complete guide firewall
古典的な例を使用したファイアウォールの詳細:
探検しました ルーターのすべて この前のチュートリアルで すべての人のためのネットワーキングトレーニングチュートリアル 。
この現在の現代の通信およびネットワークシステムでは、インターネットの使用はほとんどすべての分野で大きく進化しています。
インターネットのこの成長と使用は、個人的な目的と組織的な目的の両方で、日々のコミュニケーションにいくつかの利点と容易さをもたらしました。しかし一方で、セキュリティの問題、ハッキングの問題、その他の種類の望ましくない干渉が発生しました。
これらの問題に対処するには、PCと会社の資産をこれらの問題から保護する機能を備えたデバイスが必要です。
学習内容:
- ファイアウォールの概要
ファイアウォールの概要
ファイアウォールの概念は、さまざまなネットワーク間の通信プロセスを保護するために導入されました。
ファイアウォールは、複数のネットワークからのデータを調べて、ネットワークとの通信を許可またはブロックするソフトウェアまたはハードウェアデバイスであり、このプロセスは、事前定義された一連のセキュリティガイドラインによって管理されます。
このチュートリアルでは、ファイアウォールとそのアプリケーションのさまざまな側面について説明します。
定義:
ファイアウォールは、ネットワークの特徴的な部分間のトラフィックの流れを監視するデバイスまたはシステムの組み合わせです。ファイアウォール厄介な人々からネットワークを保護し、事前定義された境界レベルでの彼らの行動を禁止するために使用されます。
ファイアウォールは、外部の脅威からシステムを保護するために使用されるだけでなく、内部の脅威にも使用できます。したがって、ネットワークシステムの階層の各レベルで保護する必要があります。
優れたファイアウォールは、内部と外部の両方の脅威に対処し、ワームなどの悪意のあるソフトウェアがネットワークへのアクセスを取得するのに十分に対処できる必要があります。また、違法なデータを別のシステムに転送しないようにシステムをプロビジョニングします。
例えば 、ファイアウォールは、プライベートネットワークとパブリックネットワークであるインターネットの間に常に存在するため、送受信されるパケットをフィルタリングします。
インターネットとLANの間の障壁としてのファイアウォール
安全なネットワークシステムを構築するには、正確なファイアウォールを選択することが重要です。
ファイアウォールは、トラフィック、認証、アドレス変換、およびコンテンツセキュリティを許可および制限するためのセキュリティ装置をプロビジョニングします。
これにより、ハッカーからネットワークを365 * 24 * 7保護できます。これはどの組織にとっても1回限りの投資であり、適切に機能するにはタイムリーな更新のみが必要です。ファイアウォールを導入することで、ネットワーク攻撃の際にパニックを起こす必要がなくなります。
ソフトウェアとハードウェアファイアウォール
基本的なファイアウォールネットワークの例
ハードウェアファイアウォールは、それを使用する組織のネットワーク全体を外部の脅威からのみ保護します。組織の従業員が自分のラップトップを介してネットワークに接続している場合、その従業員は保護を利用できません。
一方、ソフトウェアファイアウォールは、ソフトウェアがネットワークに接続された各デバイスにインストールされるときにホストベースのセキュリティをプロビジョニングし、それによってシステムを外部および内部の脅威から保護します。悪意のある攻撃から携帯電話をデジタル保護するために、モバイルユーザーによって最も広く使用されています。
ネットワークの脅威
ネットワークの脅威のリストを以下に簡単に説明します。
- ワーム、サービス拒否(DoS)、およびトロイの木馬は、コンピューターネットワークシステムを破壊するために使用されるネットワーク脅威のいくつかの例です。
- トロイの木馬ウイルスは、システムで割り当てられたタスクを実行するマルウェアの一種です。しかし実際には、ネットワークリソースに不正にアクセスしようとしていました。これらのウイルスがシステムに注入された場合、ハッカーはネットワークをハッキングする権利を与えられます。
- これらは非常に危険なウイルスであり、PCをクラッシュさせたり、システムから重要なデータをリモートで変更または削除したりする可能性があります。
- コンピュータワームはマルウェアプログラムの一種です。それらはネットワークの帯域幅と速度を消費して、それらのコピーをネットワークの他のPCに送信します。それらは、コンピュータのデータベースを完全に破壊または変更することによって、コンピュータに害を及ぼします。
- ワームは、暗号化されたファイルを破壊し、電子メールで添付する可能性があるため、インターネットを介してネットワークに送信される可能性があるため、非常に危険です。
ファイアウォール保護
