En komplett guide till brandvägg: Hur man bygger ett säkert nätverkssystem

complete guide firewall

En djupgående titt på brandväggen med klassiska exempel:

Vi utforskade Allt om routrar i vår tidigare handledning i detta Networking Training Tutorials for All .

I detta nuvarande moderna kommunikations- och nätverkssystem har användningen av internet utvecklats kraftigt i nästan alla sektorer.

Denna tillväxt och användning av internet har medfört flera fördelar och lätthet i den dagliga kommunikationen för både personliga och organisatoriska ändamål. Men å andra sidan kom det ut med säkerhetsfrågor, hackningsproblem och andra typer av oönskade störningar.

För att klara av dessa problem behövs en enhet som ska kunna skydda datorerna och företagets tillgångar från dessa problem.

Vad du kommer att lära dig:

• Introduktion till brandväggen
  • Programvara mot hårdvarubrandvägg
  • Nätverkshot
  • Brandväggsskydd
  • Brandvägg och OSI-referensmodell
  • Att hantera interna hot
  • DMZ
  • Komponenter i ett brandväggssystem
    • # 1) Perimeter Router
    • # 2) Brandvägg
    • # 3) VPN
    • # 4) IDS
  • Komponentplacering
  • Brandväggsadministration och -hantering
  • Brandväggskategorier
    • # 1) Brandvägg för paketfiltrering
    • # 2) Stateful Firewall
    • # 3) Proxy-brandvägg
  • Typer av brandväggsprogramvara
    • # 1) Comodo Firewall
    • # 2) AVS-brandvägg
    • # 3) Netdefender
    • # 4) PeerBlock
    • # 5) Windows-brandvägg
    • # 6) Juniper Firewall
  • Slutsats
  • Rekommenderad läsning

Introduktion till brandväggen

Konceptet med brandväggen introducerades för att säkra kommunikationsprocessen mellan olika nätverk.

En brandvägg är en mjukvara eller en hårdvaruenhet som undersöker data från flera nätverk och sedan antingen tillåter den eller blockerar den för att kommunicera med ditt nätverk och denna process styrs av en uppsättning fördefinierade säkerhetsriktlinjer.

I denna handledning kommer vi att utforska de olika aspekterna av brandväggen och dess applikationer.

Definition:

En brandvägg är en enhet eller en kombination av system som övervakar trafikflödet mellan distinkta delar av nätverket.En brandvägganvänds för att skydda nätverket mot otäcka människor och förbjuda deras handlingar på fördefinierade gränsnivåer.

En brandvägg används inte bara för att skydda systemet från yttre hot utan hotet kan också vara internt. Därför behöver vi skydd på varje nivå i hierarkin för nätverkssystem.

En bra brandvägg bör vara tillräcklig för att hantera både interna och externa hot och kunna hantera skadlig programvara som maskar från att få tillgång till nätverket. Det tillhandahåller också ditt system för att sluta vidarebefordra olagliga data till ett annat system.

Till exempel , finns det alltid en brandvägg mellan ett privat nätverk och Internet som är ett offentligt nätverk, vilket filtrerar paket som kommer in och ut.

Brandvägg som en barriär mellan Internet och LAN

Att välja en exakt brandvägg är avgörande för att bygga upp ett säkert nätverkssystem.

Firewall tillhandahåller säkerhetsapparaten för att tillåta och begränsa trafik, autentisering, adressöversättning och innehållssäkerhet.

Det säkerställer 365 * 24 * 7 skydd av nätverk från hackare. Det är en engångsinvestering för alla organisationer och behöver bara uppdateringar i rätt tid för att fungera korrekt. Genom att distribuera brandvägg finns det inget behov av panik vid nätverksattacker.

Programvara mot hårdvarubrandvägg

Exempel på grundläggande brandväggsnätverk

Maskinvarubrandvägg skyddar hela nätverket i en organisation som använder den från externa hot. Om en anställd i organisationen är ansluten till nätverket via sin bärbara dator kan han inte utnyttja skyddet.

