Firewallファイアウォール
March 31, 2008 2008年3月31日
If you're new here, you may want to subscribe to my RSS feed .ここに新しいしている場合は、あなたが私のRSSフィードを購読することができます 。 Thanks for visiting and have a nice day!訪問していただき、ありがとうございますとすてきな一日を過ごす!
In the era of the Internet being necessary for business, companies have found out that they need to think long and hard about the security implications of an internet connection.インターネットビジネスに必要とされての時代では、企業が長いと思うし、ハードではインターネット接続の必要性については、セキュリティ上の影響を発見した。 One needs to find a form of security policy that includes the number of machines and systems with Internet connection.A firewall is a set of tools (firmware ie hardware and software) designed to prevent unauthorized access to a network.セキュリティポリシーの1つは、マシンとインターネットconnection.Aファイアウォール機能を備えたシステムの数を含むフォームを特定する必要があるツールのセット(ファームウェアすなわちハードウェアおよびソフトウェア)は、ネットワークへの不正アクセスを防ぐように設計されています。 A typical firewall is based on 2 architectures ie the “choke router” and the “bastion host” CHOKE ROUTER典型的なファイアウォール2のアーキテクチャでは、 "チョークすなわち基づいているルーター"と"砦ホスト" CHOKEルーター
This involves using a router to limit access ie using access control list to control which IP packets are routed and to where.このアクセスすなわちIPパケットをルーティングされますを制御するアクセス制御リストを使用して制限するためには、ルーターを使用している場所。 You can use it to deny access to your network for specific types or to make sure that specific packets are delivered to specific machines. BASTION HOSTあなたがまたは特定の種類のネットワークへのアクセスを拒否するようには、特定のパケットを特定のマシンにあるBASTION開催配信されていることを確認するために使うことができます
This is a computer that is used for only one purpose and that is to pass packets between your network and the Internet.これは1つだけの目的で使用されているコンピュータとは、お客様のネットワークとインターネットの間のパケットを通過することです。 It is a dedicated machine with two separate NICS, It acts as an active router linking the private network to the Internet, monitoring the state of the connection and blocking packets that do not meet the rules defined. 2つの別々のNICには、専用の機械で、これはアクティブなルータは、インターネットには、プライベートネットワークリンクとしては、ルールの定義を満たしていないパケットは、接続の状態とブロッキングを監視行為をされています。 This machine should not be used for anything else eg checking e-mails.このマシンは何も他の人の電子メールのチェックなどに使用されることはありません。 The Bastion host must be configured to prevent any packets from being routed directly between its networks interfaces.ののBastionホストのネットワークインターフェイスとの間に直接ルーティングされてから任意のパケットを防止するように設定する必要があります。
THE DMZ 非武装地帯
The DMZ lies between the choke router and the bastion hosts.が、 DMZホストとルータの砦チョークの間に位置しています。 It is a partially protected area where one can install public services.それは部分的に保護領域が1つのパブリックサービスをインストールすることができます。 Machines in the DMZ should be used for only one purpose and should not be fully trusted eg web server, FTP Server.マシンは、非武装地帯では1つだけ使用されるべき目的のために、完全にWebサーバ、 FTPサーバなど信頼されることはありません。 Any extra service should be disabled and user accounts kept to a minimum.余分なサービスとユーザーアカウントを無効にする必要は最小限に抑えている。 Some DMZ are mode secure by hosting a third NIC to host-public services and using a firewall to protect them rather than a choke router.いくつかの非武装地帯は3分の1のNICをホストモードをホストする公共サービスというよりもそれらを守るためには、ファイアウォールがルータを使用して、チョークを確保する。
CHOOSING A FIREWALL ファイアウォールを選択する
There are two technologies that are used to build a firewall ie packet filters and application gateways.そこには、ファイアウォールすなわち、パケットフィルタとアプリケーションゲートウェイ構築に使用されている2つの技術です。
One can use packet filtering technologies which can allow or prevent access to specific services from specific machines.自分ができるパケットのフィルタリング技術を使用することができますまたは特定のマシンから特定のサービスへのアクセスを防ぐ。 It can be done on the sites access routers (high level) or in a specific firewall.これは、サイトにアクセスルータ(高レベル)または特定のファイアウォール内で行うことができます。 A router alone cannot effectively monitor all incoming and outgoing IP packets thus protocols like FTP that use more than one data stream present a problem.ルーターだけで効果的にすべての受信および送信IPパケットのためのFTPは、 1つのデータストリーム以上のようなプロトコルを使用して現在の問題を監視することはできません。 It gets worse when using connectionless protocol like UDP.このときのようなコネクションレス型のUDPプロトコルを使用して悪化されます。
Circuit level or application gateway are used to act as routers that pass only specific packets onto specific machines (eg HTTP requests to a web server or SMTP to mail server).回路レベルまたはアプリケーションゲートウェイは、特定のマシン上に特定のパケットだけを通過ルータとして機能するために使用されます( WebサーバーやSMTPサーバーにメールを出して) HTTPリクエストなど。 Circuit level gateways open a virtual circuit on receiving a valid handshake but don’t analyze packet traffic.サーキットレベルゲートウェイは、有効な握手を受けるには、仮想回路を開くパケットのトラフィックを分析することはありません。
Once a firewall has been built you can add extra features like virus checker between an email gateway and your SMTP mailer so all encapsulated files are virus checked before entry to the system.一度は、ファイアウォールをすべてカプセル化されたファイルがウイルスをシステムに入力する前にチェックするので、メールをSMTPゲートウェイとの間にウイルスチェッカーメーラーのような余分な機能を追加することができます内蔵されています。
NB : A proxy server is not a firewall, they make it easy to connect to the Internet but don’t protect it from intrusion. 注意 :プロキシサーバーは、ファイアウォールではないが、彼らはそれは、インターネットへの接続を簡単には侵入から保護することはありません。
RUNNING A FIREWALL: ファイアウォールを実行している:
Once a firewall is chosen, one then defines the rules of procedure you will use to defend your system.一度は、ファイアウォールを選択すると、 1つの手続きの後、あなたのシステムを守るために使用するルールを定義しています。 Test your firewall regularly by using scanning tools.定期的にスキャンツールを使用してテストして、ファイアウォール。
Commentsコメント