小規模なネットワークでは、すべてのソフトウェアパッチがインストールされ、不要なサービスが無効になり、セキュリティソフトウェアが適切にインストールされていることを確認することで、各ネットワークデバイスを保護できます。
この状況では、図にも示されているように、ファイアウォールソフトウェアが各マシンとサーバーにマウントされ、リストされたトラフィックのみがデバイスに出入りできるように構成されています。ただし、これは小規模ネットワークでのみ効率的に機能します。
小規模ネットワークでのファイアウォール保護
大規模なネットワークでは、各ノードでファイアウォール保護を手動で構成することはほぼ不可能です。
一元化されたセキュリティシステムは、大規模なネットワークに安全なネットワークを提供するためのソリューションです。例を使用すると、ファイアウォールソリューションがルーター自体に課せられ、セキュリティポリシーの処理が簡単になることが次の図に示されています。トラフィックのポリシーはデバイスに出入りし、1つのデバイスだけで処理できます。
youtubeビデオダウンローダーソフトウェア無料ダウンロード
これにより、セキュリティシステム全体の費用効果が高まります。
大規模ネットワークでのファイアウォール保護
ファイアウォールとOSI参照モデル
ファイアウォールシステムは、OSI-ISO参照モデルの5つの層で機能します。しかし、それらのほとんどは、データリンク層、ネットワーク層、トランスポート層、およびアプリケーション層の4つの層でのみ実行されます。
ファイアウォールによって包まれているレイヤーの数は、使用されているファイアウォールのタイプによって異なります。カバーするレイヤーの数が増えるほど、あらゆる種類のセキュリティ問題に対処するファイアウォールソリューションがより効率的になります。
内部脅威への対処
ネットワークへの攻撃のほとんどはシステムの内部から発生するため、ファイアウォールシステムに対処するには、内部の脅威からも保護できる必要があります。
以下に、いくつかの種類の内部脅威について説明します。
#1) 悪意のあるサイバー攻撃は、最も一般的なタイプの内部攻撃です。システム管理者またはネットワークシステムにアクセスできるIT部門の従業員は、ウイルスを仕掛けて重要なネットワーク情報を盗んだり、ネットワークシステムに損傷を与えたりする可能性があります。
これに対処するための解決策は、すべての従業員の活動を監視し、各サーバーへのパスワードの複数のレイヤーを使用して内部ネットワークを保護することです。システムへのアクセスをできるだけ少ない従業員に許可することによって、システムを保護することもできます。
#二) 組織の内部ネットワークのホストコンピュータはどれも、ウイルスをダウンロードする知識がなくても、悪意のあるインターネットコンテンツをダウンロードできます。したがって、ホストシステムはインターネットへのアクセスを制限する必要があります。不要なブラウジングはすべてブロックする必要があります。
#3) ペンドライブ、ハードディスク、またはCD-ROMを介したホストPCからの情報漏えいも、システムに対するネットワークの脅威です。これは、組織の外部または競合他社への重大なデータベース漏洩につながる可能性があります。これは、ホストデバイスのUSBポートを無効にして、システムからデータを取り出せないようにすることで制御できます。
推奨読書=> トップUSBロックダウンソフトウェアツール
DMZ
非武装地帯(DMZ)は、資産とリソースを保護するためにファイアウォールシステムの大部分で使用されています。 DMZは、内部ネットワークを明らかにすることなく、外部ユーザーが電子メールサーバー、DNSサーバー、Webページなどのリソースにアクセスできるようにするために導入されています。これは、ネットワーク内の特徴的なセグメント間のバッファとして動作します。
ファイアウォールシステムの各リージョンには、セキュリティレベルが割り当てられています。
例えば 、低、中、高。通常、トラフィックは上位レベルから下位レベルに流れます。ただし、トラフィックが下位レベルから上位レベルに移動するために、異なるフィルタリングルールのセットが展開されます。
トラフィックが低いセキュリティレベルから高いセキュリティレベルに移動することを許可するには、許可されるトラフィックの種類について正確である必要があります。正確に言うと、必要不可欠なトラフィックに対してのみファイアウォールシステムのロックを解除しているため、他のすべての種類のトラフィックは構成によってブロックされます。
ファイアウォールは、ネットワークの特徴的な部分を分離するために展開されます。
さまざまなインターフェイスは次のとおりです。
- 最も低いレベルのセキュリティが割り当てられたインターネットへのリンク。
- サーバーが存在するため、DMZへのリンクに中程度のセキュリティが割り当てられました。
- リモートエンドにある組織へのリンクで、中程度のセキュリティが割り当てられています。
