logo

TechCodeview

Ugunsmūra ieviešana datortīklā

Ugunsmūris ir tīkla drošības ierīce, kas novērš nesankcionētu piekļuvi tīklam. Tas uzrauga gan ienākošo, gan izejošo trafiku, izmantojot iepriekš noteiktu drošības komplektu, lai atklātu un novērstu draudus.

binārās meklēšanas algoritms

Kas ir ugunsmūris?

Ugunsmūris ir uz aparatūru vai programmatūru balstīta tīkla drošības ierīce, kas uzrauga visu ienākošo un izejošo trafiku un, pamatojoties uz noteiktu drošības noteikumu kopumu, pieņem, noraida vai atmet šo konkrēto trafiku.



  • Pieņemt: atļaut satiksmi
  • Noraidīt: bloķējiet trafiku, bet atbildiet ar nesasniedzamu kļūdu
  • Nomest: bloķēt satiksmi bez atbildes

Ugunsmūris ir tīkla drošības ierīces veids, kas filtrē ienākošo un izejošo tīkla trafiku ar drošības politikām, kas iepriekš ir iestatītas organizācijā. Ugunsmūris būtībā ir siena, kas atdala privāto iekšējo tīklu no atvērtā interneta tā pamatlīmenī.

Ugunsmūris

Vēsture un nepieciešamība pēc ugunsmūra

Pirms ugunsmūriem tīkla drošību nodrošināja piekļuves kontroles saraksti (ACL), kas atradās maršrutētājos. ACL ir noteikumi, kas nosaka, vai piekļuve tīklam ir jāpiešķir vai jāliedz konkrētai IP adresei. Taču ACL nevar noteikt bloķētās paketes raksturu. Turklāt tikai ACL nespēj novērst draudus no tīkla. Tādējādi tika ieviests ugunsmūris. Savienojuma izveide ar internetu organizācijām vairs nav obligāta. Tomēr piekļuve internetam sniedz priekšrocības organizācijai; tas arī ļauj ārpasaulei mijiedarboties ar organizācijas iekšējo tīklu. Tas rada draudus organizācijai. Lai aizsargātu iekšējo tīklu no nesankcionētas trafika, mums ir nepieciešams ugunsmūris.



Ugunsmūra darbība

Ugunsmūris saskaņo tīkla trafiku ar kārtulu kopu, kas definēta tās tabulā. Kad kārtula ir saskaņota, tīkla trafikai tiek piemērota saistīšanas darbība. Piemēram, noteikumi ir definēti tā, ka jebkurš personāla nodaļas darbinieks nevar piekļūt datiem no koda servera, un tajā pašā laikā ir definēts cits noteikums, piemēram, sistēmas administrators var piekļūt datiem gan no cilvēkresursu, gan tehniskās nodaļas. Noteikumus var definēt ugunsmūrī, pamatojoties uz organizācijas nepieciešamību un drošības politiku. No servera viedokļa tīkla trafiks var būt gan izejošais, gan ienākošais.

Ugunsmūris uztur atsevišķu noteikumu kopumu abos gadījumos. Lielākoties izejošajai trafikai, kas cēlusies no paša servera, ļāva tikt cauri. Tomēr vienmēr labāk ir iestatīt noteikumu par izejošo trafiku, lai panāktu lielāku drošību un novērstu nevēlamu saziņu. Ienākošo trafiku izturas atšķirīgi. Lielākā daļa trafika, kas sasniedz ugunsmūri, ir viens no šiem trim galvenajiem transporta slāņa protokoliem - TCP, UDP vai ICMP. Visiem šiem veidiem ir avota adrese un galamērķa adrese. Turklāt TCP un UDP ir portu numuri. ICMP lietojumi tipa kods porta numura vietā, kas identificē šīs paketes mērķi.

Noklusējuma politika: Ir ļoti grūti skaidri aptvert visus iespējamos ugunsmūra noteikumus. Šī iemesla dēļ ugunsmūrim vienmēr ir jābūt noklusējuma politikai. Noklusējuma politika sastāv tikai no darbības (pieņemt, noraidīt vai nomest). Pieņemsim, ka ugunsmūrī nav definēts noteikums par SSH savienojumu ar serveri. Tātad tas ievēros noklusējuma politiku. Ja ugunsmūra noklusējuma politika ir iestatīta uz pieņemt , tad jebkurš dators ārpus jūsu biroja var izveidot SSH savienojumu ar serveri. Tāpēc noklusējuma politika tiek iestatīta kā piliens (vai noraidīt) vienmēr ir laba prakse.



Ugunsmūra veidi

Ugunsmūrus var iedalīt kategorijās atkarībā no to paaudzes.

