Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты
  • Обнаружение аномалий
  • Контроль доступа к компьютеру
  • Безопасность приложений
    • Антивирусное программное обеспечение
    • Программное обеспечение компьютерной безопасности
    • Безопасное кодирование
    • Безопасность по умолчанию
    • Безопасность благодаря дизайну
      • Случай неправильного использования
    • Операционная система, ориентированная на безопасность
  • Аутентификация
    • Многофакторная аутентификация
  • Авторизация
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Система обнаружения вторжений на основе хоста (HIDS)
  • Информация о безопасности и управление событиями
  • Мобильный безопасный шлюз
  • Самозащита рабочего приложения
  • Безопасность веб-приложений
  • v
  • т
  • е

В вычислений , A брандмауэра является сетевой безопасности , система , которая отслеживает и контролирует входящие и исходящие сетевого трафика на основании заранее определенных правил безопасности. [1] Брандмауэр обычно устанавливает барьер между надежной сетью и ненадежной сетью, такой как Интернет . [2]

История [ править ]

Термин « брандмауэр» первоначально относился к стене, предназначенной для ограничения огня в пределах ряда соседних зданий. [3] Более позднее использование относится к аналогичным конструкциям, таким как металлический лист, отделяющий моторный отсек транспортного средства или самолета от пассажирского отсека. Этот термин применялся в конце 1980-х годов к сетевым технологиям [4], которые появились, когда Интернет был относительно новым с точки зрения его глобального использования и возможности подключения. [5] Предшественниками межсетевых экранов для сетевой безопасности были маршрутизаторы, использовавшиеся в конце 1980-х годов. Поскольку они уже разделили сети, маршрутизаторы могут применять фильтрацию к пакетам, пересекающим их. [6]

Прежде чем его начали использовать в реальных вычислениях, этот термин появился в 1983 году в фильме « Военные игры» о компьютерных взломах и, возможно, вдохновил его на дальнейшее использование. [ необходима цитата ]

Типы [ править ]

См. Также: Компьютерная безопасность
См. Также: Сравнение межсетевых экранов

Межсетевые экраны делятся на сетевые и хост-системы. Сетевые межсетевые экраны могут быть размещены в любом месте LAN или WAN . [7] Это либо программное устройство, работающее на аппаратном обеспечении общего назначения, либо аппаратное устройство, работающее на специализированном оборудовании, либо виртуальное устройство, работающее на виртуальном хосте, управляемом гипервизором . Устройства межсетевого экрана могут также предлагать функции, не связанные с межсетевым экраном, такие как службы DHCP [8] [9] или VPN [10] . Брандмауэры на основе хоста развертываются непосредственно на хосте.сам для управления сетевым трафиком или другими вычислительными ресурсами. [11] [12] Это может быть демон или служба как часть операционной системы или приложение-агент для защиты.

Иллюстрация сетевого брандмауэра в сети

Пакетный фильтр [ править ]

Первый зарегистрированный тип сетевого брандмауэра называется фильтром пакетов, который проверяет пакеты, передаваемые между компьютерами. Брандмауэр поддерживает список управления доступом, который определяет, какие пакеты будут просматриваться и какое действие следует применить, если оно есть, с действием по умолчанию, установленным на тихую отмену. Три основных действия в отношении пакета состоят из молчаливого сброса, сброса с помощью протокола управляющих сообщений Интернета или ответа сброса TCP отправителю и пересылки на следующий прыжок. [13] Пакеты могут фильтроваться по IP-адресам источника и назначения , протоколу, портам источника и назначения . Основная часть интернет-коммуникаций в 20-м и начале 21-го века использовалась либоПротокол управления передачей (TCP) или протокол пользовательских дейтаграмм (UDP) в сочетании с хорошо известными портами , что позволяет межсетевым экранам той эпохи различать определенные типы трафика, такие как просмотр веб-страниц, удаленная печать, передача электронной почты, передача файлов. [14] [15]