- 最高のセキュリティが内部ネットワークに割り当てられます。
DMSによるファイアウォール保護
組織に割り当てられたルールは次のとおりです。
- 高レベルから低レベルのアクセスが許可されます
- 低レベルから高レベルへのアクセスは許可されていません
- 同等レベルのアクセスも許可されていません
上記の一連のルールを使用することにより、ファイアウォールを自動的に通過できるトラフィックは次のようになります。
- DMZ、リモート組織、およびインターネットへの内部デバイス。
- リモート組織とインターネットへのDMZ。
その他の種類のトラフィックフローはブロックされます。このような設計の利点は、インターネットとリモート組織に同等のセキュリティレベルが割り当てられているため、インターネットからのトラフィックは、それ自体が保護を強化する組織を宛先にすることができず、組織は無料でインターネットを使用できないことです。 (それはお金を節約します)。
もう1つの利点は、階層化されたセキュリティを提供することです。したがって、ハッカーが内部リソースをハッキングしたい場合は、最初にDMZをハッキングする必要があります。ハッカーの仕事はより厳しくなり、その結果、システムははるかに安全になります。
ファイアウォールシステムのコンポーネント
優れたファイアウォールシステムの構成要素は次のとおりです。
- 境界ルーター
- ファイアウォール
- VPN
- IDS
#1)境界ルーター
それを使用する主な理由は、インターネットのようなパブリックネットワークシステム、または独特の組織へのリンクを提供することです。適切なルーティングプロトコルに従って、データパケットのルーティングを実行します。
また、パケットのフィルタリングとアドレス変換もプロビジョニングします。
#2)ファイアウォール
前に説明したように、その主なタスクは、固有のレベルのセキュリティをプロビジョニングし、各レベル間のトラフィックを監視することです。ファイアウォールのほとんどは、外部の脅威からのセキュリティを提供するためにルーターの近くに存在しますが、内部の攻撃から保護するために内部ネットワークに存在する場合もあります。
#3)VPN
その機能は、2台のマシンまたはネットワーク間、またはマシンとネットワーク間の安全な接続をプロビジョニングすることです。これは、暗号化、認証、およびパケットの信頼性の保証で構成されます。ネットワークの安全なリモートアクセスをプロビジョニングし、物理的に接続されていない状態で同じプラットフォーム上の2つのWANネットワークを接続します。
#4)IDS
その機能は、不正な攻撃を特定、排除、調査、および解決することです。ハッカーはさまざまな方法でネットワークを攻撃できます。 DoS攻撃、または不正アクセスを介したネットワークの裏側からの攻撃を実行できます。 IDSソリューションは、これらのタイプの攻撃に対処するのに十分スマートである必要があります。
IDSソリューション ネットワークベースとホストベースの2種類があります。ネットワークベースのIDSソリューションは、攻撃が発見されたときはいつでも、ファイアウォールシステムにアクセスでき、ログイン後に不要なトラフィックを制限できる効率的なフィルターを構成できるように熟練している必要があります。
ホストベースのIDSソリューションは、ラップトップやサーバーなどのホストデバイス上で実行される一種のソフトウェアであり、そのデバイスに対する脅威のみを検出します。 IDSソリューションは、ネットワークの脅威を綿密に検査してタイムリーに報告し、攻撃に対して必要なアクションを実行する必要があります。
コンポーネントの配置
ファイアウォールシステムの主要な構成要素のいくつかについて説明しました。次に、これらのコンポーネントの配置について説明します。
以下に例を使用して、ネットワークの設計を示します。ただし、すべての設計にはいくつかの制約がある可能性があるため、それが全体的な安全なネットワーク設計であると完全に言うことはできません。
トラフィックがネットワークを通過するときに、基本的なフィルタリング機能を備えた境界ルーターが使用されます。 IDSコンポーネントは、境界ルーターがフィルターで除外できなかった攻撃を識別するために配置されます。
これにより、トラフィックはファイアウォールを通過します。ファイアウォールは3つのレベルのセキュリティを開始しました。インターネットの場合は低、DMZの場合は中、内部ネットワークの場合は高です。従うルールは、インターネットからWebサーバーへのトラフィックのみを許可することです。
下側から上側への残りのトラフィックフローは制限されますが、高い側から低い側へのトラフィックフローが許可されるため、管理者はDMZサーバーにログオンするために内部ネットワークに常駐します。
ファイアウォールシステム全体の設計例
この設計には、パケットを内部でルーティングしてフィルタリングアクションを実行するための内部ルーターも実装されています。