Å andra sidan tillhandahåller mjukvarubrandvägg värdbaserad säkerhet eftersom programvaran installeras på var och en av enheterna som är anslutna till nätverket och därigenom skyddar systemet från externa såväl som interna hot. Det används mest av mobilanvändare för att digitalt skydda handenheten från skadliga attacker.

Nätverkshot

En lista över nätverkshot presenteras nedan:

• Maskar, denial of service (DoS) och trojanska hästar är några exempel på nätverkshot som används för att riva datornätverkssystemen.
• Trojan Horse Virus är ett slags skadlig kod som utför en tilldelad uppgift i systemet. Men faktiskt försökte det olagligt komma åt nätverksresurserna. Dessa virus om de injiceras i ditt system ger hackaren rätt att hacka ditt nätverk.
• Dessa är mycket farliga virus eftersom de till och med kan orsaka att din dator kraschar och kan fjärr ändra eller ta bort dina viktiga data från systemet.
• Datormaskar är en typ av skadlig programvara. De förbrukar nätverkets bandbredd och hastighet för att överföra kopior av dem till de andra datorerna i nätverket. De skadar datorerna genom att förstöra eller modifiera datorns databas helt.
• Maskarna är mycket farliga eftersom de kan förstöra de krypterade filerna och bifoga sig med e-post och därmed kan överföras i nätverket via internet.

Brandväggsskydd

I små nätverk kan vi säkra var och en av våra nätverksenheter genom att se till att alla programkorrigeringar är installerade, att oönskade tjänster är inaktiverade och att säkerhetsprogramvaran är korrekt installerad i den.

I denna situation, som också visas i figuren, är brandväggsprogrammet monterat på varje maskin och server och konfigurerat på ett sådant sätt att endast listad trafik kan komma in och ut ur enheten. Men detta fungerar effektivt i småskaliga nätverk.

Brandväggsskydd i småskaligt nätverk

I ett storskaligt nätverk är det nästan omöjligt att manuellt konfigurera brandväggsskyddet på varje nod.

Det centraliserade säkerhetssystemet är en lösning för att tillhandahålla ett säkert nätverk till stora nätverk. Med hjälp av ett exempel visas i figuren nedan att brandväggslösningen påläggs routern själv och det blir enkelt att hantera säkerhetspolicyer. Trafikpolicyerna kommer in och ut i enheten och kan hanteras enbart av en enhet.

YouTube-videokonverterare till MP4-format

Detta gör det övergripande säkerhetssystemet kostnadseffektivt.

Brandväggsskydd i stora nätverk

Brandvägg och OSI-referensmodell

Ett brandväggssystem kan fungera i fem lager av OSI-ISO-referensmodellen. Men de flesta kör bara i fyra lager, dvs. datalänklager, nätverkslager, transportlager och applikationslager.

Antalet lager som omsluts av en brandvägg beror på vilken typ av brandvägg som används. Större kommer att vara ett antal lager det täcker mer effektivt kommer att vara brandväggslösningen för att hantera alla typer av säkerhetsproblem.

Att hantera interna hot

Det mesta av attacken på nätverket sker inifrån systemet så att hantera dess brandväggssystem bör också kunna säkra från interna hot.

Några typer av interna hot beskrivs nedan:

# 1) Skadliga cyberattacker är den vanligaste typen av intern attack. Systemadministratören eller någon anställd från IT-avdelningen som har tillgång till nätverkssystemet kan plantera vissa virus för att stjäla viktig nätverksinformation eller för att skada nätverkssystemet.

Lösningen för att hantera det är att övervaka varje anställds aktiviteter och skydda det interna nätverket genom att använda flera lager av lösenordet till var och en av servrarna. Systemet kan också skyddas genom att ge åtkomst till systemet till de minst anställda som möjligt.

