Программная или аппаратная система сетевой безопасности
В вычислительной технике брандмауэр — это система сетевой безопасности , которая отслеживает и контролирует входящий и исходящий сетевой трафик на основе заранее определенных правил безопасности. [1] [2] Брандмауэр обычно устанавливает барьер между доверенной сетью и ненадежной сетью, такой как Интернет . [3]
История
Термин «брандмауэр» первоначально относился к стене, предназначенной для ограничения огня в пределах линии соседних зданий. [4] Более поздние значения относятся к аналогичным конструкциям, таким как металлический лист , отделяющий моторный отсек транспортного средства или самолета от пассажирского салона. Этот термин был применен в конце 1980-х годов к сетевым технологиям [5] , которые появились, когда Интернет был достаточно новым с точки зрения его глобального использования и возможности подключения. [6] Предшественниками межсетевых экранов для сетевой безопасности были маршрутизаторы, использовавшиеся в конце 1980-х годов. Поскольку сети уже разделены, маршрутизаторы могут применять фильтрацию к проходящим через них пакетам. [7]
Прежде чем он был использован в реальных вычислениях, этот термин появился в фильме 1983 года о компьютерном взломе «Военные игры» и, возможно, вдохновил его на дальнейшее использование. [8]
Типы брандмауэров
Межсетевые экраны подразделяются на сетевые и хостовые системы. Сетевые межсетевые экраны располагаются между двумя или более сетями, обычно между локальной сетью (LAN) и глобальной сетью (WAN) , [9] их основная функция заключается в контроле потока данных между подключенными сетями. Это либо программное устройство , работающее на оборудовании общего назначения, либо аппаратное устройство, работающее на оборудовании специального назначения, либо виртуальное устройство, работающее на виртуальном хосте, управляемом гипервизором . Устройства брандмауэра также могут предлагать функции, не связанные с брандмауэром, например службы DHCP [10] [11] или VPN [12] . Межсетевые экраны на базе хоста развертываются непосредственно на самом хосте для контроля сетевого трафика или других вычислительных ресурсов. [13] [14] Это может быть демон или служба как часть операционной системы или приложение-агент для защиты.
Фильтр пакетов
Первый зарегистрированный тип сетевого брандмауэра называется фильтром пакетов , который проверяет пакеты, передаваемые между компьютерами. Брандмауэр поддерживает список контроля доступа , который определяет, какие пакеты будут проверяться и какое действие следует применять, если таковое имеется, при этом действие по умолчанию установлено на автоматическое отбрасывание. Три основных действия в отношении пакета включают автоматическое отбрасывание, отбрасывание с помощью протокола управляющих сообщений Интернета или ответ сброса TCP отправителю и пересылку на следующий переход. [15] Пакеты могут фильтроваться по IP-адресам источника и назначения , протоколу или портам источника и назначения . Большая часть интернет-коммуникаций в 20-м и начале 21-го века использовала либо протокол управления передачей (TCP), либо протокол пользовательских дейтаграмм (UDP) в сочетании с хорошо известными портами , что позволяло брандмауэрам той эпохи различать определенные типы трафика, такие как просмотр веб-страниц. , удаленная печать, передача электронной почты и передача файлов. [16] [17]
Первая статья, посвященная технологии брандмауэров, была опубликована в 1987 году, когда инженеры Digital Equipment Corporation (DEC) разработали системы фильтрации, известные как межсетевые экраны с фильтрами пакетов. В AT&T Bell Labs Билл Чесвик и Стив Белловин продолжили исследования в области фильтрации пакетов и разработали рабочую модель для своей компании на основе своей оригинальной архитектуры первого поколения. [18] В 1992 году Стивен Макканн и Ван Джейкобсон опубликовали статью о пакетном фильтре BSD (BPF), находясь в лаборатории Лоуренса в Беркли . [19] [20]
Отслеживание соединения
В 1989–1990 годах трое коллег из AT&T Bell Laboratories , Дэйв Пресотто, Джанардан Шарма и Кшитидж Нигам, разработали второе поколение межсетевых экранов, назвав их шлюзами уровня цепи . [21]
Брандмауэры второго поколения выполняют работу своих предшественников первого поколения, но также сохраняют информацию о конкретных диалогах между конечными точками, запоминая, какой номер порта используют два IP-адреса на уровне 4 ( транспортный уровень ) модели OSI для своего диалога, что позволяет проводить проверку. общего обмена между узлами. [22]
Прикладной уровень
Маркус Ранум , Вэй Сюй и Питер Черчард выпустили прикладной межсетевой экран, известный как Firewall Toolkit (FWTK) в октябре 1993 года. [23] Он стал основой межсетевого экрана Gauntlet в компании Trusted Information Systems . [24] [25]
Ключевым преимуществом фильтрации на уровне приложений является то, что она может понимать определенные приложения и протоколы, такие как протокол передачи файлов (FTP), система доменных имен (DNS) или протокол передачи гипертекста (HTTP). Это позволяет ему идентифицировать нежелательные приложения или службы, использующие нестандартный порт, или обнаружить злоупотребление разрешенным протоколом. [26] Он также может обеспечить унифицированное управление безопасностью, включая принудительное шифрование DNS и виртуальную частную сеть . [27] [28] [29]
Брандмауэры приложений на основе конечных точек определяют, должен ли процесс принимать то или иное соединение. Брандмауэры приложений фильтруют соединения, проверяя идентификатор процесса пакетов данных на соответствие набору правил для локального процесса, участвующего в передаче данных. Брандмауэры приложений выполняют свою функцию, подключаясь к вызовам сокетов для фильтрации соединений между уровнем приложения и нижними уровнями. Брандмауэры приложений, которые перехватывают вызовы сокетов, также называются фильтрами сокетов. [ нужна цитата ]
Наиболее распространенные типы журналов брандмауэра
Журналы трафика:
Описание. Журналы трафика записывают подробные сведения о данных, проходящих через сеть. Сюда входят IP-адреса источника и назначения, номера портов, используемые протоколы и действия, предпринятые брандмауэром (например, разрешить, удалить или отклонить).
