logo

TechCodeview

Palomuurin käyttöönotto tietokoneverkossa

Palomuuri on verkon suojauslaite, joka estää luvattoman pääsyn verkkoon. Se valvoo sekä saapuvaa että lähtevää liikennettä käyttämällä ennalta määritettyä suojaussarjaa uhkien havaitsemiseksi ja estämiseksi.

str.replace javassa

Mikä on palomuuri?

Palomuuri on verkon suojauslaite, joko laitteisto- tai ohjelmistopohjainen, joka valvoo kaikkea saapuvaa ja lähtevää liikennettä ja hyväksyy, hylkää tai katkaisee tietyn liikenteen tiettyjen suojaussääntöjen perusteella.



  • Hyväksyä: salli liikenteen
  • Hylätä: estä liikenne, mutta vastaa tavoittamattomalla virheellä
  • Pudota: estää liikenteen ilman vastausta

Palomuuri on eräänlainen verkon suojauslaite, joka suodattaa saapuvan ja lähtevän verkkoliikenteen suojauskäytännöillä, jotka on aiemmin määritetty organisaation sisällä. Palomuuri on pohjimmiltaan seinä, joka erottaa yksityisen sisäisen verkon avoimesta Internetistä sen perustasolla.

Palomuuri

Palomuurin historia ja tarve

Ennen palomuureja verkon suojauksesta huolehtivat reitittimissä olevat Access Control List (ACL) -luettelot. ACL-luettelot ovat sääntöjä, jotka määrittävät, myönnetäänkö verkkoon pääsy tietylle IP-osoitteelle vai kielletäänkö se. Mutta ACL:t eivät voi määrittää estävän paketin luonnetta. Myöskään ACL ei yksin pysty pitämään uhkia poissa verkosta. Siksi palomuuri otettiin käyttöön. Internet-yhteys ei ole enää valinnainen organisaatioille. Internetin käyttö tarjoaa kuitenkin etuja organisaatiolle; se mahdollistaa myös ulkomaailman vuorovaikutuksen organisaation sisäisen verkoston kanssa. Tämä muodostaa uhan organisaatiolle. Sisäisen verkon suojaamiseksi luvattomalta liikenteeltä tarvitsemme palomuurin.



Palomuurin toiminta

Palomuuri vastaa verkkoliikenteen taulukossa määritettyä sääntöjoukkoa. Kun sääntö on täsmäänyt, liitännäistoimintoa sovelletaan verkkoliikenteeseen. Säännöt määritellään esimerkiksi siten, että kuka tahansa henkilöstöosaston työntekijä ei pääse käsiksi koodipalvelimen tietoihin ja samaan aikaan on määritelty toinen sääntö, kuten järjestelmänvalvoja voi käyttää tietoja sekä henkilöstöhallinnosta että teknisestä osasta. Säännöt voidaan määritellä palomuurissa organisaation tarpeiden ja turvallisuuskäytäntöjen perusteella. Palvelimen näkökulmasta verkkoliikenne voi olla joko lähtevää tai saapuvaa.

Palomuuri ylläpitää erilliset säännöt molemmissa tapauksissa. Enimmäkseen itse palvelimelta peräisin olevan lähtevän liikenteen sallittiin kulkea. Lähtevän liikenteen säännön asettaminen on kuitenkin aina parempi turvallisuuden lisäämiseksi ja ei-toivotun viestinnän estämiseksi. Saapuvaa liikennettä kohdellaan eri tavalla. Suurin osa palomuuriin saapuvasta liikenteestä on yksi näistä kolmesta tärkeimmistä Transport Layer -protokollasta - TCP, UDP tai ICMP. Kaikilla näillä tyypeillä on lähdeosoite ja kohdeosoite. Myös TCP:llä ja UDP:llä on porttinumerot. ICMP käyttää tyyppikoodi porttinumeron sijaan, joka tunnistaa kyseisen paketin tarkoituksen.

Oletuskäytäntö: On erittäin vaikeaa kattaa tarkasti kaikki mahdolliset palomuurin säännöt. Tästä syystä palomuurilla on aina oltava oletuskäytäntö. Oletuskäytäntö koostuu vain toimista (hyväksy, hylkää tai pudota). Oletetaan, että palomuurin SSH-yhteydelle palvelimeen ei ole määritetty sääntöä. Joten se noudattaa oletuskäytäntöä. Jos palomuurin oletuskäytäntö on asetettu arvoon hyväksyä , mikä tahansa toimistosi ulkopuolella oleva tietokone voi muodostaa SSH-yhteyden palvelimeen. Siksi oletuskäytännöksi asetetaan pudota (tai hylkääminen) on aina hyvä käytäntö.



Palomuurityypit

Palomuurit voidaan luokitella niiden sukupolven mukaan.

