logo

TechCodeview

Užkardos įdiegimas kompiuterių tinkle

Ugniasienė yra tinklo saugos įrenginys, kuris apsaugo nuo neteisėtos prieigos prie tinklo. Jis stebi tiek įeinantį, tiek išeinantį srautą naudodamas iš anksto nustatytą saugos rinkinį, kad aptiktų ir užkirstų kelią grėsmėms.

java klasės pavyzdys

Kas yra ugniasienė?

Ugniasienė yra aparatinės arba programinės įrangos tinklo saugos įrenginys, kuris stebi visą įeinantį ir išeinantį srautą ir pagal apibrėžtą saugos taisyklių rinkinį priima, atmeta arba atmeta tą konkretų srautą.



  • Priimti: leisti eismą
  • Atmesti: blokuoti srautą, bet atsakyti pateikdami nepasiekiamą klaidą
  • Numesti: blokuoti eismą be atsakymo

Ugniasienė yra tinklo saugos įrenginio tipas, kuris filtruoja įeinantį ir išeinantį tinklo srautą pagal saugos politiką, kuri anksčiau buvo nustatyta organizacijoje. Ugniasienė iš esmės yra siena, atskirianti privatų vidinį tinklą nuo atvirojo interneto pačiame pagrindiniame lygmenyje.

Ugniasienė

Istorija ir ugniasienės poreikis

Prieš ugniasienės tinklo saugumą užtikrino prieigos valdymo sąrašai (ACL), esantys maršrutizatoriuose. ACL yra taisyklės, nustatančios, ar prieiga prie tinklo turi būti suteikta konkrečiam IP adresui, ar uždrausta. Tačiau ACL negali nustatyti blokuojamo paketo pobūdžio. Be to, vien ACL negali apsaugoti nuo tinklo grėsmių. Taigi buvo pristatyta ugniasienė. Prisijungimas prie interneto organizacijoms nebeprivalomas. Tačiau prieiga prie interneto organizacijai teikia naudos; tai taip pat leidžia išoriniam pasauliui sąveikauti su vidiniu organizacijos tinklu. Tai kelia grėsmę organizacijai. Norint apsaugoti vidinį tinklą nuo neteisėto srauto, mums reikia ugniasienės.



Ugniasienės veikimas

Ugniasienė suderina tinklo srautą su taisyklių rinkiniu, apibrėžtu jos lentelėje. Kai taisyklė atitinka, susiejimo veiksmas taikomas tinklo srautui. Pavyzdžiui, Taisyklės apibrėžiamos taip, kad bet kuris personalo skyriaus darbuotojas negali pasiekti duomenų iš kodų serverio ir tuo pat metu yra apibrėžta kita taisyklė, pvz., sistemos administratorius gali pasiekti duomenis tiek iš žmogiškųjų išteklių, tiek iš techninio skyriaus. Taisyklės gali būti nustatytos užkardoje, atsižvelgiant į organizacijos būtinybę ir saugumo politiką. Žiūrint iš serverio perspektyvos, tinklo srautas gali būti tiek išeinantis, tiek įeinantis.

Abiem atvejais ugniasienė palaiko atskiras taisykles. Dažniausiai buvo leidžiamas išeinantis srautas, kilęs iš paties serverio. Vis dėlto, norint užtikrinti didesnį saugumą ir išvengti nepageidaujamo ryšio, visada geriau nustatyti išeinančio srauto taisyklę. Įeinantis srautas traktuojamas skirtingai. Didžioji dalis srauto, pasiekiančio ugniasienę, yra vienas iš šių trijų pagrindinių transporto sluoksnio protokolų – TCP, UDP arba ICMP. Visi šie tipai turi šaltinio adresą ir paskirties adresą. Be to, TCP ir UDP turi prievadų numerius. ICMP naudoja tipo kodas vietoj prievado numerio, kuris identifikuoja to paketo paskirtį.

Numatytoji politika: Labai sunku aiškiai aprėpti visas įmanomas ugniasienės taisykles. Dėl šios priežasties ugniasienė visada turi turėti numatytąją politiką. Numatytąją politiką sudaro tik veiksmas (priimti, atmesti arba atsisakyti). Tarkime, kad ugniasienėje nėra apibrėžta SSH ryšio su serveriu taisyklė. Taigi, jis laikysis numatytosios politikos. Jei nustatyta numatytoji ugniasienės politika priimti , tada bet kuris kompiuteris, esantis už biuro ribų, gali užmegzti SSH ryšį su serveriu. Todėl nustatant numatytąją politiką kaip lašas (arba atmesti) visada yra gera praktika.



Ugniasienės tipai

Ugniasienės gali būti skirstomos į kategorijas pagal jų kartos.