この設計の利点は、3層のセキュリティ、パケットフィルタリング境界ルーター、IDS、およびファイアウォールを備えていることです。
この設定の欠点は、内部ネットワークでIDSが発生しないため、内部攻撃を簡単に防ぐことができないことです。
makefile c ++を作成する方法
重要な設計上の事実:
- セキュリティを強化するには、ネットワークの境界でパケットフィルタリングファイアウォールを使用する必要があります。
- インターネットなどのパブリックネットワークにアクセスできるすべてのサーバーは、DMZに配置されます。重要なデータを持つサーバーには、ホストベースのファイアウォールソフトウェアが搭載されます。サーバー上のこれらに加えて、すべての不要なサービスを無効にする必要があります。
- ネットワークに、モバイル操作で使用されるHLRサーバー、IN、SGSNなどの重要なデータベースサーバーがある場合、複数のDMZが展開されます。
- 遠端組織などの外部ソースがセキュリティシステムの内部ネットワークに配置されたサーバーにアクセスする場合は、VPNを使用します。
- 研究開発や資金源などの重要な内部情報源については、IDSを使用して内部攻撃を監視および対処する必要があります。セキュリティのレベルを個別に課すことにより、内部ネットワークに追加のセキュリティを提供できます。
- 電子メールサービスの場合、内部の脅威を回避できるように、すべての送信電子メールは最初にDMZ電子メールサーバーを通過し、次にいくつかの追加のセキュリティソフトウェアを通過する必要があります。
- 受信メールの場合、DMZサーバーに加えて、ウイルス対策、スパム、およびホストベースのソフトウェアをインストールして、メールがサーバーに入るたびにサーバーで実行する必要があります。
ファイアウォールの管理と管理
これで、ファイアウォールシステムの構成要素を選択しました。ネットワークシステムにセキュリティルールを設定する時が来ました。
コマンドラインインターフェイス(CLI)とグラフィックユーザーインターフェイス(GUI)は、ファイアウォールソフトウェアの構成に使用されます。 例えば 、シスコ製品は両方の種類の設定方法をサポートしています。
現在、ほとんどのネットワークでは、シスコの製品でもあるセキュリティデバイスマネージャ(SDM)を使用して、ルータ、ファイアウォール、およびVPN属性を設定しています。
ファイアウォールシステムを実装するには、プロセスをスムーズに実行するために効率的な管理が非常に重要です。ヒューマンエラーの余地がないため、セキュリティシステムを管理する人は仕事をマスターする必要があります。
いかなる種類の構成エラーも回避する必要があります。構成の更新が行われるときはいつでも、管理者はプロセス全体を調べて再確認し、抜け穴やハッカーがプロセスを攻撃する余地がないようにする必要があります。管理者は、ソフトウェアツールを使用して、行われた変更を調べる必要があります。
ファイアウォールシステムの主要な構成変更を、進行中の大規模ネットワークに直接適用することはできません。障害が発生すると、ネットワークが大幅に失われ、不要なトラフィックがシステムに直接入る可能性があるためです。したがって、最初にラボで実行し、結果に問題がない場合は結果を調べてから、ライブネットワークに変更を実装できます。
ファイアウォールカテゴリ
トラフィックのフィルタリングに基づいて、ファイアウォールには多くのカテゴリがあり、その一部を以下に説明します。
#1)パケットフィルタリングファイアウォール
これは、データパケットの内容のいくつかをフィルタリングする機能を備えた一種のルーターです。パケットフィルタリングを使用する場合、ルールはファイアウォールで分類されます。これらのルールは、パケットからどのトラフィックが許可され、どのトラフィックが許可されていないかを調べます。
#2)ステートフルファイアウォール
動的パケットフィルタリングとも呼ばれ、アクティブな接続のステータスを検査し、そのデータを使用して、ファイアウォールの通過を許可するパケットと許可しないパケットを見つけます。
ファイアウォールは、アプリケーション層までパケットを検査します。データパケットのIPアドレスやポート番号などのセッションデータをトレースすることで、ネットワークに非常に強力なセキュリティを提供できます。
また、着信トラフィックと発信トラフィックの両方を検査するため、ハッカーはこのファイアウォールを使用してネットワークに干渉することが難しいと判断しました。
#3)プロキシファイアウォール
これらは、アプリケーションゲートウェイファイアウォールとも呼ばれます。ステートフルファイアウォールは、HTTPベースの攻撃からシステムを保護できません。そのため、プロキシファイアウォールが市場に導入されています。
これには、ステートフルインスペクションの機能に加えて、アプリケーション層プロトコルを綿密に分析する機能が含まれています。
