbasierte Filterung, Paketratenbegrenzung usw. Diese Die Regeln von Iptables/Netfilter lassen sich dank der hervorragenden Designideen flexibel zu sehr vielen Funktionen kombinieren und decken unterschiedliche Aspekte ab. Das Netfilter/Iptables-Paketfiltersystem kann als Ganzes behandelt werden, mit Netfilter als Implementierung eines Kernelmoduls und iptables als Werkzeug für Operationen auf höherer Ebene. Ohne strenge Unterscheidung können unter Linux sowohl netfilter als auch iptables als Verweise auf die Linux-Firewall betrachtet werden. Tatsächlich ist Iptables ein Tool, das die Kernel-Paketfilterung verwaltet und zum Konfigurieren von Regeln in der Form der Kernel-Paketfilterung verwendet werden kann. Es läuft im Userspace.

 

Der Unterschied ist der netfilter ist eine neue Paketfilter-Engine, die im Linux 2.4-Kernel namens Netfilter eingeführt wurde und sich auf die interne Struktur der Paketfilter-Firewall im Linux-Kernel bezieht, nicht in Form von Programmen oder Dateien, und zum „Kernel-Status“ gehört. Firewall-Funktionssystem. iptables bezieht sich auf das Befehlsprogramm zur Verwaltung der Linux-Firewall, das sich normalerweise in /sbin/iptables befindet und Teil des Firewall-Verwaltungssystems „Benutzerstatus“ ist. iptables ist das Tool, das Netfilter steuert, den älteren Bruder des Befehls ipchains im Kernel von Linux 2.2. iptables ist das Tool, das Netfilter steuert und das ältere Geschwister des ipchains-Befehls im Linux 2.2-Kernel ist.

Die von Netfilter festgelegten Regeln werden im Kernelspeicher gespeichert, während iptables eine Anwendung auf Anwendungsebene ist, die die im Kernelspeicher gespeicherten XXtables (Konfigurationstabelle von Netfilter) über die von Netfilter ausgegebene Schnittstelle modifiziert. Diese XXtables bestehen aus Tabellen, Ketten und Regeln. iptables ist für die Änderung dieser Regeldatei auf Anwendungsebene verantwortlich. firewalld ist ähnlich.

Was ist die Verbindung zwischen iptables und netfilter?

Viele Leute denken bei iptables sofort an eine Firewall, aber tatsächlich ist iptables keine Firewall, sondern nur eine Software oder ein Tool, das bestimmte Regeln schreiben und die geschriebenen Regeln in der Regeldatenbank von netfilter speichern kann. Daher ist der eigentliche „Brandschutz“ Netfilter, nicht iptables. netfilter ist ein Framework im Kernel, das vier Tabellen und fünf Ketten enthält, und diese Ketten enthalten viele Regeln. Die Regeln, mit denen die Pakete verglichen werden, sind die in dieser Kette definierten Regeln.

Im Folgenden bezeichnen wir die Linux-Firewall als iptables.

7. Die Leistung der Firewall

Durchsatz: Diese Metrik wirkt sich direkt auf die Leistung des Netzwerks aus.

Latency: das Zeitintervall zwischen der Ankunft des letzten Bits des Eingangsrahmens am Eingang und der Ausgabe des ersten Bits des Ausgangsrahmens am Ausgang.

Paketverlustrate: Der Prozentsatz der Frames, die von Netzwerkgeräten unter Dauerlast übertragen werden sollten, aber aufgrund von Ressourcenmangel verworfen werden.

Rücken an Rücken: Ausgehend vom Ruhezustand wird eine beträchtliche Anzahl von Rahmen fester Länge mit einer Übertragungsrate gesendet, die die gesetzliche Mindestintervallgrenze des Übertragungsmediums erreicht. Die Anzahl der gesendeten Frames, wenn der erste Frame verloren geht.

Gleichzeitige Browserverbindungen: Die maximale Anzahl gleichzeitiger Verbindungen, die zwischen Hosts, die die Firewall passieren, oder zwischen einem Host und der Firewall hergestellt werden können.

8. Die Begrenzung der Firewall

Obwohl die Firewall eine grundlegende Einrichtung zum Schutz der Netzwerksicherheit ist, birgt sie auch einige Sicherheitsbedrohungen, die nicht einfach zu verhindern sind: Erstens kann die Firewall keine Angriffe verhindern, die die Firewall nicht passieren oder die Firewall umgehen. Beispielsweise können einige Benutzer eine direkte Verbindung zum Internet herstellen, wenn sie aus dem geschützten Netzwerk heraus anrufen dürfen. Firewalls basieren auf Methoden zur Erkennung und Blockierung von Paket-Header-Informationen, hauptsächlich der Zugriffskontrolle von Diensten, die von Hosts bereitgestellt oder angefordert werden, und können schädlichen Datenverkehr, der durch offene Ports fließt, nicht blockieren und sind keine Lösung für Würmer oder Hacking-Angriffe. Außerdem ist es für Firewalls schwierig, Angriffe oder Missbrauch aus dem Netzwerk heraus zu verhindern.