#två) Alla värddatorer i organisationens interna nätverk kan ladda ner skadligt internetinnehåll med bristande kunskap om att ladda ner viruset också med det. Därför bör värdsystemen ha begränsad tillgång till internet. All onödig surfning bör blockeras.

# 3) Informationsläckage från någon av värddatorn via penna enheter, hårddisk eller CD-ROM är också ett nätverkshot mot systemet. Detta kan leda till avgörande databasläckage av organisationen till omvärlden eller konkurrenterna. Detta kan styras genom att inaktivera USB-portarna på värdenheter så att de inte kan ta ut data från systemet.

Rekommenderad läsning => Toppverktyg för USB-låsning

DMZ

En demilitariserad zon (DMZ) används av en majoritet av brandväggssystem för att skydda tillgångar och resurser. DMZ: er används för att ge externa användare tillgång till resurser som e-postservrar, DNS-servrar och webbsidor utan att det interna nätverket avslöjas. Det fungerar som en buffert mellan distinkta segment i nätverket.

Varje region i brandväggssystemet tilldelas en säkerhetsnivå.

Till exempel , låg, medium och hög. Normalt flyter trafiken från en högre nivå till en lägre nivå. Men för att trafiken ska gå från en lägre till en högre nivå, används en annan uppsättning filterregler.

För att låta trafiken flytta från en lägre säkerhetsnivå till en högre säkerhetsnivå bör man vara exakt om vilken typ av trafik som är tillåten. Genom att vara exakt låser vi upp brandväggssystemet endast för den trafik som är väsentlig, alla andra typer av trafik blockeras av konfigurationen.

En brandvägg används för att separera distinkta delar av nätverket.

De olika gränssnitten är som följer:

• Länk till Internet, tilldelad den lägsta säkerhetsnivån.
• En länk till DMZ tilldelade en medelsäkerhet på grund av närvaron av servrar.
• En länk till organisationen, belägen vid den avlägsna änden, tilldelade medium säkerhet.
• Den högsta säkerheten tilldelas det interna nätverket.

Brandväggsskydd med DMS

Regler som tilldelats organisationen är:

• Hög till låg nivå är tillåten
• Låg till högnivååtkomst är inte tillåten
• Ekvivalent åtkomst är inte heller tillåten

Genom att använda ovanstående uppsättning regler är trafiken som tillåts att flöda automatiskt genom brandväggen:

• Interna enheter till DMZ, fjärrorganisation och internet.
• DMZ till fjärrorganisationen och internet.

Varje annan typ av trafikflöde blockeras. Fördelen med en sådan design är att eftersom internet och fjärrorganisationen tilldelas motsvarande säkerhetsnivåer, kan trafik från Internet som inte kan bestämma organisationen vilket i sig förbättrar skyddet och organisationen inte kommer att kunna använda internet utan kostnad (det sparar pengar).

En annan fördel är att det ger skiktad säkerhet, så om en hackare vill hacka de interna resurserna måste den först hacka DMZ. Hackers uppgift blir hårdare vilket i sin tur gör systemet mycket säkrare.

Komponenter i ett brandväggssystem

Byggstenarna i ett bra brandväggssystem är som följer:

• Omkring router
• Brandvägg
• VPN
• IDS

# 1) Perimeter Router

Den främsta anledningen till att använda den är att tillhandahålla en länk till det offentliga nätverkssystemet som internet eller en distinkt organisation. Den utför dirigering av datapaket genom att följa ett lämpligt routingsprotokoll.

Det tillhandahåller också filtrering av paket och adresserar översättningar.

# 2) Brandvägg

Som diskuterats tidigare är dess huvudsakliga uppgift att tillhandahålla distinkta säkerhetsnivåer och övervakar trafiken mellan varje nivå. Det mesta av brandväggen finns nära routern för att ge säkerhet från externa hot men ibland i det interna nätverket för att skydda mot interna attacker.

