¿Qué es el cortafuegos?

1. El concepto de cortafuegos

El firewall, también conocido como muro protector, fue inventado por el fundador de Check Point, Gil Shwed, en 1993 y se introdujo en Internet internacional (US5606668(A) 1993-12-15). Es un sistema de seguridad de red que se encuentra entre la red interna y la red externa.

Es un sistema de protección de la seguridad de la información que permite o restringe el paso de los datos transmitidos según reglas específicas.

En el mundo de las redes, son los paquetes de comunicación los que transportan los datos de comunicación que son filtrados por el cortafuegos. En la red, el “cortafuegos” se refiere a un método para separar la intranet de la red de acceso público (Internet), que en realidad es una tecnología de aislamiento. Un cortafuegos es una escala de control de acceso que se implementa cuando dos redes se comunican, lo que permite que las personas y los datos con los que usted "acuerde" ingresen a su red mientras mantiene fuera a las personas y los datos con los que "no está de acuerdo", lo que maximiza la posibilidad de evitar que los piratas informáticos entren en la red. de acceder a su red. En otras palabras, si no lo hace a través del firewall, las personas dentro de su empresa no podrán acceder a Internet y otras personas en Internet no podrán comunicarse con personas dentro de su empresa.

 

2. La historia del cortafuegos

Desde su nacimiento, el firewall ha pasado por cuatro etapas de desarrollo.

• Cortafuegos basado en enrutador
• Conjuntos de herramientas de cortafuegos personalizados
• Cortafuegos integrado en un sistema operativo de propósito general
• Cortafuegos con un sistema operativo seguro

Los firewalls comunes ahora son firewalls con sistemas operativos seguros, como NETEYE, NETSCREEN, TALENTIT, etc.

3. Los tipos de cortafuegos

Cortafuegos a nivel de red

Un firewall a nivel de red se puede considerar como un filtro de paquetes IP que opera en la pila de protocolos TCP/IP subyacente. Se puede enumerar para permitir que pasen solo los paquetes que cumplen ciertas reglas, mientras que el resto tiene prohibido pasar el firewall (excepto los virus, que no se pueden prevenir). Por lo general, el administrador puede definir o modificar estas reglas, aunque es posible que algunos dispositivos de firewall solo puedan aplicar las reglas integradas.

Cortafuegos de aplicaciones

El firewall de la aplicación opera en la "capa de aplicación" de la pila TCP/IP, donde pertenecen los flujos de datos que genera cuando usa un navegador o cuando usa FTP. Un firewall de capa de aplicación intercepta todos los paquetes hacia y desde una aplicación y bloquea otros (generalmente simplemente descartándolos). En teoría, este tipo de firewall puede bloquear completamente el flujo de datos desde el exterior hacia la máquina protegida.

Cortafuegos de base de datos

Un firewall de base de datos es un sistema de seguridad de base de datos basado en tecnología de control y análisis de protocolo de base de datos. Basado en un mecanismo de defensa activo, realiza el acceso a la base de datos y el control del comportamiento, el bloqueo de operaciones peligrosas y la auditoría de comportamientos sospechosos. A través del análisis del protocolo SQL, el firewall de la base de datos permite que las operaciones SQL legales pasen y bloquea las operaciones ilegales y no conformes de acuerdo con las políticas de permiso y prohibición predefinidas, formando el círculo de defensa periférico de la base de datos y realizando una prevención activa y una auditoría en tiempo real de SQL peligroso. operaciones. El cortafuegos de la base de datos proporciona la prohibición de la inyección de SQL y la función del paquete de parche virtual de la base de datos frente a la invasión desde el exterior.

4 Linux Firwall

Los cortafuegos de Linux son muy útiles en aplicaciones empresariales, los ejemplos son los siguientes.

• Las pequeñas y medianas empresas y los cibercafés tienen iptables como un enrutador NAT, que se puede usar para reemplazar los enrutadores tradicionales para ahorrar costos.
• Las salas de servidores de IDC generalmente no tienen firewalls de hardware y los servidores en IDC Las salas de servidores pueden usar firewalls de Linux en lugar de firewalls de hardware.
• Las iptables combinadas con squid se pueden usar como un proxy transparente para el acceso interno a Internet. Los proxies tradicionales necesitan configurar la información del servidor proxy en el navegador, mientras que el proxy transparente iptables + squid puede redirigir la solicitud del cliente al puerto del servidor proxy. El cliente no tiene que realizar ninguna configuración y no siente la presencia del proxy.
• Cuando usa iptables como un enrutador NAT empresarial, puede usar la extensión iptables para bloquear el tráfico P2P y también bloquear páginas web ilegales.
• Las iptables se pueden usar para asignar una IP externa a una IP interna.
• Iptables puede prevenir fácilmente ataques ligeros de DOS como ataques de ping y SYN flood.
• En resumen, Iptables tiene dos modos de aplicación: firewall de host y enrutador NAT.

