Firewall 방화벽
March 31, 2008 2008년 3월 31일
If you're new here, you may want to subscribe to my RSS feed . 만약 여기 새로해서, 당신은 나의 RSS 피드에 가입하고자 할 수있습니다. Thanks for visiting and have a nice day! 방문해 주셔서 감사합니다 좋은 하루 되세요!
In the era of the Internet being necessary for business, companies have found out that they need to think long and hard about the security implications of an internet connection. 인터넷 비즈니스에 필요한되고의 시대에서 기업들이 오랫동안 생각하고 열심히 인터넷 연결의 의미에 대해 보안을 필요로 발견했다. One needs to find a form of security policy that includes the number of machines and systems with Internet connection.A firewall is a set of tools (firmware ie hardware and software) designed to prevent unauthorized access to a network. 한 보안 정책의 기계와 인터넷 connection.A 방화벽과 시스템의 숫자가 포함된 양식을 찾는 데 필요한 도구의 집합 (펌웨어 즉, 하드웨어와 소프트웨어)가 네트워크에 대한 무단 액세스를 방지하기 위해 설계되었습니다. A typical firewall is based on 2 architectures ie the “choke router” and the “bastion host” CHOKE ROUTER 일반적인 방화벽이 아키텍처에서 "질식 기반의 라우터, 즉"및 "바스티언 호스트"질식 라우터
This involves using a router to limit access ie using access control list to control which IP packets are routed and to where. 즉, IP 패킷을 라우팅하는이 액세스를 제어하는 액세스 제어 목록 사용을 제한하는 라우터를 사용하고있다 어디로 갈까. You can use it to deny access to your network for specific types or to make sure that specific packets are delivered to specific machines. BASTION HOST 당신이나 특정 유형의 네트워크 액세스를 거부하는 특정 패킷을 특정 기계. 바스티언 호스트를 전달되는지 확인하기 위해서 사용할 수있습니다
This is a computer that is used for only one purpose and that is to pass packets between your network and the Internet. 이것은 하나의 목적을 위해서만 사용하는 컴퓨터와 사용자의 네트워크와 인터넷 사이의 패킷을 전달하는 것입니다. It is a dedicated machine with two separate NICS, It acts as an active router linking the private network to the Internet, monitoring the state of the connection and blocking packets that do not meet the rules defined. 그것은 두 개의 별도의 전용 머신의 NIC와 함께, 그것은 활성 라우터는 인터넷에 개인 네트워크 연결로, 그 규칙을 정의에 부합하지 않는 패킷은 연결의 상태를 모니터링하고 차단하는 행위입니다. This machine should not be used for anything else eg checking e-mails. 이 기계는 아무것도 전자 - 메일을 체크하기 위해 사용해서는 안 예. The Bastion host must be configured to prevent any packets from being routed directly between its networks interfaces. 는 바스티언 호스트의 네트워크 인터페이스간에 직접 라우팅되는 모든 패킷을 방지하도록 구성되어야합니다.
THE DMZ 비무장 지대
The DMZ lies between the choke router and the bastion hosts. 비무장 지대와 바스티언 호스트가 라우터를 질식 사이에있다. It is a partially protected area where one can install public services. 그것은 부분적으로 보호 지역 한 공공 서비스를 설치할 수있다. Machines in the DMZ should be used for only one purpose and should not be fully trusted eg web server, FTP Server. 기계 비무장 지대에서 단 하나의 목적을 위해 사용해야 완벽하게 웹 서버, FTP 서버 예 신뢰해서는 안됩니다. Any extra service should be disabled and user accounts kept to a minimum. 불필요한 서비스 및 사용자 계정을 비활성화 최소로 유지되어야합니다. Some DMZ are mode secure by hosting a third NIC to host-public services and using a firewall to protect them rather than a choke router. DMZ에 위치 모드 일부 호스트에 3 NIC를 호스팅 - 공공 서비스와 라우터를 질식보다는 그들을 보호하기 위해 방화벽을 사용하여 보안을 유지합니다.
CHOOSING A FIREWALL 선택 방화벽
There are two technologies that are used to build a firewall ie packet filters and application gateways. 이미 그 방화벽 즉, 패킷 필터와 애플 리케이션 게이트웨이 구축하는 데 사용되는 두 가지 기술이있다.
One can use packet filtering technologies which can allow or prevent access to specific services from specific machines. 하나 허용할 수있는 패킷 필터링 기술을 사용할 수있습니다 또는 특정 컴퓨터에서 특정 서비스에 액세스하지 못하도록했다. It can be done on the sites access routers (high level) or in a specific firewall. 그것은 사이트에 액세스 라우터 (높은 수준) 또는 특정 방화벽에서 할 수있습니다. A router alone cannot effectively monitor all incoming and outgoing IP packets thus protocols like FTP that use more than one data stream present a problem. 한 라우터는 혼자가 효과적으로 모든 수신 및 발신 IP 패킷의 FTP 따라서 하나 이상의 문제가 현재 사용하는 데이터 스트림과 같은 프로토콜을 모니터링할 수없습니다. It gets worse when using connectionless protocol like UDP. UDP는 연결없는 프로토콜을 사용했을 때처럼 나빠지고있다.
Circuit level or application gateway are used to act as routers that pass only specific packets onto specific machines (eg HTTP requests to a web server or SMTP to mail server). 회로 수준 또는 응용 프로그램 게이트웨이가 특정 머신에 특정 패킷을 통과 라우터의 역할을하는 데 사용됩니다 (웹 서버 또는 SMTP 서버가 메일) HTTP 요청 예. Circuit level gateways open a virtual circuit on receiving a valid handshake but don’t analyze packet traffic. 회로 수준 게이트웨이 유효한 악수를 받고 있지만 가상 회로를 열고 패킷 트래픽을 분석하지 않습니다.
Once a firewall has been built you can add extra features like virus checker between an email gateway and your SMTP mailer so all encapsulated files are virus checked before entry to the system. 일단 방화벽 모든 캡슐 파일이 바이러스는 시스템에 진입하기 전에 확인하여 SMTP 메일 사이에 이렇게 이메일 게이트웨이와 같은 추가 기능을 추가할 수있습니다 바이러스 검사기를 내장하고있다.
NB : A proxy server is not a firewall, they make it easy to connect to the Internet but don’t protect it from intrusion. 주의 사항 : 프록시 서버 방화벽 아니지만, 그들은 인터넷에 연결을 쉽게 만들지만, 침입으로부터 보호하지 않습니다.
RUNNING A FIREWALL: 방화벽을 실행 :
Once a firewall is chosen, one then defines the rules of procedure you will use to defend your system. 방화벽을 선택한 후, 다음 절차 중 하나를 사용하면 시스템을 방어하는 규칙을 정의합니다. Test your firewall regularly by using scanning tools. 스캔 도구를 사용하여 정기적으로 테스트하여 방화벽.
Comments 코멘트