1. Pakettisuodatuspalomuuri

Pakettisuodatuspalomuuria käytetään valvomaan verkkoon pääsyä valvomalla lähteviä ja saapuvia paketteja ja sallimalla niiden kulkea tai pysähtyä lähteen ja kohteen IP-osoitteen, protokollien ja porttien perusteella. Se analysoi liikennettä siirtoprotokollakerroksessa (mutta käyttää pääasiassa kolmea ensimmäistä kerrosta). Pakettipalomuurit käsittelevät jokaista pakettia erillään. He eivät pysty kertomaan, onko paketti osa olemassa olevaa liikennevirtaa. Vain Se voi sallia tai kieltää paketit yksilöllisten pakettiotsikoiden perusteella. Pakettisuodatuspalomuuri ylläpitää suodatustaulukkoa, joka päättää, lähetetäänkö paketti edelleen vai hylätäänkö se. Annetusta suodatustaulukosta paketit suodatetaan seuraavien sääntöjen mukaan:

Pakettisuodattimen palomuuri

  • Verkosta 192.168.21.0 saapuvat paketit estetään.
  • Sisäiselle TELNET-palvelimelle (portti 23) tarkoitetut saapuvat paketit estetään.
  • Isännälle 192.168.21.3 tarkoitetut saapuvat paketit estetään.
  • Kaikki tunnetut palvelut verkkoon 192.168.21.0 ovat sallittuja.

2. Stateful Inspection Firewall

Tilalliset palomuurit (suorittavat Stateful Packet Inspectionin) pystyvät määrittämään paketin yhteyden tilan, toisin kuin pakettisuodatuspalomuuri, mikä tekee siitä tehokkaamman. Se seuraa sen yli kulkevien verkkoyhteyksien tilaa, kuten TCP-virtoja. Joten suodatuspäätökset eivät perustuisi vain määriteltyihin sääntöihin, vaan myös paketin historiaan tilataulukossa.

3. Ohjelmisto palomuuri

Ohjelmistopalomuuri on mikä tahansa palomuuri, joka on asennettu paikallisesti tai pilvipalvelimelle. Mitä tulee datapakettien sisään- ja ulosvirtauksen hallintaan ja yhteen laitteeseen linkitettävien verkkojen määrän rajoittamisessa, ne voivat olla edullisimpia. Mutta ohjelmiston palomuurien ongelma on, että ne vievät aikaa.

4. Laitteiston palomuuri

Niitä käytetään myös nimellä palomuurit, jotka perustuvat fyysisiin laitteisiin. Se takaa, että haitalliset tiedot pysäytetään ennen kuin ne saavuttavat vaarassa olevan verkon päätepisteen.

5. Sovelluskerroksen palomuuri

Sovelluskerroksen palomuuri voi tarkastaa ja suodattaa paketit missä tahansa OSI-kerroksessa sovellustasoon asti. Se pystyy estämään tietyn sisällön ja tunnistamaan myös, kun tiettyjä sovelluksia ja protokollia (kuten HTTP, FTP) käytetään väärin. Toisin sanoen sovelluskerroksen palomuurit ovat isäntiä, jotka käyttävät välityspalvelimia. Välityspalvelinpalomuuri estää suoran yhteyden palomuurin kummankin puolen välillä, jokaisen paketin täytyy kulkea välityspalvelimen läpi.

6. Seuraavan sukupolven palomuurit (NGFW)

NGFW sisältää Deep Packet Inspectionin, Application Inspectionin, SSL/SSH-tarkastuksen ja monia toimintoja, jotka suojaavat verkkoa näiltä nykyaikaisilta uhilta.

7. Välityspalvelinpalvelun palomuuri

Tällainen palomuuri suodattaa viestintää sovelluskerroksessa ja suojaa verkkoa. Välityspalvelinpalomuuri toimii yhdyskäytävänä kahden verkon välillä tietylle sovellukselle.

8. Circuit Level Gateway Firewall

Tämä toimii OSI-mallin istunnot-kerroksena. Tämä mahdollistaa kahden TCP (Transmission Control Protocol) -yhteyden määrittämisen samanaikaisesti. Se voi vaivattomasti sallia datapakettien virrata käyttämättä melko paljon laskentatehoa. Nämä palomuurit ovat tehottomia, koska ne eivät tarkasta datapaketteja; Jos tietopaketista löytyy haittaohjelmia, ne sallivat sen kulkea eteenpäin edellyttäen, että TCP-yhteydet on muodostettu oikein.

Palomuurin toiminnot

  • Jokaisen tietokoneverkkoon tulevan tai sieltä poistuvan tiedon on mentävä palomuurin kautta.
  • Jos datapaketit reititetään turvallisesti palomuurin kautta, kaikki tärkeät tiedot säilyvät ennallaan.
  • Palomuuri kirjaa jokaisen sen läpi kulkevan datapaketin lokiin, jolloin käyttäjä voi seurata kaikkia verkon toimintoja.
  • Koska tiedot säilytetään turvallisesti datapakettien sisällä, sitä ei voi muuttaa.
  • Palomuurimme tutkii jokaisen yrityksen päästä käyttöjärjestelmään, joka myös estää liikenteen tunnistamattomista tai ei-toivotuista lähteistä.

