Network Security Tutorial
Network Security Useful Resources
Selected Reading
- Network Security – Critical Necessity
- Network Security – Firewalls
- Network Security – Access Control
- Network Security – Data Link Layer
- Network Security – Network Layer
- Network Security – Transport Layer
- Network Security – Application Layer
- Network Security – Overview
- Network Security - Home
Network Security Useful Resources
Selected Reading
- Who is Who
- Computer Glossary
- HR Interview Questions
- Effective Resume Writing
- Questions and Answers
- UPSC IAS Exams Notes
Network Security – Firewalls
Network Security – Firewalls
几乎每个中型和大型组织都在互联网上存在,并有一个与其相关的组织网络。 外部互联网和内部网络之间的边界上的网络分割对于网络安全至关重要。 有时,内联网(内联网)被称为“被信任的”一方,外部因特网则称为“未信任的”方面。
Types of Firewall
防火墙是一种网络装置,它把组织的内部网络从外部网络/因特网连接起来。 它可以是一个硬件、软件或综合系统,防止未经授权进入或从内部网络进入。
进入或离开内部网络的所有数据包都通过防火墙,该墙检查每个包裹,并禁止不符合具体安全标准的人。
在网络边界部署防火墙,就好像把安全集中起来。 类似的做法是在入口处lock一个公寓,不一定在门边。
由于以下原因,防火墙被视为实现网络安全的基本要素:
内部网络和东道国不太可能得到适当保障。
互联网是犯罪分子、竞争公司用户、不受干扰的前雇员、不友好国家的间谍、破坏等的危险场所。
防止攻击者对网络资源进行拒绝服务攻击。
防止外部攻击者非法修改/获取内部数据。
防火墙分为三种基本类型:
Packet filter (Stateless & Stateful)
Apppcation-level gateway
Circuit-level gateway
然而,这三类并非相互排斥。 现代防火墙具有各种能力,可将其归入三个以上类别之一。
Stateless & Stateful Packet Filtering Firewall
在这种类型的防火墙部署中,内部网络通过路道防火墙与外部网络/因特网连接。 防火墙检查和过滤数据包装。
Packet-filtering firewall 允许或阻挡包装单,主要依据的是来源和/或目的地IP地址、礼宾、源和/或目的地港号等标准,以及IP头盔内的其他各种参数。
该决定可以基于除IP头盔领域以外的因素,如ICMP信息类型、TCP SYN和ACK bits等。
包装过滤器规则有两个部分:
包装过滤器通常通过在路由器或开关上配置出入控制清单来完成。 ACL是包装过滤规则的表。
由于交通进入或离开接口,防火墙将ACL从上向下适用于每台coming,找到匹配标准,或者允许或否认个人包装。
无国家防火墙>是一种硬工具。 它检查包装,如果它符合标准,即使它不属于任何既定的持续通信。
因此,这些防火墙被现代网络中的状态防火墙>所取代。 这类防火墙为仅以ACL为基础的无国籍防火墙检查方法提供了更深入的检查方法。
国有防火墙监测连接的安装和冲破过程,以在TCP/IP一级检查连接情况。 这使得他们能够跟踪连接状态,确定哪些东道国在任何特定时间都有开放、授权的联系。
只有在要求建立新联系时,才会参考规则基础。 现有连接的包裹与防火墙的开放式连接表相比较,决定允许或阻挡。 这一过程节省了时间,也提供了更多的安全。 不允许任何包裹绕过防火墙,除非它属于已经建立的联系。 它可以在防火墙上断绝无用的连接,此后,它不再为这种连接接受包装。
Apppcation Gateways
申请级网关是申请一级交通的中继点。 他们拦截了寄出的包裹,操作该包件和向关发送信息,并充当proxy服务器,防止被信任的服务器或客户与未信任的东道方之间有任何直接联系。
轴心是具体应用。 他们可以在SI模式的应用层过滤包装。
Apppcation-specific Proxies
针对具体申请的代理人只接受设计复制、转发和过滤的具体申请所产生的包装。 例如,只有一家Telnet代理人能够复制、转发和过滤Telnet的交通。
如果一个网络仅靠一个应用级网关,则接收和发送的包装单不能获得没有配置的轴心的服务。 例如,如果一个门户运行FTP和Telnet轴心,只有这些服务产生的包装才能通过防火墙。 所有其他服务都受阻。
Apppcation-level Filtering
申请级代理网关、检查和过滤个人包装单,而不是简单复制,盲目通过网关。 具体应用的轴线检查通过网关的每包裹,通过申请层核实包装内容。 这些轴线可在申请程序中过滤特定种类的指挥或信息。
申请网关可以限制具体行动的实施。 例如,可以配置网关,防止用户进行“FTP”的指挥。 这可以防止攻击者改变服务器上储存的信息。
Transparent