1. Paketų filtravimo ugniasienė

Paketų filtravimo užkarda naudojama prieigai prie tinklo valdyti, stebint išeinančius ir įeinančius paketus ir leidžiant juos perduoti arba sustabdyti pagal šaltinio ir paskirties IP adresą, protokolus ir prievadus. Jis analizuoja srautą transportavimo protokolo lygmenyje (tačiau daugiausia naudoja pirmuosius 3 sluoksnius). Paketų ugniasienės kiekvieną paketą apdoroja atskirai. Jie negali pasakyti, ar paketas yra esamo srauto dalis. Tik ji gali leisti arba uždrausti paketus pagal unikalias paketų antraštes. Paketų filtravimo užkarda palaiko filtravimo lentelę, kuri nusprendžia, ar paketas bus persiųstas, ar atmestas. Iš pateiktos filtravimo lentelės paketai bus filtruojami pagal šias taisykles:

Paketų filtro ugniasienė

  • Įeinantys paketai iš tinklo 192.168.21.0 blokuojami.
  • Įeinantys paketai, skirti vidiniam TELNET serveriui (23 prievadas), blokuojami.
  • Įeinantys paketai, skirti pagrindiniam kompiuteriui 192.168.21.3, blokuojami.
  • Leidžiamos visos gerai žinomos paslaugos tinklui 192.168.21.0.

2. Stateful Inspection Firewall

Būsenos užkardos (atlieka būsenos paketų patikrinimą) gali nustatyti paketo ryšio būseną, skirtingai nei paketų filtravimo užkarda, todėl ji yra efektyvesnė. Jis seka per jį keliaujančio tinklo ryšio, pvz., TCP srautų, būseną. Taigi filtravimo sprendimai būtų pagrįsti ne tik apibrėžtomis taisyklėmis, bet ir paketo istorija būsenos lentelėje.

3. Programinės įrangos ugniasienė

Programinės įrangos ugniasienė yra bet kokia užkarda, nustatyta vietoje arba debesies serveryje. Kalbant apie duomenų paketų įplaukimo ir ištekėjimo valdymą ir tinklų, kurie gali būti susieti su vienu įrenginiu, skaičių, jie gali būti patys naudingiausi. Tačiau programinės įrangos ugniasienės problema yra ta, kad jos užima daug laiko.

4. Aparatinės įrangos ugniasienė

Jie taip pat vadinami ugniasienėmis, pagrįstomis fiziniais prietaisais. Tai garantuoja, kad kenkėjiški duomenys bus sustabdyti, kol jie pasiekia tinklo galinį tašką, kuriam gresia pavojus.

5. Application Layer Firewall

Taikomojo sluoksnio ugniasienė gali tikrinti ir filtruoti paketus bet kuriame OSI sluoksnyje, iki programos sluoksnio. Jis turi galimybę blokuoti konkretų turinį, taip pat atpažinti, kai tam tikros programos ir protokolai (pvz., HTTP, FTP) naudojami netinkamai. Kitaip tariant, taikomųjų programų lygmens ugniasienės yra pagrindiniai kompiuteriai, kuriuose veikia tarpiniai serveriai. Tarpinio serverio ugniasienė apsaugo nuo tiesioginio ryšio tarp abiejų ugniasienės pusių, kiekvienas paketas turi praeiti pro tarpinį serverį.

6. Naujos kartos ugniasienės (NGFW)

NGFW sudaro gilus paketų tikrinimas, taikomųjų programų tikrinimas, SSL/SSH tikrinimas ir daugybė funkcijų, skirtų apsaugoti tinklą nuo šių šiuolaikinių grėsmių.

7. Tarpinio serverio užkarda

Tokio tipo ugniasienė filtruoja ryšius programos lygmenyje ir apsaugo tinklą. Tarpinio serverio ugniasienė veikia kaip vartai tarp dviejų tam tikros programos tinklų.

8. Circuit Level Gateway ugniasienė

Tai veikia kaip OSI modelio seansų sluoksnis. Tai leidžia vienu metu nustatyti du perdavimo valdymo protokolo (TCP) ryšius. Jis gali be vargo leisti duomenų paketams tekėti nenaudojant daug skaičiavimo galios. Šios ugniasienės yra neveiksmingos, nes netikrina duomenų paketų; jei duomenų pakete randama kenkėjiškų programų, jie leis jai perduoti, jei bus tinkamai užmegzti TCP ryšiai.

Ugniasienės funkcijos

  • Kiekvienas duomenų fragmentas, įeinantis į kompiuterių tinklą arba iš jo išeinantis, turi patekti per ugniasienę.
  • Jei duomenų paketai saugiai nukreipiami per užkardą, visi svarbūs duomenys lieka nepažeisti.
  • Ugniasienė registruoja kiekvieną per jį praeinantį duomenų paketą, todėl vartotojas gali sekti visą tinklo veiklą.
  • Kadangi duomenys saugiai saugomi duomenų paketuose, jų keisti negalima.
  • Kiekvieną bandymą prisijungti prie mūsų operacinės sistemos tikrina užkarda, kuri taip pat blokuoja srautą iš nenustatytų ar nepageidaujamų šaltinių.

