O que é Firewall?

1. O conceito de firewall

O firewall, também conhecido como parede de proteção, foi inventado pelo fundador da Check Point, Gil Shwed, em 1993 e introduzido na Internet internacional (US5606668(A) 1993-12-15). É um sistema de segurança de rede que fica entre a rede interna e a rede externa.

É um sistema de proteção de segurança da informação que permite ou restringe a passagem de dados transmitidos de acordo com regras específicas.

No mundo das redes, são os pacotes de comunicação que transportam os dados de comunicação que são filtrados pelo firewall. Na rede, o “firewall” refere-se a um método de separação da intranet da rede de acesso público (a Internet), que na verdade é uma tecnologia de isolamento. Um firewall é uma escala de controle de acesso implementada quando duas redes se comunicam, que permite que pessoas e dados com os quais você “concorde” entrem em sua rede, mantendo pessoas e dados com os quais você “discorda” de fora, maximizando a chance de prevenir hackers na rede. de acessar sua rede. Em outras palavras, se você não usar o firewall, as pessoas dentro de sua empresa não poderão acessar a Internet e outras na Internet não poderão se comunicar com pessoas dentro de sua empresa.

 

2. A história do firewall

Desde o seu nascimento, o firewall passou por quatro estágios de desenvolvimento.

• Firewall baseado no roteador
• Conjuntos de ferramentas de firewall personalizados
• Firewall construído em sistema operacional de uso geral
• Firewall com um sistema operacional seguro

Os firewalls comuns agora são firewalls com sistemas operacionais seguros, como NETEYE, NETSCREEN, TALENTIT, etc.

3. Os tipos de firewall

Firewall de nível de rede

Um firewall em nível de rede pode ser considerado como um filtro de pacotes IP que opera na pilha de protocolos TCP/IP subjacente. Ele pode ser enumerado para permitir que apenas pacotes que correspondam a determinadas regras passem, enquanto o restante é proibido de passar pelo firewall (exceto vírus, que não podem ser evitados). Essas regras geralmente podem ser definidas ou modificadas pelo administrador, embora alguns dispositivos de firewall possam aplicar apenas as regras internas.

Firewall de aplicativo

O firewall do aplicativo opera na “camada de aplicativo” da pilha TCP/IP, onde pertencem os fluxos de dados que você gera ao usar um navegador ou ao usar o FTP. Um firewall de camada de aplicativo intercepta todos os pacotes de e para um aplicativo e bloqueia outros (geralmente simplesmente descartando-os). Em teoria, esse tipo de firewall pode bloquear completamente o fluxo de dados de fora para a máquina protegida.

Firewall de banco de dados

Um firewall de banco de dados é um sistema de segurança de banco de dados baseado em análise de protocolo de banco de dados e tecnologia de controle. Com base em um mecanismo de defesa ativo, ele realiza acesso ao banco de dados e controle de comportamento, bloqueio de operações perigosas e auditoria de comportamento suspeito. Por meio da análise do protocolo SQL, o firewall do banco de dados permite a passagem de operações SQL legais e bloqueia operações ilegais e não conformes de acordo com políticas de proibição e permissão predefinidas, formando o círculo de defesa periférica do banco de dados e realizando prevenção ativa e auditoria em tempo real de SQL perigoso operações. O firewall de banco de dados fornece proibição de injeção de SQL e função de pacote de patch virtual de banco de dados em face da invasão externa.

4.Linux Freall

Os firewalls do Linux são muito úteis em aplicativos corporativos, os exemplos são os seguintes.

• Pequenas e médias empresas e cibercafés têm o iptables como roteador NAT, que pode ser usado para substituir os roteadores tradicionais para economizar custos.
• As salas de servidores IDC geralmente não possuem firewalls de hardware e servidores em IDC salas de servidores podem usar firewalls Linux em vez de firewalls de hardware.
• O iptables combinado com o squid pode ser usado como um proxy transparente para acesso interno à Internet. Os proxies tradicionais precisam configurar as informações do servidor proxy no navegador, enquanto o proxy transparente iptables + squid pode redirecionar a solicitação do cliente para a porta do servidor proxy. O cliente não precisa fazer nenhuma configuração e não sente a presença do proxy.
• Ao usar o iptables como um roteador NAT corporativo, você pode usar a extensão iptables para bloquear o tráfego P2P e também bloquear páginas da web ilegais.
• iptables pode ser usado para mapear IP externo para IP interno.
• O Iptables pode prevenir facilmente ataques leves de DOS, como ataques de ping e inundação de SYN.
• Em resumo, o Iptables possui dois modos de aplicação: firewall de host e roteador NAT.

 

5. O princípio básico do firewall

Correspondendo ao fluxo de transmissão de bytes na figura abaixo, ele pode ser dividido nas seguintes camadas:

• Filtragem de pacotes: funciona na camada de rede, determina se permite ou não a passagem de pacotes com base apenas no endereço IP, número da porta, tipo de protocolo e outros sinalizadores no cabeçalho do pacote.
• Application Proxy: funciona na camada de aplicação e, escrevendo diferentes proxies de aplicação, realiza a detecção e análise dos dados da camada de aplicação.
• Stateful Inspection: funciona na camada 2 ~ 4, o controle de acesso é o mesmo que 1, mas o objeto de processamento não é um único pacote, mas toda a conexão, através da tabela de regras e da tabela de status de conexão, julgamento abrangente sobre permitir o pacote passar.
• Inspeção de conteúdo completa: funciona nas camadas 2 a 7, não apenas analisa as informações do cabeçalho do pacote e as informações de status, mas também restaura e analisa o conteúdo dos protocolos da camada de aplicação para prevenir efetivamente ameaças de segurança híbridas.