# 3) VPN

Dess funktion är att tillhandahålla en säker anslutning mellan två maskiner eller nätverk eller en maskin och ett nätverk. Detta består av kryptering, autentisering och paketets tillförlitlighet. Den tillhandahåller säker fjärråtkomst för nätverket, och därmed ansluter två WAN-nätverk på samma plattform samtidigt som de inte är fysiskt anslutna.

# 4) IDS

Dess funktion är att identifiera, utesluta, undersöka och lösa obehöriga attacker. En hacker kan attackera nätverket på olika sätt. Det kan utföra en DoS-attack eller en attack från baksidan av nätverket genom någon obehörig åtkomst. En IDS-lösning bör vara tillräckligt smart för att hantera dessa typer av attacker.

IDS-lösning är av två slag, nätverksbaserat och värdbaserat. En nätverksbaserad IDS-lösning bör vara skicklig på ett sådant sätt när en attack upptäcks, kan komma åt brandväggssystemet och efter inloggning kan det konfigurera ett effektivt filter som kan begränsa den oönskade trafiken.

En värdbaserad IDS-lösning är en slags programvara som körs på en värdenhet som en bärbar dator eller server, vilket bara upptäcker hotet mot den enheten. IDS-lösningen bör inspektera nätverkshoten noga och rapportera dem i rätt tid och bör vidta nödvändiga åtgärder mot attackerna.

Komponentplacering

Vi har diskuterat några av de viktigaste byggstenarna i brandväggssystemet. Låt oss nu diskutera placeringen av dessa komponenter.

Nedan med hjälp av ett exempel illustrerar jag nätverkets design. Men det kan inte sägas helt att det är den övergripande säkra nätverksdesignen eftersom varje design kan ha vissa begränsningar.

Perimeterroutern med grundläggande filtreringsfunktioner används när trafik tränger in i nätverket. En IDS-komponent placeras för att identifiera attacker som omkretsroutern inte kunde filtrera bort.

Trafiken går därigenom genom brandväggen. Brandväggen har initierat tre säkerhetsnivåer, lågt för Internet betyder extern sida, medium för DMZ och högt för det interna nätverket. Regeln som följs är att endast tillåta trafik från internet till webbservern.

Resten av trafikflödet från lägre till högre sida är begränsat, men högre till lägre trafikflöde är tillåtet, så att administratören som är bosatt i det interna nätverket för inloggning på DMZ-servern.

Övergripande exempel på utformning av brandväggssystem

En intern router implementeras också i denna design för att dirigera paketen internt och utföra filtreringsåtgärder.

Fördelen med denna design är att den har tre lager av säkerhet, paketfiltrerings omkretsrouter, IDS och brandväggen.

Nackdelen med denna inställning är att inga IDS förekommer i det interna nätverket och kan därför inte enkelt förhindra interna attacker.

Viktiga fakta vid utformningen:

• En paketfiltrerande brandvägg bör användas vid gränsen till nätverket för att ge ökad säkerhet.
• Varje server som exponeras för ett offentligt nätverk som Internet placeras i DMZ. Servrar som har viktig information kommer att vara utrustade med värdbaserad brandväggsprogramvara. Förutom dessa på servrar, bör alla oönskade tjänster inaktiveras.
• Om ditt nätverk har kritiska databasservrar som HLR-server, IN och SGSN som används i mobiloperationer, kommer flera DMZ att distribueras.
• Om externa källor som långtgående organisationer vill komma åt din server placerad i ett internt nätverk av säkerhetssystem använder du VPN.
• För viktiga interna källor, såsom FoU eller finansiella källor, bör IDS användas för att övervaka och hantera interna attacker. Genom att införa säkerhetsnivåer separat kan extra säkerhet tillhandahållas det interna nätverket.
• För e-posttjänster ska alla utgående e-postmeddelanden först skickas via DMZ-e-postservern och sedan lite extra säkerhetsprogramvara så att interna hot kan undvikas.
• För inkommande e-post bör, utöver DMZ-servern, antivirus-, skräppost- och värdbaserad programvara installeras och köras på servern varje gång ett e-postmeddelande kommer in på servern.