Ugniasienės naudojimo pranašumai

  • Apsauga nuo neteisėtos prieigos: Užkardas gali būti nustatytos, kad apribotų įeinantį srautą iš tam tikrų IP adresų ar tinklų, neleidžiant įsilaužėliams ar kitiems kenkėjiškiems veikėjams lengvai pasiekti tinklą ar sistemą. Apsauga nuo nepageidaujamos prieigos.
  • Kenkėjiškų programų ir kitų grėsmių prevencija: Kenkėjiškų programų ir kitų grėsmių prevencija: ugniasienės gali būti nustatytos blokuoti srautą, susijusį su žinomomis kenkėjiškomis programomis ar kitais saugumo klausimais, padedant apsisaugoti nuo tokio pobūdžio atakų.
  • Prieigos prie tinklo valdymas: Apribojant konkrečių serverių ar programų prieigą tam tikriems asmenims ar grupėms, ugniasienės gali būti naudojamos apriboti prieigą prie tam tikrų tinklo išteklių ar paslaugų.
  • Tinklo veiklos stebėjimas: Užkardas gali būti nustatytos taip, kad registruotų ir sektų visą tinklo veiklą.
  • Reglamento laikymasis: Daugelis pramonės šakų yra saistomos taisyklių, reikalaujančių naudoti ugniasienes ar kitas saugos priemones.
  • Tinklo segmentavimas: Naudojant ugniasienes didesniam tinklui padalinti į mažesnius potinklius, atakos paviršius sumažinamas ir saugumo lygis pakeliamas.

Ugniasienės naudojimo trūkumai

  • Sudėtingumas: Užkardos nustatymas ir palaikymas gali užtrukti ir būti sudėtingas, ypač didesniems tinklams arba įmonėms, turinčioms daug įvairių vartotojų ir įrenginių.
  • Ribotas matomumas: Užkardos gali nesugebėti nustatyti arba sustabdyti saugos rizikos, kuri veikia kituose lygmenyse, pvz., programos arba galutinio taško lygiu, nes jos gali stebėti ir valdyti srautą tik tinklo lygiu.
  • Klaidingas saugumo jausmas: Kai kurios įmonės gali pernelyg pasikliauti savo užkarda ir nepaisyti kitų svarbių saugos priemonių, pvz., galinio taško saugumo ar įsibrovimo aptikimo sistemų.
  • Ribotas prisitaikymas: Kadangi ugniasienės dažnai yra pagrįstos taisyklėmis, jos gali nesugebėti reaguoti į naujas saugumo grėsmes.
  • Našumo poveikis: Tinklo našumą gali labai paveikti ugniasienės, ypač jei jos nustatytos analizuoti arba valdyti didelį srautą.
  • Ribotas mastelio keitimas: Kadangi ugniasienės gali apsaugoti tik vieną tinklą, kelis tinklus turinčios įmonės turi įdiegti daug užkardų, o tai gali būti brangu.
  • Ribotas VPN palaikymas: Kai kurios užkardos gali neleisti naudoti sudėtingų VPN funkcijų, tokių kaip padalintas tunelis, o tai gali apriboti nuotolinio darbuotojo patirtį.
  • Kaina: Daugelio įrenginių ar užkardos sistemos papildomų funkcijų įsigijimas gali būti brangus, ypač įmonėms.

Praktinis klausimas

Klausimas: Paketų filtravimo užkarda gali [ISRO CS 2013]

(A) Neleiskite tam tikriems vartotojams naudotis paslauga

(B) Blokuokite kirminų ir virusų patekimą į tinklą

(C) Neleisti pasiekti kai kurių failų per FTP

(D) Užblokuokite kai kuriuos pagrindinius kompiuterius, kad jie negalėtų prisijungti prie tinklo

Atsakymas: variantas (D)

Norėdami gauti daugiau informacijos, galite kreiptis ISRO | ISRO CS 2013 | 44 klausimas paskelbta viktorina.

Dažnai užduodami klausimai apie ugniasienes – DUK

Ar užkarda gali sulėtinti tinklo greitį?

Taip, tinklo greitį gali sulėtinti ugniasienė.

Kaip užkarda sustabdo eismą?

Užkarda veikia kaip nuolatinis filtras, analizuojantis gaunamus duomenis ir blokuojantis viską, kas atrodo įtartina, kad nepatektų į tinklą, kad apsaugotų sistemą.

Ar ugniasienės gali sustabdyti kirminus?

Taip, ugniasienės įdiegimas padeda apsaugoti nuo kirminų ir kenkėjiškos programinės įrangos užkrėsti kompiuterį, be to, blokuoja nepageidaujamą srautą.