6. Netfilter e iptables

Netfilter é uma estrutura de firewall de kernel Linux 2.4 proposta por Rusty Russell, que é simples e flexível e pode implementar muitas funções em aplicativos de estratégia de segurança. Como filtragem de pacotes, processamento de pacotes, mascaramento de ip, proxy transparente, tradução dinâmica de endereços de rede (NAT), bem como filtragem baseada em endereço de usuário e controle de acesso de mídia (MAC) e filtragem baseada em estado, limitação de taxa de pacote, etc. As regras do Iptables/Netfilter podem ser combinadas de forma flexível para formar um grande número de funções e abranger vários aspectos, tudo graças às suas excelentes ideias de design. O sistema de filtragem de pacotes Netfilter/Iptables pode ser tratado como um todo, com o netfilter como uma implementação do módulo do kernel e o iptables como uma ferramenta para operações de nível superior. Sem uma distinção estrita, no Linux, tanto o netfilter quanto o iptables podem ser considerados como referência ao firewall do Linux. Na verdade, o Iptables é uma ferramenta que gerencia a filtragem de pacotes do kernel e pode ser usada para configurar regras no formulário de filtragem de pacotes do kernel. Ele é executado no espaço do usuário.

 

A diferença é que netfilter é um novo mecanismo de filtragem de pacotes introduzido no kernel Linux 2.4, chamado Netfilter, que se refere à estrutura interna do firewall de filtragem de pacotes no kernel Linux, não na forma de programas ou arquivos, e pertence ao “estado do kernel” sistema de função de firewall. iptables refere-se ao programa de comando usado para gerenciar o firewall do Linux, geralmente localizado em /sbin/iptables, que faz parte do sistema de gerenciamento de firewall do “estado do usuário”. iptables é a ferramenta que controla o Netfilter, o irmão mais velho do comando ipchains no kernel Linux 2.2. O iptables é a ferramenta que controla o Netfilter e é o irmão mais velho do comando ipchains no kernel Linux 2.2.

As regras definidas pelo Netfilter são armazenadas na memória do kernel, enquanto o iptables é uma aplicação em nível de aplicação que modifica as XXtables (tabela de configuração do Netfilter) armazenadas na memória do kernel através da interface colocada pelo Netfilter. Essas XXtables consistem em tabelas, chains e regras. O iptables é responsável por modificar este arquivo de regras na camada de aplicação. firewalld é semelhante a ele.

Qual é a conexão entre o iptables e o netfilter?

Muitas pessoas pensam imediatamente no iptables como um firewall, mas na verdade o iptables não é um firewall, é apenas um software ou uma ferramenta que pode escrever certas regras e salvar as regras escritas no banco de dados de regras do netfilter. Portanto, a verdadeira “prevenção de incêndio” é o Netfilter, não o iptables. netfilter é um framework no kernel, que contém quatro tabelas e cinco chains, e essas chains contêm muitas regras. As regras com as quais os pacotes são comparados são as regras definidas nesta cadeia.

A seguir, nos referiremos ao firewall do Linux como iptables.

7. O desempenho do firewall

Produtividade: essa métrica afeta diretamente o desempenho da rede.

Latência: o intervalo de tempo entre a chegada do último bit do quadro de entrada na entrada e a saída do primeiro bit do quadro de saída na saída.

Taxa de perda de pacotes: a porcentagem de quadros que deveriam ser transmitidos por dispositivos de rede sob carga de estado estável, mas são descartados devido à falta de recursos.

Costas a costas: A partir do estado ocioso, um número significativo de quadros de comprimento fixo é enviado a uma taxa de transmissão que atinge o limite mínimo de intervalo legal do meio de transmissão. O número de quadros enviados quando há perda do primeiro quadro.

Conexões de navegador simultâneas: O número máximo de conexões simultâneas que podem ser estabelecidas entre hosts que passam pelo firewall ou entre um host e o firewall.

8. A limitação do firewall

Embora o firewall seja um recurso básico para proteger a segurança da rede, ele também possui algumas ameaças de segurança que não são fáceis de evitar: em primeiro lugar, o firewall não pode impedir ataques que não passam pelo firewall ou ignoram o firewall. Por exemplo, alguns usuários podem formar uma conexão direta com a Internet se tiverem permissão para discar de dentro da rede protegida. Os firewalls são baseados em métodos de detecção e bloqueio de informações de cabeçalho de pacotes, principalmente controle de acesso de serviços fornecidos ou solicitados por hosts, e não podem bloquear tráfego prejudicial que flui por portas abertas, e não são uma solução para worms ou ataques de hackers. Além disso, é difícil para os firewalls impedirem ataques ou abusos de dentro da rede.