Первая статья о технологии межсетевых экранов была опубликована в 1987 году, когда инженеры Digital Equipment Corporation (DEC) разработали системы фильтрации, известные как межсетевые экраны с фильтрами пакетов. В AT & T Bell Labs , Билл Cheswick и Стив Белловин продолжил свои исследования в фильтрации пакетов и разработали рабочую модель для своей компании , основанную на оригинальной архитектуре первого поколения. [16]

Отслеживание соединения [ править ]

Поток сетевых пакетов через Netfilter , модуль ядра Linux
Основная статья: Межсетевой экран с отслеживанием состояния

В 1989–1990 годах три коллеги из AT&T Bell Laboratories , Дэйв Пресотто, Джанардан Шарма и Кшитидж Нигам, разработали межсетевые экраны второго поколения, назвав их шлюзами на уровне цепей . [17]

Межсетевые экраны второго поколения выполняют работу своих предшественников первого поколения, но также поддерживают информацию о конкретных разговорах между конечными точками, запоминая номер порта, который два IP-адреса используют на уровне 4 ( транспортный уровень ) модели OSI для своего разговора, что позволяет изучить общего обмена между узлами. [18]

Приложение / уровень 7 [ править ]

Основная статья: Брандмауэр приложений

Маркус Ранум , Вэй Сюй и Питер Черчьярд выпустили брандмауэр приложений, известный как Firewall Toolkit (FWTK) в октябре 1993 года. [19] Он стал основой брандмауэра Gauntlet в Trusted Information Systems . [20] [21]

Ключевым преимуществом фильтрации на уровне приложений является то, что она может понимать определенные приложения и протоколы, такие как протокол передачи файлов (FTP), система доменных имен (DNS) или протокол передачи гипертекста (HTTP). Это позволяет ему идентифицировать нежелательные приложения или службы, использующие нестандартный порт, или обнаруживать злоупотребления разрешенным протоколом. [22]

По состоянию на 2012 год межсетевой экран нового поколения обеспечивает более широкий диапазон проверки на уровне приложений, расширяя функциональность глубокой проверки пакетов, включая, но не ограничиваясь:

  • Веб-фильтрация
  • Системы предотвращения вторжений
  • Управление идентификацией пользователей
  • Брандмауэр веб-приложений

Конечная точка [ править ]

Брандмауэры приложений на основе конечных точек работают, определяя, должен ли процесс принимать какое-либо конкретное соединение. Брандмауэры приложений фильтруют соединения, проверяя идентификатор процесса пакетов данных в соответствии с набором правил для локального процесса, участвующего в передаче данных. Брандмауэры приложений выполняют свою функцию, подключаясь к вызовам сокетов для фильтрации соединений между уровнем приложения и нижними уровнями. Брандмауэры приложений, которые перехватывают вызовы сокетов, также называются фильтрами сокетов. [ необходима цитата ]

Важность [ править ]

Настройка брандмауэра - сложная задача, подверженная ошибкам. Сеть может столкнуться с проблемами безопасности из-за ошибок конфигурации. [23]

См. Также [ править ]

  • Воздушный зазор (сеть)
  • DMZ (вычисления)
  • Отверстие в брандмауэре
  • Брандмауэры и безопасность в Интернете
  • Проект Золотой Щит
  • Система обнаружения вторжений
  • Мобильная безопасность § Программное обеспечение безопасности
  • Брандмауэр Windows

Ссылки [ править ]