Brandväggsadministration och -hantering

Nu har vi valt byggstenarna i vårt brandväggssystem. Nu är det dags att konfigurera säkerhetsreglerna i ett nätverkssystem.

Kommandoradsgränssnitt (CLI) och grafiskt användargränssnitt (GUI) används för att konfigurera brandväggsprogramvara. Till exempel , Cisco-produkter stöder båda typerna av konfigurationsmetoder.

Numera i de flesta nätverk används säkerhetsenhetshanteraren (SDM), som också är en produkt från Cisco, för att konfigurera routrar, brandväggar och VPN-attribut.

För att implementera ett brandväggssystem är en effektiv administration mycket viktigt för att köra processen smidigt. De som hanterar säkerhetssystemet måste vara mästare i sitt arbete eftersom det inte finns utrymme för mänskliga fel.

Alla typer av konfigurationsfel bör undvikas. När konfigurationsuppdateringar görs måste administratören undersöka och dubbelkontrollera hela processen så att det inte finns utrymme för kryphål och hackare att attackera den. Administratören bör använda ett programverktyg för att undersöka de ändringar som gjorts.

Alla större konfigurationsändringar i brandväggssystem kan inte tillämpas direkt på de pågående stora nätverken som om de misslyckades kan leda till stora förluster för nätverket och direkt tillåta oönskad trafik att komma in i systemet. Således bör det först utföras i laboratoriet och undersöka resultaten om resultaten hittas ok, då kan vi implementera förändringarna i live-nätverket.

Brandväggskategorier

Baserat på filtrering av trafik finns det många kategorier av brandväggen, vissa förklaras nedan:

# 1) Brandvägg för paketfiltrering

Det är en slags router som har förmågan att filtrera de få ämnena i datapaketet. När du använder paketfiltrering klassificeras reglerna i brandväggen. Dessa regler får reda på från paketen vilken trafik som är tillåten och vilken som inte är tillåten.

# 2) Stateful Firewall

Det kallas också som dynamisk paketfiltrering, det inspekterar statusen för aktiva anslutningar och använder den informationen för att ta reda på vilka av paketen som ska tillåtas genom brandväggen och vilka inte.

Brandväggen inspekterar paketet ner till applikationslagret. Genom att spåra sessionsdata som IP-adress och portnummer för datapaketet kan det ge mycket stark säkerhet till nätverket.

Det inspekterar också både inkommande och utgående trafik, så hackare fann det svårt att störa nätverket med den här brandväggen.

# 3) Proxy-brandvägg

Dessa kallas också brandväggar för applikationsgateway. Den statliga brandväggen kan inte skydda systemet från HTTP-baserade attacker. Därför introduceras proxy-brandvägg på marknaden.

Den innehåller funktionerna för stateful inspektion plus möjligheten att noggrant analysera applikationslagerprotokoll.

Således kan den övervaka trafik från HTTP och FTP och ta reda på möjligheten till attacker. Således fungerar brandväggen som en proxy innebär att klienten initierar en anslutning till brandväggen och brandväggen i gengäld initierar en ensamlänk med servern på klientsidan.

Typer av brandväggsprogramvara

Några av de mest populära brandväggsprogrammen som organisationerna använder för att skydda sina system nämns nedan:

# 1) Comodo Firewall

Virtuell internetsökning, för att blockera oönskade popup-annonser och anpassning av DNS-servrar är de vanliga funktionerna i denna brandvägg. Virtual Kiosk används för att blockera vissa procedurer och program genom att avskärma och tränga in i nätverket.

I den här brandväggen, förutom att följa den långa processen för att definiera portar och andra program för att tillåta och blockera, kan alla program tillåtas och blockeras genom att bara bläddra efter programmet och klicka på önskad utgång.

