stringtranslate.com

Брандмауэр (вычислительный)

В вычислительной технике брандмауэр это система сетевой безопасности , которая отслеживает и контролирует входящий и исходящий сетевой трафик на основе предопределенных правил безопасности. [1] [2] Обычно брандмауэр устанавливает барьер между доверенной сетью и ненадежной сетью, такой как Интернет . [ 3]

История

Термин «брандмауэр» изначально относился к стене, предназначенной для ограничения пожара в пределах линии соседних зданий. [4] Более поздние использования относятся к аналогичным конструкциям, таким как металлический лист, отделяющий отсек двигателя транспортного средства или самолета от пассажирского салона. Термин был применен в 1980-х годах к сетевым технологиям [5] , которые появились, когда Интернет был довольно новым с точки зрения его глобального использования и подключения. [6] Предшественниками брандмауэров для сетевой безопасности были маршрутизаторы, используемые в 1980-х годах. Поскольку они уже разделяли сети, маршрутизаторы могли применять фильтрацию к пакетам, проходящим через них. [7]

До того, как этот термин стал использоваться в реальных вычислениях, он появился в фильме Джона Бэдхэма 1983 года о компьютерном хакерстве «Военные игры» , где его произносил бородатый и носящий очки программист по имени Пол Рихтер, что, возможно, и послужило толчком к его дальнейшему использованию. [8]

Одним из первых коммерчески успешных продуктов межсетевого экрана и трансляции сетевых адресов (NAT) был межсетевой экран PIX (Private Internet eXchange), изобретенный в 1994 году компанией Network Translation Inc., стартапом, основанным и управляемым Джоном Мэйесом. Технология межсетевого экрана PIX была разработана Брэнтли Коилом в качестве разработчика программного обеспечения-консультанта. [9] Осознавая возникающую проблему истощения адресов IPv4, они разработали PIX, чтобы позволить организациям безопасно подключать частные сети к публичному Интернету, используя ограниченное количество зарегистрированных IP-адресов. Инновационное решение PIX быстро получило признание в отрасли, получив престижную награду «Горячий продукт года» от журнала Data Communications Magazine в январе 1995 года. Cisco Systems, стремясь выйти на быстрорастущий рынок сетевой безопасности, впоследствии приобрела Network Translation Inc. в ноябре 1995 года, чтобы получить права на технологию PIX. PIX стал одной из флагманских линеек продуктов межсетевых экранов Cisco, прежде чем в конечном итоге был заменен платформой Adaptive Security Appliance (ASA), представленной в 2005 году.

Типы брандмауэров

Брандмауэры подразделяются на сетевые и хостовые системы. Сетевые брандмауэры располагаются между двумя или более сетями, как правило, между локальной сетью (LAN) и глобальной сетью (WAN) , [10] их основная функция заключается в управлении потоком данных между подключенными сетями. Они представляют собой либо программное устройство, работающее на оборудовании общего назначения, либо аппаратное устройство, работающее на оборудовании специального назначения, либо виртуальное устройство, работающее на виртуальном хосте, управляемом гипервизором . Устройства брандмауэров также могут предлагать функциональность, не являющуюся брандмауэром, например, службы DHCP [11] [12] или VPN [13] . Хостовые брандмауэры развертываются непосредственно на самом хосте для управления сетевым трафиком или другими вычислительными ресурсами. [14] [15] Это может быть демон или служба как часть операционной системы или приложение-агент для защиты.

Иллюстрация сетевого брандмауэра в сети

Фильтр пакетов

Первый описанный тип сетевого брандмауэра называется пакетным фильтром , который проверяет пакеты, передаваемые между компьютерами. Брандмауэр поддерживает список контроля доступа , который определяет, какие пакеты будут просматриваться и какие действия должны быть применены, если таковые имеются, с действием по умолчанию, установленным на молчаливое отбрасывание. Три основных действия в отношении пакета состоят из молчаливого отбрасывания, отбрасывания с ответом Internet Control Message Protocol или TCP reset отправителю и пересылки на следующий участок. [16] Пакеты могут быть отфильтрованы по исходному и целевому IP-адресам , протоколу или исходному и целевому портам . Большая часть интернет-коммуникаций в 20-м и начале 21-го века использовала либо протокол управления передачей (TCP), либо протокол пользовательских дейтаграмм (UDP) в сочетании с известными портами , что позволяло брандмауэрам той эпохи различать определенные типы трафика, такие как просмотр веб-страниц, удаленная печать, передача электронной почты и передача файлов. [17] [18]