1. Pakešu filtrēšanas ugunsmūris

Pakešu filtrēšanas ugunsmūris tiek izmantots, lai kontrolētu piekļuvi tīklam, uzraugot izejošās un ienākošās paketes un ļaujot tām iziet vai apturēt, pamatojoties uz avota un mērķa IP adresi, protokoliem un portiem. Tas analizē trafiku transporta protokola slānī (bet galvenokārt izmanto pirmos 3 slāņus). Pakešu ugunsmūri apstrādā katru paketi atsevišķi. Viņiem nav iespēju noteikt, vai pakete ir daļa no esošās trafika straumes. Tikai tā var atļaut vai liegt paketes, pamatojoties uz unikālām pakešu galvenēm. Pakešu filtrēšanas ugunsmūris uztur filtrēšanas tabulu, kas izlemj, vai pakete tiks pārsūtīta vai izmesta. No dotās filtrēšanas tabulas paketes tiks filtrētas saskaņā ar šādiem noteikumiem:

Pakešu filtra ugunsmūris

  • Ienākošās paketes no tīkla 192.168.21.0 ir bloķētas.
  • Ienākošās paketes, kas paredzētas iekšējam TELNET serverim (ports 23), tiek bloķētas.
  • Ienākošās paketes, kas paredzētas resursdatoram 192.168.21.3, ir bloķētas.
  • Ir atļauti visi labi zināmie pakalpojumi tīklā 192.168.21.0.

2. Stateful Inspection Firewall

Status saturošie ugunsmūri (veic Stateful Packet Inspection) spēj noteikt pakešu savienojuma stāvokli, atšķirībā no pakešu filtrēšanas ugunsmūra, kas padara to efektīvāku. Tas seko tīkla savienojuma stāvoklim, kas pārvietojas pa to, piemēram, TCP straumēm. Tātad filtrēšanas lēmumi būtu balstīti ne tikai uz noteiktiem noteikumiem, bet arī uz pakešu vēsturi stāvokļa tabulā.

3. Programmatūras ugunsmūris

Programmatūras ugunsmūris ir jebkurš ugunsmūris, kas ir iestatīts lokāli vai mākoņa serverī. Ja runa ir par datu pakešu ieplūdes un aizplūšanas kontroli un to tīklu skaita ierobežošanu, kurus var savienot ar vienu ierīci, tie var būt visizdevīgākie. Taču programmatūras ugunsmūra problēma ir tā, ka tās ir laikietilpīgas.

4. Aparatūras ugunsmūris

Tie tiek dēvēti arī par ugunsmūriem, kuru pamatā ir fiziskas ierīces. Tas garantē, ka ļaunprātīgie dati tiek apturēti, pirms tie sasniedz apdraudēto tīkla galapunktu.

5. Lietojumprogrammas slāņa ugunsmūris

Lietojumprogrammas slāņa ugunsmūris var pārbaudīt un filtrēt paketes jebkurā OSI slānī līdz pat lietojumprogrammas slānim. Tam ir iespēja bloķēt noteiktu saturu, kā arī atpazīt, kad noteiktas lietojumprogrammas un protokoli (piemēram, HTTP, FTP) tiek ļaunprātīgi izmantoti. Citiem vārdiem sakot, lietojumprogrammu slāņa ugunsmūri ir resursdatori, kuros darbojas starpniekserveri. Starpniekservera ugunsmūris novērš tiešu savienojumu starp abām ugunsmūra pusēm, katrai paketei ir jāiziet caur starpniekserveri.

6. Nākamās paaudzes ugunsmūri (NGFW)

NGFW sastāv no dziļās pakešu pārbaudes, lietojumprogrammu pārbaudes, SSL/SSH pārbaudes un daudzām funkcijām, lai aizsargātu tīklu no šiem mūsdienu draudiem.

7. Starpniekservera pakalpojuma ugunsmūris

Šāda veida ugunsmūris filtrē sakarus lietojumprogrammas līmenī un aizsargā tīklu. Starpniekservera ugunsmūris konkrētai lietojumprogrammai darbojas kā vārteja starp diviem tīkliem.

8. Circuit Level Gateway Firewall

Tas darbojas kā OSI modeļa sesiju slānis. Tas ļauj vienlaikus iestatīt divus Transmission Control Protocol (TCP) savienojumus. Tas var bez piepūles ļaut datu paketēm plūst, neizmantojot diezgan lielu skaitļošanas jaudu. Šie ugunsmūri ir neefektīvi, jo tie nepārbauda datu paketes; ja datu paketē tiek atrasta ļaunprātīga programmatūra, tā ļaus tai pāriet, ja TCP savienojumi ir izveidoti pareizi.

Ugunsmūra funkcijas

  • Katram datu vienumam, kas ienāk datortīklā vai iziet no tā, ir jāiet caur ugunsmūri.
  • Ja datu paketes tiek droši maršrutētas caur ugunsmūri, visi svarīgie dati paliek neskarti.
  • Ugunsmūris reģistrē katru datu paketi, kas tam iet cauri, ļaujot lietotājam sekot līdzi visām tīkla darbībām.
  • Tā kā dati tiek droši glabāti datu paketēs, tos nevar mainīt.
  • Katru mēģinājumu piekļūt mūsu operētājsistēmai pārbauda mūsu ugunsmūris, kas arī bloķē trafiku no neidentificētiem vai nevēlamiem avotiem.

