Что такое Брандмауэр?

1. Концепция брандмауэра

Брандмауэр, также известный как защитная стена, был изобретен основателем Check Point Джилом Шведом в 1993 году и представлен в международном Интернете (US5606668(A) 1993-12-15). Это система сетевой безопасности, которая находится между внутренней сетью и внешней сетью.

Это система защиты информации, которая разрешает или ограничивает прохождение передаваемых данных по определенным правилам.

В сетевом мире брандмауэр фильтрует коммуникационные пакеты, содержащие коммуникационные данные. В сети «брандмауэр» относится к методу отделения интрасети от сети общего доступа (Интернет), который фактически является технологией изоляции. Брандмауэр — это масштаб контроля доступа, реализуемый при взаимодействии двух сетей, который позволяет людям и данным, с которыми вы «согласны», входить в вашу сеть, сохраняя при этом людей и данные, с которыми вы «не согласны», максимально повышая вероятность предотвращения хакеров в сети. от доступа к вашей сети. Другими словами, если вы не пройдете через брандмауэр, люди внутри вашей компании не смогут получить доступ к Интернету, а другие пользователи Интернета не смогут общаться с людьми внутри вашей компании.

 

2. История брандмауэра

С момента своего рождения брандмауэр прошел четыре этапа развития.

• Брандмауэр на основе маршрутизатора
• Индивидуальные наборы инструментов брандмауэра
• Брандмауэр, построенный на операционной системе общего назначения
• Брандмауэр с безопасной операционной системой

В настоящее время распространенными брандмауэрами являются брандмауэры с безопасными операционными системами, такими как NETEYE, NETSCREEN, TALENTIT и т. д.

3. Типы брандмауэров

Брандмауэр сетевого уровня

Брандмауэр сетевого уровня можно рассматривать как фильтр IP-пакетов, работающий на базовом стеке протоколов TCP/IP. Его можно перечислить, чтобы пропускать только те пакеты, которые соответствуют определенным правилам, в то время как остальным запрещается проходить через брандмауэр (за исключением вирусов, которые невозможно предотвратить). Эти правила обычно могут быть определены или изменены администратором, хотя некоторые устройства брандмауэра могут применять только встроенные правила.

Брандмауэр приложений

Брандмауэр приложений работает на «прикладном уровне» стека TCP/IP, к которому относятся потоки данных, генерируемые вами при использовании браузера или FTP. Брандмауэр прикладного уровня перехватывает все пакеты, входящие и исходящие от приложения, и блокирует другие (обычно просто отбрасывая их). Теоретически этот тип брандмауэра может полностью блокировать поток данных извне на защищаемую машину.

Брандмауэр базы данных

Брандмауэр базы данных — это система безопасности базы данных, основанная на технологии анализа и контроля протоколов базы данных. Основанный на механизме активной защиты, он реализует доступ к базе данных и контроль поведения, блокировку опасных операций и аудит подозрительного поведения. Благодаря анализу протокола SQL брандмауэр базы данных разрешает прохождение легальных операций SQL и блокирует незаконные и несоответствующие операции в соответствии с предопределенными политиками запретов и разрешений, формируя периферийный круг защиты базы данных и реализуя активное предотвращение и аудит опасного SQL в реальном времени. операции. Брандмауэр базы данных обеспечивает запрет SQL-инъекций и функцию пакета виртуальных исправлений базы данных перед лицом вторжения извне.

4. Линукс Fирвалl

Брандмауэры Linux очень полезны в корпоративных приложениях, примеры следующие.

• Малые и средние предприятия и интернет-кафе используют iptables в качестве NAT-маршрутизатора, который можно использовать для замены традиционных маршрутизаторов для экономии средств.
• Серверные IDC обычно не имеют аппаратных брандмауэров, а серверы в IDC серверные комнаты могут использовать брандмауэры Linux вместо аппаратных брандмауэров.
• iptables в сочетании со squid можно использовать в качестве прозрачного прокси для внутреннего доступа в Интернет. Традиционные прокси требуют настройки информации о прокси-сервере в браузере, в то время как прозрачный прокси iptables + squid может перенаправить запрос клиента на порт прокси-сервера. Клиент не должен производить никаких настроек и не чувствует присутствия прокси.
• При использовании iptables в качестве корпоративного NAT-маршрутизатора вы можете использовать расширение iptables для блокировки трафика P2P, а также для блокировки нелегальных веб-страниц.
• iptables можно использовать для сопоставления внешнего IP-адреса с внутренним IP-адресом.
• Iptables может легко предотвратить легкие DOS-атаки, такие как ping-атаки и SYN-флуд.
• Таким образом, Iptables имеет два режима приложения: хост-брандмауэр и маршрутизатор NAT.