Значение: необходим сетевым администраторам для анализа и понимания закономерностей взаимодействия между устройствами, что помогает в устранении неполадок и оптимизации производительности сети.
Журналы предотвращения угроз:
Описание: Журналы, специально предназначенные для сбора информации, связанной с угрозами безопасности. Сюда входят оповещения от систем предотвращения вторжений (IPS), антивирусные события, обнаружения антиботов и другие данные, связанные с угрозами.
Значение: жизненно важно для выявления потенциальных нарушений безопасности и реагирования на них, помогая командам безопасности активно защищать сеть.
Журналы аудита:
Описание: Журналы, в которых регистрируются административные действия и изменения, внесенные в конфигурацию брандмауэра. Эти журналы имеют решающее значение для отслеживания изменений, внесенных администраторами, в целях безопасности и соответствия требованиям.
Значение: Поддерживает усилия по аудиту и обеспечению соответствия, предоставляя подробную историю административных действий, помогая в расследованиях и обеспечивая соблюдение политик безопасности.
Журналы событий:
Описание: Общие журналы событий, в которых фиксируется широкий спектр событий, происходящих на брандмауэре, что помогает администраторам отслеживать и устранять проблемы.
Значение: Обеспечивает целостное представление о деятельности брандмауэра, облегчая выявление и устранение любых аномалий или проблем с производительностью в сетевой инфраструктуре.
Журналы сеансов:
Описание: журналы, которые предоставляют информацию об установленных сетевых сеансах, включая время начала и окончания сеансов, скорость передачи данных и связанную информацию о пользователе или устройстве.
Значение: полезно для мониторинга сетевых сеансов в режиме реального времени, выявления аномальных действий и оптимизации производительности сети.
Журналы предотвращения DDoS-атак:
Описание: журналы, в которых регистрируются события, связанные с атаками распределенного отказа в обслуживании (DDoS), включая действия по смягчению последствий, предпринимаемые брандмауэром для защиты сети.
Значение: имеет решающее значение для быстрого выявления и устранения DDoS-атак, защиты сетевых ресурсов и обеспечения бесперебойной доступности услуг.
Журналы геолокации:
Описание: Журналы, в которых фиксируется информация о географическом расположении сетевых подключений. Это может быть полезно для мониторинга и контроля доступа в зависимости от географических регионов.
Значение: помогает повысить безопасность путем обнаружения и предотвращения подозрительной деятельности, происходящей из определенных географических мест, способствуя более надежной защите от потенциальных угроз.
Журналы фильтрации URL-адресов:
Описание: Записывает данные, связанные с веб-трафиком и фильтрацией URL-адресов. Сюда входит информация о заблокированных и разрешенных URL-адресах, а также о категориях веб-сайтов, к которым обращаются пользователи.
Значение: позволяет организациям управлять доступом в Интернет, обеспечивать соблюдение политик допустимого использования и повышать общую сетевую безопасность путем мониторинга и контроля веб-активности.
Журналы активности пользователей:
Описание: журналы, в которых фиксируется информация, специфичная для пользователя, такая как события аутентификации, данные входа/выхода пользователя и шаблоны трафика для конкретного пользователя.
Значение: помогает отслеживать поведение пользователей, обеспечивать подотчетность и предоставлять информацию о потенциальных инцидентах безопасности с участием конкретных пользователей.