Ugunsmūra izmantošanas priekšrocības

  • Aizsardzība pret nesankcionētu piekļuvi: Ugunsmūrus var iestatīt, lai ierobežotu ienākošo trafiku no noteiktām IP adresēm vai tīkliem, neļaujot hakeriem vai citiem ļaunprātīgiem dalībniekiem viegli piekļūt tīklam vai sistēmai. Aizsardzība pret nevēlamu piekļuvi.
  • Ļaunprātīgas programmatūras un citu draudu novēršana: Ļaunprātīgas programmatūras un citu draudu novēršana: ugunsmūrus var iestatīt, lai bloķētu datplūsmu, kas saistīta ar zināmu ļaunprātīgu programmatūru vai citām drošības problēmām, tādējādi palīdzot aizsargāties pret šāda veida uzbrukumiem.
  • Tīkla piekļuves kontrole: Ierobežojot piekļuvi noteiktām personām vai grupām konkrētiem serveriem vai lietojumprogrammām, ugunsmūrus var izmantot, lai ierobežotu piekļuvi noteiktiem tīkla resursiem vai pakalpojumiem.
  • Tīkla darbības uzraudzība: Ugunsmūrus var iestatīt, lai reģistrētu un izsekotu visas tīkla darbības.
  • Atbilstība noteikumiem: Daudzām nozarēm ir saistoši noteikumi, kas pieprasa izmantot ugunsmūrus vai citus drošības pasākumus.
  • Tīkla segmentācija: Izmantojot ugunsmūrus, lai sadalītu lielāku tīklu mazākos apakštīklos, tiek samazināta uzbrukuma virsma un paaugstināts drošības līmenis.

Ugunsmūra lietošanas trūkumi

  • Sarežģītība: Ugunsmūra iestatīšana un uzturēšana var būt laikietilpīga un sarežģīta, jo īpaši lielākiem tīkliem vai uzņēmumiem ar plašu lietotāju un ierīču klāstu.
  • Ierobežota redzamība: Ugunsmūri var nespēt identificēt vai apturēt drošības riskus, kas darbojas citos līmeņos, piemēram, lietojumprogrammas vai galapunkta līmenī, jo tie var novērot un pārvaldīt trafiku tikai tīkla līmenī.
  • Viltus drošības sajūta: Daži uzņēmumi var pārmērīgi paļauties uz savu ugunsmūri un neņemt vērā citus būtiskus drošības pasākumus, piemēram, galapunktu drošību vai ielaušanās atklāšanas sistēmas.
  • Ierobežota pielāgošanās spēja: Tā kā ugunsmūri bieži ir balstīti uz noteikumiem, tie var nespēt reaģēt uz jauniem drošības apdraudējumiem.
  • Ietekme uz veiktspēju: Tīkla veiktspēju var būtiski ietekmēt ugunsmūri, īpaši, ja tie ir iestatīti lielas trafika analīzei vai pārvaldībai.
  • Ierobežota mērogojamība: Tā kā ugunsmūri var nodrošināt tikai vienu tīklu, uzņēmumiem, kuriem ir vairāki tīkli, ir jāizvieto daudzi ugunsmūri, kas var būt dārgi.
  • Ierobežots VPN atbalsts: Daži ugunsmūri var neļaut izmantot sarežģītas VPN funkcijas, piemēram, dalītu tunelēšanu, kas var ierobežot attālināta darbinieka pieredzi.
  • Izmaksas: Daudzu ierīču vai ugunsmūra sistēmas papildinājumu iegāde var būt dārga, īpaši uzņēmumiem.

Prakses jautājums

Jautājums: pakešu filtrēšanas ugunsmūris var [ISRO CS 2013]

(A) Liegt dažiem lietotājiem piekļūt pakalpojumam

(B) Bloķējiet tārpu un vīrusu iekļūšanu tīklā

(C) Neļaujiet dažiem failiem piekļūt, izmantojot FTP

(D) Bloķējiet dažiem resursdatoriem piekļuvi tīklam

Atbilde: variants (D)

Lai iegūtu sīkāku informāciju, varat atsaukties ISRO | ISRO CS 2013 | 44. jautājums publicēta viktorīna.

Bieži uzdotie jautājumi par ugunsmūriem — FAQ

Vai ugunsmūris var palēnināt tīkla ātrumu?

Jā, tīkla ātrumu var palēnināt ugunsmūris.

Kā ugunsmūris aptur satiksmi?

Ugunsmūris darbojas kā pastāvīgs filtrs, analizējot ienākošos datus un bloķējot visu, kas šķiet aizdomīgs, iekļūšanu tīklā, lai aizsargātu sistēmu.

Vai ugunsmūri var apturēt tārpus?

Jā, ugunsmūra instalēšana palīdz novērst tārpu un ļaunprātīgas programmatūras inficēšanos ar datoru, kā arī bloķē nevēlamu trafiku.