  1. ^ Boudriga, Noureddine (2010). Безопасность мобильной связи . Бока-Ратон: CRC Press. С.  32–33 . ISBN 978-0849379420.
  2. ^ Oppliger, Rolf (май 1997). «Интернет-безопасность: брандмауэры и не только». Коммуникации ACM . 40 (5): 94. DOI : 10,1145 / 253769,253802 . S2CID 15271915 . 
  3. ^ Канаван, Джон Э. (2001). Основы сетевой безопасности (1-е изд.). Бостон, Массачусетс: Artech House. п. 212. ISBN. 9781580531764.
  4. ^ Чесвик, Уильям Р .; Белловин, Стивен М. (1994). Брандмауэры и безопасность в Интернете : отпугивание коварного хакера . ISBN 978-0201633573.
  5. Рианна Лиска, Аллан (10 декабря 2014 г.). Создание программы безопасности, управляемой разведкой . Syngress. п. 3. ISBN 978-0128023709.
  6. ^ Ингхэм, Кеннет; Форрест, Стефани (2002). «История и обзор сетевых брандмауэров» (PDF) . Проверено 25 ноября 2011 .
  7. ^ Навин, Sharanya. «Межсетевой экран» . Проверено 7 июня +2016 .
  8. ^ «Брандмауэр как DHCP-сервер и клиент» . Пало-Альто сети . Проверено 8 февраля 2016 .
  9. ^ "DHCP" . www.shorewall.net . Проверено 8 февраля 2016 .
  10. ^ «Что такое межсетевой экран VPN? - Определение из Техопедии» . Techopedia.com . Проверено 8 февраля 2016 .
  11. ^ Вакка, Джон Р. (2009). Справочник по компьютерной и информационной безопасности . Амстердам: Эльзевир. п. 355. ISBN 9780080921945.
  12. ^ "Что такое брандмауэр?" . Проверено 12 февраля 2015 .
  13. ^ Пельтье, Джастин; Пельтье, Томас Р. (2007). Полное руководство по сертификации CISM . Хобокен: CRC Press. п. 210. ISBN 9781420013252.
  14. ^ «TCP против UDP: разница между ними» . www.skullbox.net . Проверено 9 апреля 2018 .
  15. ^ Чесвик, Уильям Р .; Белловин, Стивен М .; Рубин, Авиель Д. (2003). Межсетевые экраны и безопасность в Интернете, отражающие коварный хакер (2-е изд.). ISBN 9780201634662.
  16. ^ Ингем, Кеннет; Форрест, Стефани (2002). «История и обзор сетевых брандмауэров» (PDF) . п. 4 . Проверено 25 ноября 2011 .
  17. ^ М. Афшар Алам; Таманна Сиддики; К. Р. Сея (2013). Последние разработки в области вычислительной техники и ее приложений . IK International Pvt Ltd. стр. 513. ISBN 978-93-80026-78-7.
  18. ^ «Межсетевые экраны» . MemeBridge . Проверено 13 июня 2014 .
  19. ^ "Выпуск V1.0 инструментария межсетевого экрана" . Проверено 28 декабря 2018 .
  20. Джон Пескаторе (2 октября 2008 г.). «Эта неделя в истории сетевой безопасности: инструментарий межсетевого экрана» . Проверено 28 декабря 2018 .
  21. ^ Маркус Дж. Ранум; Фредерик Аволио. «История FWTK» .
  22. ^ «Что такое уровень 7? Как работает уровень 7 Интернета» . Cloudflare . Проверено 29 августа 2020 года .
  23. ^ Воронков, Артем; Ивая, Леонардо Хорн; Мартуччи, Леонардо А .; Линдског, Стефан (12.01.2018). «Систематический обзор литературы по удобству использования конфигурации межсетевого экрана» . ACM Computing Surveys . 50 (6): 1–35. DOI : 10.1145 / 3130876 . ISSN 0360-0300 . S2CID 6570517 .  

Внешние ссылки [ править ]

  • Эволюция индустрии межсетевых экранов - обсуждает различные архитектуры, способы обработки пакетов и дает график эволюции.
  • История и обзор сетевых брандмауэров - предоставляет обзор брандмауэров на различных уровнях ISO со ссылками на оригинальные документы, в которых сообщалось о ранней работе брандмауэра.