Palomuurin käytön edut

  • Suojaus luvattomalta käytöltä: Palomuurit voidaan asettaa rajoittamaan tulevaa liikennettä tietyistä IP-osoitteista tai verkoista, estäen hakkereita tai muita haitallisia toimijoita pääsemästä helposti verkkoon tai järjestelmään. Suojaus ei-toivotulta pääsyltä.
  • Haittaohjelmien ja muiden uhkien estäminen: Haittaohjelmien ja muiden uhkien ehkäisy: Palomuurit voidaan asettaa estämään tunnettuihin haittaohjelmiin tai muihin tietoturvaongelmiin liittyvää liikennettä, mikä auttaa puolustautumaan tällaisia ​​hyökkäyksiä vastaan.
  • Verkkoon pääsyn hallinta: Rajoittamalla pääsy tiettyihin henkilöihin tai ryhmiin tiettyjä palvelimia tai sovelluksia varten, palomuuria voidaan käyttää rajoittamaan pääsyä tiettyihin verkkoresursseihin tai -palveluihin.
  • Verkkotoiminnan seuranta: Palomuurit voidaan asettaa tallentamaan ja pitämään kirjaa kaikesta verkkotoiminnasta.
  • Säännönmukaisuus: Monia toimialoja sitovat säännöt, jotka edellyttävät palomuurien tai muiden turvatoimien käyttöä.
  • Verkon segmentointi: Kun palomuureja käytetään jakamaan suurempi verkko pienempiin aliverkkoihin, hyökkäyspinta pienenee ja suojaustasoa nostetaan.

Palomuurin käytön haitat

  • Monimutkaisuus: Palomuurin asentaminen ja ylläpito voi olla aikaa vievää ja vaikeaa, etenkin suuremmille verkoille tai yrityksille, joilla on monenlaisia ​​käyttäjiä ja laitteita.
  • Rajoitettu näkyvyys: Palomuurit eivät ehkä pysty tunnistamaan tai pysäyttämään muilla tasoilla, kuten sovellus- tai päätepistetasolla, toimivia tietoturvariskejä, koska ne voivat tarkkailla ja hallita liikennettä vain verkkotasolla.
  • Väärä turvallisuuden tunne: Jotkut yritykset voivat luottaa liikaa palomuuriinsa ja jättää huomioimatta muut tärkeät turvatoimenpiteet, kuten päätepisteiden suojaus tai tunkeutumisen havaitsemisjärjestelmät.
  • Rajoitettu sopeutumiskyky: Koska palomuurit ovat usein sääntöpohjaisia, ne eivät ehkä pysty vastaamaan uusiin tietoturvauhkiin.
  • Vaikutus suorituskykyyn: Palomuurit voivat vaikuttaa merkittävästi verkon suorituskykyyn, varsinkin jos ne on määritetty analysoimaan tai hallitsemaan paljon liikennettä.
  • Rajoitettu skaalautuvuus: Koska palomuurit pystyvät suojaamaan vain yhden verkon, yritysten, joilla on useita verkkoja, on otettava käyttöön useita palomuureja, mikä voi olla kallista.
  • Rajoitettu VPN-tuki: Jotkut palomuurit eivät ehkä salli monimutkaisia ​​VPN-ominaisuuksia, kuten jaettua tunnelointia, mikä saattaa rajoittaa etätyöntekijän kokemusta.
  • Kustannus: Useiden laitteiden tai lisäominaisuuksien ostaminen palomuurijärjestelmää varten voi olla kallista varsinkin yrityksille.

Harjoittelukysymys

Kysymys: Pakettisuodattava palomuuri voi [ISRO CS 2013]

(A) Estä tiettyjä käyttäjiä saamasta palvelua

(B) Estä matojen ja virusten pääsy verkkoon

(C) Estä joidenkin tiedostojen käyttö FTP:n kautta

(D) Estä joidenkin isäntien pääsy verkkoon

Vastaus: Vaihtoehto (D)

Saat lisätietoja ISRO | ISRO CS 2013 | Kysymys 44 julkaistu tietokilpailu.

Usein kysytyt kysymykset palomuureista – UKK

Voiko palomuuri hidastaa verkon nopeuksia?

Kyllä, palomuuri voi hidastaa verkon nopeuksia.

Miten palomuuri pysäyttää liikenteen?

Palomuuri toimii jatkuvana suodattimena, joka analysoi saapuvat tiedot ja estää kaiken epäilyttävän pääsyn verkkoon järjestelmän suojaamiseksi.

Voivatko palomuurit pysäyttää madot?

Kyllä, palomuurin asentaminen auttaa estämään matoja ja haittaohjelmia tartuttamasta tietokonetta sen lisäksi, että se estää ei-toivotun liikenteen.