虽然申请一级的网关可以透明,但许多安装需要用户认证,才能使用户能够进入一个没有信任的网络,从而减少真正的透明度。 如果用户来自内部网络或互联网,则其认证可能有所不同。 对于内部网络,可以允许一个简单的IP地址清单与外部应用连接。 但是,从互联网方面来说,应当实行强有力的认证。
在两个方向(Cpent ↔ Proxy ↔服务器)上,应用网关实际上将TCP的两部分连接起来。
对于有出入的包装箱,网关可以用自己的IP地址取代来源IP地址。 这一过程称为网络地址翻译(NAT)。 它确保内部IP地址不受互联网的影响。
Circuit-Level Gateway
电路级网关是包装过滤器与应用网关之间的中间解决方案。 该系统在运输层运行,因此可作为任何应用的代理。
与申请网关类似,电路级网关也不允许连接关口的终端至终端链路。 它建立了两个TCP链接,并将TCP部分从一个网络转至另一个网络。 但是,它没有审查申请网关等申请数据。 因此,有时被称为“Pipe Proxy”。
SOCKS
SOCKS(RFC 1928)提到一个电路级门户。 这是一种网络代理机制,使SOCKS服务器的一个侧的东道方能够在不要求直接的IP可达性的情况下充分接触对方的东道方。 客户与防火墙的SOCKS服务器连接。 然后,客户就认证方法进行谈判,并以选定的方法认证。
客户向SOCKS服务器发出连接转发要求,该服务器载有理想的目的地IP地址和运输港。 服务器在检查客户是否符合基本的过滤标准后接受这一请求。 之后,该网关代表客户打开了与所请求的未信任的东道方的联系,然后密切监测随后的TCP手脚。
SOCKS服务器向客户提供信息,如果成功,则开始在两个链接之间传送数据。 当本组织信任内部用户时,使用巡回门槛,并且不想检查互联网上发送的内容或应用数据。
Firewall Deployment with DMZ
防火墙是用来控制一个组织内部网络的网络交通“into”和“out”的机制。 在大多数情况下,这些系统有两个网络接口,一个是因特网等外部网络,另一个是内部网络。
防火墙过程可以严格控制允许从一方向另一方转移的东西。 一个希望提供外部接入其网络服务器的组织可以限制抵达80港(标准http://port)的防火墙的所有交通。 所有其他交通,如邮递交通、FTP、SNMP等,都不得通过防火墙进入内部网络。 下面图表显示一个简单的防火墙的例子。
在上述简单部署中,尽管外部的所有其他准入都受到阻碍,但袭击者可能不仅与一个网络服务器联系,而且与因事故或其他原因离开80港的国内网络的任何其他东道方联系。
因此,大多数组织面临的问题是,如何在保持内部网络的严密安全的同时,能够合法地获得公共服务,如网络、私人旅游和电子邮件。 典型的办法是在网络中部署防火墙,以提供一个非军事化区。
在这一装置中(按图表细分),部署了2个防火墙;1个在外部网络与DMZ之间,另一个在DMZ与内部网络之间。 所有公共服务器都设在管理部。
通过这一设置,有可能制定防火墙规则,使公众能够使用公共服务器,但内地防火墙可以限制所有新接线。 通过配备债务管理和金融分析系统,公共服务器得到适当的保护,而不是直接放在外部网络上。
Intrusion Detection / Prevention System
包装过滤防火墙仅根据涉及TCP/UDP/IP头盔的规则运作。 它们并不试图在不同届会之间建立相互关系检查。
入侵检测/预防系统(IDS/IPS)通过检查包装材料进行深层包装检查。 例如,对照已知病毒数据库,检查包装中的特性扼杀。
申请网关的确看着包装内容,但只看具体应用。 他们并不在包装单中发现可疑数据。 IDS/IPS检查包装单中的可疑数据,并努力研究多包装单之间的相互关系,以查明港口扫描、网络测绘和拒绝服务等攻击。
Difference between IDS and IPS
IDS和IPS在发现网络中的异常现象方面类似。 IDS是一种“视力”工具,而IPS则被视为一种“控制”工具。
入侵探测系统与网络相邻,监测许多不同点的交通,并使网络的安全情况出现可见度。 如果信息和安全局报告异常情况,网络管理人或网络内的其他装置将采取纠正行动。
入侵预防 该系统像防火墙一样,在两个网络之间坐在一线,控制通过这些网络的交通。 它执行了一项具体政策,查明网络交通中的异常现象。 一般来说,在署长处理异常现象之前,它放弃了所有包裹,把整个网络的交通捆绑在一起。
Types of IDS
有两种基本类型的国际数据系统。
它需要一个有其签名的已知袭击数据库。
签字按特定攻击的包装类型和顺序界定。
对这种类型的国际数据系统的限制是,只能发现已知的攻击。 国际流离失所人士联合会也可以发出虚假警报。 当一个正常的包装群与攻击的签字相匹配时,会发生枪声。
众所周知的公开源码信息系统就是“Snort” IDS。
Anomaly-based IDS
这类信息管理系统形成了正常网络运行的交通模式。
在综合发展模式期间,它审视了统计上不寻常的交通模式。 例如,ICMP非同寻常的负荷、港口扫描的指数增长等。
发现任何异常交通模式都会引起警惕。
在这种类型的国际数据交换部署中面临的主要挑战是难以区分正常交通和异常交通。
Summary
在本章中,我们讨论了用于控制网络接入的各种机制。 通过出入控制实现网络安全的方法在技术上不同于本辅导的前几章讨论的不同网络层面实施安全控制。 然而,尽管执行办法不同,但两者相辅相成。
网络出入控制由两个主要部分组成:用户认证和网络边界保护。 RADIUS是提供网络中央认证的民众机制。
防火墙通过将内部网络与公共互联网分开来提供网络边界保护。 防火墙可以在不同层次的网络规程上发挥作用。 IDS/IPS允许监测网络交通中的异常情况,以发现袭击,并采取预防行动。
Advertisements