したがって、HTTPおよびFTPからのトラフィックを監視し、攻撃の可能性を見つけることができます。したがって、ファイアウォールはプロキシとして動作します。つまり、クライアントはファイアウォールとの接続を開始し、その代わりにファイアウォールはクライアント側のサーバーとのソロリンクを開始します。
ファイアウォールソフトウェアの種類
組織がシステムを保護するために使用する最も人気のあるファイアウォールソフトウェアのいくつかを以下に示します。
#1)コモドファイアウォール
このファイアウォールの一般的な機能は、仮想インターネットブラウジング、不要なポップアップ広告のブロック、およびDNSサーバーのカスタマイズです。仮想キオスクは、ネットワークを回避して侵入することにより、一部の手順とプログラムをブロックするために使用されます。
このファイアウォールでは、許可およびブロックするポートやその他のプログラムを定義するための長いプロセスに従う以外に、プログラムを参照して目的の出力をクリックするだけで、任意のプログラムを許可およびブロックできます。
Comodo killswitchは、このファイアウォールの拡張機能でもあり、進行中のすべてのプロセスを示し、不要なプログラムを非常に簡単にブロックできます。
#2)AVSファイアウォール
実装は非常に簡単です。これは、厄介なレジストリの修正、ポップアップウィンドウ、および不要な広告からシステムを保護します。また、広告のURLをいつでも変更したり、ブロックしたりすることもできます。
また、ペアレンタルコントロールの機能もあります。これは、ウェブサイトの正確なグループのみへのアクセスを許可する一部です。
これは、Windows 8、7、Vista、およびXPで使用されます。
#3)Netdefender
ここでは、システムで許可されているものと許可されていないものの送信元と宛先のIPアドレス、ポート番号、およびプロトコルの概要を簡単に説明できます。 FTPを任意のネットワークに展開および制限することを許可およびブロックできます。
また、トラフィックフローに使用できるものを視覚化できるポートスキャナーも備えています。
#4)PeerBlock
コンピュータで定義されたプログラムの個々のクラスをブロックしているにもかかわらず、特定のカテゴリに分類されるIPアドレスクラス全体をブロックします。
禁止されているIPアドレスのセットを定義することにより、着信トラフィックと発信トラフィックの両方をブロックすることにより、この機能を展開します。したがって、そのIPのセットを使用するネットワークまたはコンピューターはネットワークにアクセスできず、内部ネットワークもこれらのブロックされたプログラムに送信トラフィックを送信できません。
#5)Windowsファイアウォール
Windows 7ユーザーが最も頻繁に使用するファイアウォールは、このファイアウォールです。 IPアドレスとポート番号を分析することにより、ネットワーク間またはネットワークまたはデバイス間のトラフィックと通信のアクセスと制限をプロビジョニングします。デフォルトでは、すべてのアウトバウンドトラフィックを許可しますが、定義されているインバウンドトラフィックのみを許可します。
#6)ジュニパーファイアウォール
ジュニパー自体がネットワーク組織であり、さまざまなタイプのルーターやファイアウォールフィルターも設計しています。モバイルサービスプロバイダーのようなライブネットワークでは、ジュニパー製のファイアウォールを使用して、さまざまな種類の脅威からネットワークサービスを保護します。
これらは、ネットワークルーター、余分な着信トラフィック、およびネットワークサービスを中断し、どのルーターインターフェイスから転送されるトラフィックを処理する可能性のある外部ソースからの受信不能な攻撃を保護します。
これは、着信および発信の物理インターフェイスのそれぞれに1つの入力および1つの出力ファイアウォールフィルターを実装します。これにより、着信インターフェイスと発信インターフェイスの両方で定義されたルールに従って、不要なデータパケットが除外されます。
デフォルトのファイアウォール構成設定に従って、どのパケットを受け入れ、どのパケットを破棄するかが決定されます。
結論
ファイアウォールのさまざまな側面に関する上記の説明から、外部および内部のネットワーク攻撃を克服するために、ファイアウォールの概念が導入されたと結論付けます。
ファイアウォールは、特定のルールセットに従うことにより、ウイルスやその他の種類の悪意のある攻撃からネットワークシステムを保護するハードウェアまたはソフトウェアにすることができます。
また、ここでは、ファイアウォールのさまざまなカテゴリ、ファイアウォールのコンポーネント、ファイアウォールの設計と実装、そしてネットワーク業界で展開するために使用した有名なファイアウォールソフトウェアのいくつかについても説明しました。