Comodo killswitch är också en förbättrad funktion i denna brandvägg som illustrerar alla pågående processer och gör det väldigt enkelt att blockera alla oönskade program.

# 2) AVS-brandvägg

Det är väldigt enkelt att implementera. Det skyddar ditt system mot otäcka registerändringar, popup-fönster och oönskade annonser. Vi kan också ändra webbadresserna för annonser när som helst och kan också blockera dem.

Det har också funktionen av en föräldrakontroll, som är en del av att endast tillåta åtkomst till en exakt grupp av webbplatser.

Den används i Windows 8, 7, Vista och XP.

# 3) Netdefender

Här kan vi enkelt beskriva källans och destinations-IP-adress, portnummer och protokoll som är tillåtna och inte tillåtna i systemet. Vi kan tillåta och blockera FTP för att distribueras och begränsas i alla nätverk.

Den har också en portskanner som kan visualisera vilken som kan användas för trafikflöde.

# 4) PeerBlock

Trots att den blockerar enskild klass av program som definierats i datorn blockerar den den totala IP-adressklassen i en viss kategori.

Den använder den här funktionen genom att blockera både inkommande och utgående trafik genom att definiera en uppsättning IP-adresser som är spärrade. Därför kan nätverket eller datorn som använder den uppsättningen IP inte komma åt nätverket och det interna nätverket kan inte skicka utgående trafik till de blockerade programmen.

# 5) Windows-brandvägg

Den vanligaste brandväggen som används av Windows 7-användare är den här brandväggen. Den tillhandahåller åtkomst och begränsning av trafik och kommunikation mellan nätverk eller ett nätverk eller en enhet genom att analysera IP-adress och portnummer. Det tillåter som standard all utgående trafik men tillåter endast den definierade inkommande trafiken.

# 6) Juniper Firewall

Enbaren i sig är en nätverksorganisation och designar olika typer av routrar och brandväggsfilter också. I ett levande nätverk som mobiltjänstleverantörer använder Juniper-brandväggar för att skydda sina nätverkstjänster från olika typer av hot.

De skyddar nätverksroutrarna och extra inkommande trafik och mottagliga attacker från externa källor som kan avbryta nättjänster och hantera vilken trafik som ska vidarebefordras från vilken av routerns gränssnitt.

kontinuerlig integration och kontinuerliga leveransverktyg

Den implementerar en in- och en utgångsväggfilter till vart och ett av de inkommande och utgående fysiska gränssnitten. Detta filtrerar bort oönskade datapaket enligt reglerna som definierats i både inkommande och utgående gränssnitt.

Enligt standardinställningarna för brandväggskonfigurationen bestäms vilka paket som ska accepteras och vilka som ska kasseras.

Slutsats

Från beskrivningen ovan om olika aspekter av brandväggen kommer vi att dra slutsatsen att för att övervinna de externa och interna nätverksattackerna har konceptet med brandväggen introducerats.

Brandväggen kan vara hårdvara eller programvara som genom att följa en viss uppsättning regler skyddar vårt nätverkssystem från viruset och andra typer av skadliga attacker.

Vi har också undersökt de olika kategorierna av brandväggen, komponenterna i brandväggen, design och implementering av en brandvägg, och sedan några av de berömda brandväggsprogram som vi använde för att distribuera i nätverksindustrin.

PREV-handledning | NÄSTA självstudie

Rekommenderad läsning

• LAN Vs WAN Vs MAN: Exakt skillnad mellan typer av nätverk
• TCP / IP-modell med olika lager
• Allt om routrar: Typer av routrar, Routing Table och IP Routing
• Allt om Layer 2 och Layer 3-switchar i nätverkssystemet
• Guide till Subnet Mask (Subnetting) & IP Subnet Calculator
• Vad är Wide Area Network (WAN): Live WAN Network Exempel
• Viktiga protokoll för applikationsskikt: DNS-, FTP-, SMTP- och MIME-protokoll
• IPv4 vs IPv6: Vad är den exakta skillnaden