 

5. Основной принцип брандмауэра

В соответствии с потоком передачи байтов на рисунке ниже его можно разделить на следующие слои:

• Фильтрация пакетов: работает на сетевом уровне, определяет, разрешать ли пакеты проходить или нет, основываясь только на IP-адресе, номере порта, типе протокола и других флагах в заголовке пакета.
• Прокси приложения: работает на уровне приложения и, создавая различные прокси приложения, реализует обнаружение и анализ данных уровня приложения.
• Stateful Inspection: работает на уровнях 2–4, управление доступом такое же, как и 1, но объектом обработки является не отдельный пакет, а все соединение, через таблицу правил и таблицу состояния соединения, всестороннее суждение о том, разрешить ли пакет пройти.
• Полная проверка содержимого: работает на уровнях 2–7, она не только анализирует информацию о заголовках пакетов и информацию о состоянии, но также восстанавливает и анализирует содержимое протоколов прикладного уровня для эффективного предотвращения гибридных угроз безопасности.

6. Netfilter и iptables

Netfilter — это структура брандмауэра ядра Linux 2.4, предложенная Расти Расселом, которая одновременно проста и гибка и может реализовывать множество функций в приложениях стратегии безопасности. Например, фильтрация пакетов, обработка пакетов, маскировка IP-адресов, прозрачный прокси-сервер, динамическая трансляция сетевых адресов (NAT), а также фильтрация на основе адресов пользователей и управления доступом к среде (MAC) и фильтрация на основе состояния, ограничение скорости передачи пакетов и т. д. правила Iptables/Netfilter можно гибко комбинировать, формируя очень большое количество функций и охватывая различные аспекты, и все это благодаря отличным дизайнерским идеям. Систему фильтрации пакетов Netfilter/Iptables можно рассматривать как единое целое, используя netfilter как реализацию модуля ядра, а iptables как инструмент для операций верхнего уровня. Без строгого различия в Linux и netfilter, и iptables можно рассматривать как относящиеся к брандмауэру Linux. Фактически, Iptables — это инструмент, который управляет фильтрацией пакетов ядра и может использоваться для настройки правил в форме фильтрации пакетов ядра. Он работает в пользовательском пространстве.

 

Разница в том, что netfilter — это новый механизм фильтрации пакетов, представленный в ядре Linux 2.4, называемый Netfilter, который относится к внутренней структуре брандмауэра фильтрации пакетов в ядре Linux, а не в виде программ или файлов, и относится к «состоянию ядра». система функций брандмауэра. iptables относится к командной программе, используемой для управления брандмауэром Linux, обычно расположенной в /sbin/iptables, которая является частью системы управления брандмауэром «состояние пользователя». iptables — это инструмент, который управляет Netfilter, старшим братом команды ipchains в ядре Linux 2.2. Iptables — это инструмент, который управляет Netfilter и является старшим братом команды ipchains в ядре Linux 2.2.

Правила, установленные Netfilter, хранятся в памяти ядра, а iptables — это приложение уровня приложения, которое изменяет XXtables (таблицу конфигурации Netfilter), хранящуюся в памяти ядра, через интерфейс, созданный Netfilter. Эти XXtables состоят из таблиц, цепочек и правил. iptables отвечает за изменение этого файла правил на прикладном уровне. firewalld похож на него.

Какая связь между iptables и netfilter?

Многие сразу думают об iptables как о брандмауэре, но на самом деле iptables — это не брандмауэр, а просто программа или инструмент, который может писать определенные правила и сохранять записанные правила в базе данных правил netfilter. Поэтому настоящая «противопожарная защита» — это Netfilter, а не iptables. netfilter — это фреймворк в ядре, который содержит четыре таблицы и пять цепочек, и эти цепочки содержат множество правил. Правила, с которыми сравниваются пакеты, являются правилами, определенными в этой цепочке.

В дальнейшем мы будем называть брандмауэр Linux iptables.

7. Производительность брандмауэра

Увеличить пропускную способность: этот показатель напрямую влияет на производительность сети.

Задержка: временной интервал между поступлением последнего бита входного кадра на входе и выводом первого бита выходного кадра на выходе.

Скорость потери пакетов: процент кадров, которые должны передаваться сетевыми устройствами при постоянной нагрузке, но отбрасываются из-за нехватки ресурсов.

Спина к спине: Начиная с состояния ожидания, значительное количество кадров фиксированной длины отправляется со скоростью передачи, которая достигает минимально допустимого предела интервала среды передачи. Количество кадров, отправленных при потере первого кадра.

Одновременные подключения к браузеру: максимальное количество одновременных подключений, которое может быть установлено между хостами, проходящими брандмауэр, или между хостом и брандмауэром.

8. Ограничение брандмауэра

Хотя брандмауэр является основным средством защиты сетевой безопасности, он также имеет некоторые угрозы безопасности, которые нелегко предотвратить: во-первых, брандмауэр не может предотвратить атаки, которые не проходят через брандмауэр или не обходят его. Например, некоторые пользователи могут установить прямое подключение к Интернету, если им разрешено совершать звонки из защищенной сети. Брандмауэры основаны на методах обнаружения и блокировки информации в заголовках пакетов, в основном на контроле доступа к службам, предоставляемым или запрашиваемым хостами, и не могут блокировать вредоносный трафик, проходящий через открытые порты, и не являются решением для червей или хакерских атак. Кроме того, брандмауэрам сложно предотвратить атаки или злоупотребления внутри сети.