Журналы VPN:
Описание: информация, относящаяся к подключениям к виртуальной частной сети (VPN), включая такие события, как подключение и отключение, информация о туннеле и ошибки, специфичные для VPN.
Значение: имеет решающее значение для мониторинга целостности и производительности VPN-подключений, обеспечения безопасной связи между удаленными пользователями и корпоративной сетью.
Системные журналы:
Описание: журналы, которые предоставляют информацию об общем состоянии, состоянии и изменениях конфигурации системы брандмауэра. Сюда могут входить журналы, связанные с высокой доступностью (HA), обновлениями программного обеспечения и другими событиями на уровне системы.
Значение: необходим для обслуживания инфраструктуры брандмауэра, диагностики проблем и обеспечения оптимальной работы системы.
Журналы соответствия:
Описание. Журналы специально предназначены для регистрации событий, соответствующих нормативным требованиям. Это может включать в себя деятельность по обеспечению соблюдения отраслевых стандартов или юридических требований.
Значение: необходим для организаций, на которые распространяются особые правила, помогая продемонстрировать соблюдение стандартов соответствия и облегчая процессы аудита.
Конфигурация
Настройка брандмауэра — сложная задача, подверженная ошибкам. Сеть может столкнуться с проблемами безопасности из-за ошибок конфигурации. [31]
Конфигурация политики брандмауэра зависит от конкретного типа сети (например, общедоступной или частной) и может быть настроена с использованием правил брандмауэра, которые либо блокируют, либо разрешают доступ для предотвращения потенциальных атак со стороны хакеров или вредоносных программ. [32]
^ Ингхэм, Кеннет; Форрест, Стефани (2002). «История и обзор сетевых брандмауэров» (PDF) . п. 4 . Проверено 25 ноября 2011 г.
^ Макканн, Стивен; Джейкобсон, Ван (19 декабря 1992 г.). «Фильтр пакетов BSD: новая архитектура для захвата пакетов на уровне пользователя» (PDF) .
^ Макканн, Стивен; Джейкобсон, Ван (январь 1993 г.). «Фильтр пакетов BSD: новая архитектура для захвата пакетов на уровне пользователя». УСЕНИКС .
^ М. Афшар Алам; Таманна Сиддики; КР Сия (2013). Последние разработки в области вычислительной техники и ее приложений. ИК Интернэшнл Пвт Лтд. 513. ИСБН978-93-80026-78-7.
^ «Брандмауэры». МемБридж . Проверено 13 июня 2014 г.
^ «Выпуск набора инструментов брандмауэра V1.0» . Проверено 28 декабря 2018 г.
↑ Джон Пескаторе (2 октября 2008 г.). «Эта неделя в истории сетевой безопасности: набор инструментов брандмауэра». Архивировано из оригинала 29 апреля 2016 года . Проверено 28 декабря 2018 г.
^ Маркус Дж. Ранум; Фредерик Аволио. «История ФВТК».
^ «Что такое уровень 7? Как работает уровень 7 Интернета» . Облачная вспышка . Проверено 29 августа 2020 г.
^ «5 функций брандмауэра, которые вам необходимы» . Программное обеспечение Check Point . Проверено 8 ноября 2021 г.
^ Стэнфилд, Натан (4 декабря 2019 г.). «11 функций брандмауэра, без которых вы не можете жить». Стэнфилд ИТ . Проверено 8 ноября 2021 г.
^ "Спасение портмастера". safing.io . Проверено 8 ноября 2021 г.
^ «Эволюция брандмауэров: на пути к более безопасной сети с использованием брандмауэра следующего поколения | Публикация конференции IEEE | IEEE Xplore» . ieeexplore.ieee.org . Проверено 2 февраля 2024 г.
^ Воронков, Артем; Ивая, Леонардо Хорн; Мартуччи, Леонардо А.; Линдског, Стефан (12 января 2018 г.). «Систематический обзор литературы по удобству использования конфигурации брандмауэра». Обзоры вычислительной техники ACM . 50 (6): 1–35. дои : 10.1145/3130876. ISSN 0360-0300. S2CID 6570517.
^ «Что такое конфигурация брандмауэра и почему это важно?». Фортинет .
Будрига, Нуреддин (2010). Безопасность мобильной связи. Бока-Ратон: CRC Press. стр. 32–33. ISBN 978-0849379420.
Внешние ссылки
В Руководстве Wikibook по Unix есть страница на тему: Брандмауэр OpenBSD PF.
Викискладе есть медиафайлы, связанные с брандмауэром .
Эволюция индустрии межсетевых экранов - обсуждаются различные архитектуры, способы обработки пакетов и приводится график развития.
История и обзор сетевых межсетевых экранов - содержит обзор межсетевых экранов на различных уровнях ISO со ссылками на оригинальные документы, в которых сообщалось о ранних работах межсетевых экранов.