Первая статья, посвященная технологии межсетевых экранов, была опубликована в 1987 году, когда инженеры из Digital Equipment Corporation (DEC) разработали системы фильтров, известные как пакетные фильтры межсетевых экранов. В AT&T Bell Labs Билл Чесвик и Стив Белловин продолжили свои исследования в области пакетной фильтрации и разработали рабочую модель для своей компании на основе своей оригинальной архитектуры первого поколения. [19] В 1992 году Стивен МакКэнн и Ван Якобсон опубликовали статью о BSD Packet Filter (BPF), работая в Lawrence Berkeley Laboratory . [20] [21]

Отслеживание соединения

Поток сетевых пакетов через Netfilter , модуль ядра Linux

В 1989–1990 годах трое коллег из AT&T Bell Laboratories , Дэйв Пресотто, Джанардан Шарма и Кшитидж Нигам, разработали второе поколение межсетевых экранов, назвав их шлюзами уровня цепи . [22]

Межсетевые экраны второго поколения выполняют работу своих предшественников первого поколения, но также сохраняют информацию о конкретных диалогах между конечными точками, запоминая, какой номер порта два IP-адреса используют на уровне 4 ( транспортный уровень ) модели OSI для своего диалога, что позволяет исследовать общий обмен данными между узлами. [23]

Уровень приложений

Маркус Ранум , Вэй Сюй и Питер Черчярд выпустили прикладной брандмауэр, известный как Firewall Toolkit (FWTK), в октябре 1993 года. [24] Он стал основой для брандмауэра Gauntlet в Trusted Information Systems . [25] [26]

Ключевое преимущество фильтрации на уровне приложений заключается в том, что она может понимать определенные приложения и протоколы, такие как протокол передачи файлов (FTP), система доменных имен (DNS) или протокол передачи гипертекста (HTTP). Это позволяет ей идентифицировать нежелательные приложения или службы, использующие нестандартный порт, или обнаруживать, злоупотребляется ли разрешенный протокол. [27] Она также может обеспечить единое управление безопасностью, включая принудительное шифрование DNS и виртуальные частные сети . [28] [29] [30]

Начиная с 2012 года межсетевой экран следующего поколения обеспечивает более широкий спектр проверки на уровне приложений, расширяя функциональность глубокой проверки пакетов , включая, помимо прочего:

Конечная точка специфична

Функции брандмауэров приложений на основе конечной точки заключаются в определении того, должен ли процесс принимать какое-либо заданное соединение. Брандмауэры приложений фильтруют соединения, проверяя идентификатор процесса пакетов данных на соответствие набору правил для локального процесса, участвующего в передаче данных. Брандмауэры приложений выполняют свою функцию, подключаясь к вызовам сокетов для фильтрации соединений между прикладным уровнем и нижними уровнями. Брандмауэры приложений, подключающиеся к вызовам сокетов, также называются фильтрами сокетов. [ необходима цитата ]

Наиболее распространенные типы журналов брандмауэра

Журналы трафика:

Журналы предотвращения угроз:

Журналы аудита:

Журналы событий:

Журналы сеансов:

Журналы смягчения последствий DDoS-атак:

Журналы геолокации:

Журналы фильтрации URL-адресов:

Журналы активности пользователей:

Журналы VPN:

Системные журналы:

Журналы соответствия:

Конфигурация

Настройка брандмауэра — сложная и подверженная ошибкам задача. Сеть может столкнуться с проблемами безопасности из-за ошибок конфигурации. [32]

Конфигурация политики брандмауэра основана на определенном типе сети (например, публичная или частная) и может быть настроена с использованием правил брандмауэра, которые либо блокируют, либо разрешают доступ для предотвращения потенциальных атак со стороны хакеров или вредоносного ПО. [33]