 

5. El principio básico del cortafuegos

En correspondencia con el flujo de transmisión de bytes en la figura a continuación, se puede dividir en las siguientes capas:

• Filtrado de paquetes: funciona en la capa de red, determina si permitir que los paquetes pasen o no según la dirección IP, el número de puerto, el tipo de protocolo y otras marcas en el encabezado del paquete.
• Proxy de aplicación: funciona en la capa de aplicación y, al escribir diferentes proxies de aplicación, realiza la detección y el análisis de los datos de la capa de aplicación.
• Inspección de estado: funciona en la capa 2 ~ 4, el control de acceso es el mismo que el 1, pero el objeto del procesamiento no es un solo paquete, sino toda la conexión, a través de la tabla de reglas y la tabla de estado de conexión, juicio completo sobre si permitir el paquete pasar.
• Inspección completa de contenido: funciona en las capas 2 a 7, no solo analiza la información del encabezado del paquete y la información de estado, sino que también restaura y analiza el contenido de los protocolos de la capa de aplicación para prevenir eficazmente las amenazas de seguridad híbrida.

6. Netfilter e iptables

Netfilter es un framework de cortafuegos kernel Linux 2.4 propuesto por Rusty Russell, que es simple y flexible y puede implementar muchas funciones en aplicaciones de estrategia de seguridad. Tales como filtrado de paquetes, procesamiento de paquetes, enmascaramiento de ip, proxy transparente, traducción dinámica de direcciones de red (NAT), así como filtrado basado en direcciones de usuario y control de acceso a medios (MAC) y filtrado basado en estado, limitación de velocidad de paquetes, etc. Las reglas de Iptables/Netfilter se pueden combinar de manera flexible para formar una gran cantidad de funciones y cubrir varios aspectos, todo gracias a sus excelentes ideas de diseño. El sistema de filtrado de paquetes Netfilter/Iptables se puede tratar como un todo, con netfilter como una implementación del módulo del kernel e iptables como una herramienta para operaciones de nivel superior. Sin una distinción estricta, en Linux se puede considerar que tanto netfilter como iptables se refieren al firewall de Linux. De hecho, Iptables es una herramienta que administra el filtrado de paquetes del kernel y puede usarse para configurar reglas en el formulario de filtrado de paquetes del kernel. Se ejecuta en el espacio del usuario.

 

La diferencia es que netfilter es un nuevo motor de filtrado de paquetes introducido en el kernel de Linux 2.4, llamado Netfilter, que se refiere a la estructura interna del cortafuegos de filtrado de paquetes en el kernel de Linux, no en forma de programas o archivos, y pertenece al “estado del kernel” sistema de función de cortafuegos. iptables se refiere al programa de comando utilizado para administrar el firewall de Linux, generalmente ubicado en /sbin/iptables, que es parte del sistema de administración de firewall de "estado de usuario". iptables es la herramienta que controla Netfilter, el hermano mayor del comando ipchains en el kernel de Linux 2.2. iptables es la herramienta que controla Netfilter y es el hermano mayor del comando ipchains en el kernel de Linux 2.2.

Las reglas establecidas por Netfilter se almacenan en la memoria del kernel, mientras que iptables es una aplicación de nivel de aplicación que modifica las XXtables (tabla de configuración de Netfilter) almacenadas en la memoria del kernel a través de la interfaz que ofrece Netfilter. Estas XXtables constan de tablas, cadenas y reglas. iptables es responsable de modificar este archivo de reglas en la capa de aplicación. firewalld es similar a él.

¿Cuál es la conexión entre iptables y netfilter?

Mucha gente piensa inmediatamente en iptables como un cortafuegos, pero en realidad iptables no es un cortafuegos, es solo un software o una herramienta que puede escribir ciertas reglas y guardar las reglas escritas en la base de datos de reglas de netfilter. Por lo tanto, la verdadera "prevención de incendios" es Netfilter, no iptables. netfilter es un marco en el núcleo, que contiene cuatro tablas y cinco cadenas, y estas cadenas contienen muchas reglas. Las reglas con las que se comparan los paquetes son las reglas definidas en esta cadena.

A continuación, nos referiremos al firewall de Linux como iptables.

7. El rendimiento del cortafuegos

rendimiento: Esta métrica afecta directamente el rendimiento de la red.

Estado latente: el intervalo de tiempo entre la llegada del último bit de la trama de entrada al ingreso y la salida del primer bit de la trama de salida al egreso.

Tasa de pérdida de paquetes: el porcentaje de tramas que deben transmitir los dispositivos de red bajo carga de estado estable, pero que se descartan debido a la falta de recursos.

Espalda con espalda: A partir del estado inactivo, se envía un número significativo de tramas de longitud fija a una velocidad de transmisión que alcanza el límite de intervalo legal mínimo del medio de transmisión. El número de tramas enviadas cuando hay una pérdida de la primera trama.

Conexiones de navegador simultáneas: el número máximo de conexiones simultáneas que se pueden establecer entre hosts que pasan el cortafuegos o entre un host y el cortafuegos.

8. La limitación del cortafuegos

Aunque el cortafuegos es una instalación básica para proteger la seguridad de la red, también tiene algunas amenazas de seguridad que no son fáciles de prevenir: en primer lugar, el cortafuegos no puede prevenir ataques que no pasen a través del cortafuegos o que no pasen por alto el cortafuegos. Por ejemplo, algunos usuarios pueden formar una conexión directa a Internet si se les permite llamar desde dentro de la red protegida. Los cortafuegos se basan en métodos de detección y bloqueo de la información del encabezado de los paquetes, principalmente el control de acceso de los servicios proporcionados o solicitados por los hosts, y no pueden bloquear el tráfico dañino que fluye a través de los puertos abiertos, y no son una solución para los gusanos o los ataques de piratería. Además, es difícil para los cortafuegos evitar ataques o abusos desde dentro de la red.