Смотрите также

Ссылки

  1. ^ Boudriga, Noureddine (2010). Безопасность мобильной связи . Boca Raton: CRC Press. стр. 32–33. ISBN 978-0849379420.
  2. ^ Макфарлейн, Ричард; Бьюкенен, Уильям; Эконому, Элиас; Утмани, Омайр; Фань, Лу; Ло, Оуэн (2012). «Формальные реализации политики безопасности в сетевых брандмауэрах». Компьютеры и безопасность . 31 (2): 253–270. doi :10.1016/j.cose.2011.10.003.
  3. ^ Опплигер, Рольф (май 1997 г.). «Безопасность Интернета: БРАНДМАУЭРЫ и НЕ ТОЛЬКО». Сообщения ACM . 40 (5): 94. doi : 10.1145/253769.253802 . S2CID  15271915.
  4. ^ Канаван, Джон Э. (2001). Основы сетевой безопасности (1-е изд.). Бостон, Массачусетс: Artech House. стр. 212. ISBN 9781580531764.
  5. ^ Чесвик, Уильям Р.; Белловин , Стивен М. (1994). Брандмауэры и безопасность Интернета : Отпор хитрому хакеру . Addison-Wesley. ISBN 978-0201633573.
  6. ^ Лиска, Аллан (10 декабря 2014 г.). Создание программы безопасности на основе разведданных . Syngress. стр. 3. ISBN 978-0128023709.
  7. ^ Ингхэм, Кеннет; Форрест, Стефани (2002). "История и обзор сетевых брандмауэров" (PDF) . Архивировано из оригинала (PDF) 2006-09-02 . Получено 2011-11-25 .
  8. ^ Борен, Джейкоб (24.11.2019). «10 случаев, когда научно-фантастические фильмы 80-х годов предсказывали будущее». ScreenRant . Получено 04.03.2021 .
  9. ^ Мэйс, Джон (24 ноября 2022 г.). «НТИ-ЯМА». Википедия . Проверено 4 марта 2023 г.
  10. ^ Навин, Шаранья. "Firewall". Архивировано из оригинала 21 мая 2016 года . Получено 7 июня 2016 года .
  11. ^ "Брандмауэр как DHCP-сервер и клиент". Palo Alto Networks . Получено 2016-02-08 .
  12. ^ "DHCP". www.shorewall.net . Получено 2016-02-08 .
  13. ^ "Что такое межсетевой экран VPN? – Определение из Techopedia". Techopedia.com . Получено 2016-02-08 .
  14. ^ Вакка, Джон Р. (2009). Справочник по компьютерной и информационной безопасности . Амстердам: Elsevier. С. 355. ISBN 9780080921945.
  15. ^ "Что такое брандмауэр?" . Получено 2015-02-12 .
  16. ^ Пелтье, Джастин; Пелтье, Томас Р. (2007). Полное руководство по сертификации CISM . Хобокен: CRC Press. стр. 210. ISBN 9781420013252.
  17. ^ "TCP против UDP: разница между ними". www.skullbox.net . Получено 2018-04-09 .
  18. ^ Чесвик, Уильям Р.; Белловин, Стивен М.; Рубин, Авиел Д. (2003). Брандмауэры и безопасность Интернета , отпугивающие хитрых хакеров (2-е изд.). Addison-Wesley Professional. ISBN 9780201634662.
  19. ^ Ингхэм, Кеннет; Форрест, Стефани (2002). «История и обзор сетевых брандмауэров» (PDF) . стр. 4. Архивировано из оригинала (PDF) 2006-09-02 . Получено 2011-11-25 .
  20. ^ МакКейн, Стивен; Якобсон, Ван (1992-12-19). "Фильтр пакетов BSD: новая архитектура для захвата пакетов на уровне пользователя" (PDF) . Архивировано из оригинала (PDF) 2000-09-16.
  21. ^ МакКейн, Стивен; Якобсон, Ван (январь 1993 г.). «Фильтр пакетов BSD: новая архитектура для захвата пакетов на уровне пользователя». USENIX .
  22. ^ М. Афшар Алам; Таманна Сиддики; КР Сиджа (2013). Последние разработки в области вычислений и их применения. IK International Pvt Ltd. стр. 513. ISBN 978-93-80026-78-7.
  23. ^ "Firewalls". MemeBridge . Получено 13 июня 2014 г. .
  24. ^ "Firewall toolkit V1.0 release" . Получено 28.12.2018 .
  25. ^ Джон Пескаторе (2 октября 2008 г.). «Эта неделя в истории сетевой безопасности: набор инструментов брандмауэра». Архивировано из оригинала 29 апреля 2016 г. Получено 28 декабря 2018 г.
  26. ^ Маркус Дж. Ранум; Фредерик Аволио. «История FWTK».
  27. ^ "Что такое уровень 7? Как работает уровень 7 Интернета". Cloudflare . Получено 29 августа 2020 г. .
  28. ^ "5 функций брандмауэра, которые вам обязательно нужны". Check Point Software . Получено 2021-11-08 .
  29. ^ Стэнфилд, Натан (2019-12-04). "11 функций брандмауэра, без которых вы не сможете жить". Stanfield IT . Получено 2021-11-08 .
  30. ^ "Safing Portmaster". safing.io . Получено 2021-11-08 .
  31. ^ Лян, Джуньян; Ким, Юхван (2022). Эволюция брандмауэров: на пути к более безопасной сети с использованием брандмауэра следующего поколения. стр. 0752–0759. doi :10.1109/CCWC54503.2022.9720435. ISBN 978-1-6654-8303-2. Получено 2024-02-02 .
  32. ^ Воронков, Артем; Ивайя, Леонардо Хорн; Мартуччи, Леонардо А.; Линдског, Стефан (12.01.2018). «Систематический обзор литературы по удобству использования конфигурации брандмауэра». ACM Computing Surveys . 50 (6): 1–35. doi :10.1145/3130876. ISSN  0360-0300. S2CID  6570517.
  33. ^ «Что такое конфигурация брандмауэра и почему она важна?». Fortinet .

Внешние ссылки