Firewall (výpočetní) - Firewall (computing)

Část série na
Informační bezpečnost
Související kategorie zabezpečení
Hrozby
Obrana

v výpočetní, a firewall je zabezpečení sítě systém, který monitory a řídí příchozí a odchozí síťový provoz na základě předem stanovených bezpečnostních pravidel.[1] Brána firewall obvykle vytváří bariéru mezi důvěryhodnou sítí a nedůvěryhodnou sítí, například Internet.[2]

Dějiny

Termín firewall původně odkazoval na zeď určenou k zadržení ohně v řadě přilehlých budov.[3] Pozdější použití odkazují na podobné struktury, například plech oddělující motor prostor vozidla nebo letadlo z prostoru pro cestující. Termín byl aplikován na konci 80. let na síťové technologie[4] které se objevily, když byl internet docela nový z hlediska jeho globálního využití a konektivity.[5] Předchůdci brány firewall pro zabezpečení sítě byly směrovače používané na konci 80. let. Protože směrovače již segregovaly sítě, mohly použít filtrování paketů, které je překračovaly.[6]

Předtím, než se tento termín použil ve výpočetních systémech v reálném životě, objevil se ve filmu o počítačovém hackingu z roku 1983 WarGames, a možná inspiroval jeho pozdější použití.[Citace je zapotřebí ]

Typy

Viz také: Zabezpečení počítače
Viz také: Porovnání bran firewall

Brány firewall jsou kategorizovány jako síťový nebo hostitelský systém. Síťové brány firewall lze umístit kdekoli v rámci LAN nebo WAN.[7]Jsou to buď a softwarové zařízení běží na univerzálním hardwaru, a hardwarové zařízení běží na speciálním hardwaru, nebo virtuální zařízení běžící na virtuálním hostiteli ovládaném a hypervisor. Zařízení brány firewall mohou také nabízet funkce jiné než brány firewall, například DHCP[8][9] nebo VPN[10] služby. Hostitelské brány firewall jsou nasazeny přímo na serveru hostitel k řízení síťového provozu nebo jiných výpočetních zdrojů.[11][12] To může být démon nebo servis jako součást operační systém nebo aplikace agenta pro ochranu.

Ilustrace síťový firewall v síti

Paketový filtr

První hlášený typ brány firewall se nazývá paketový filtr, který kontroluje pakety přenesené mezi počítači. Firewall udržuje seznam řízení přístupu který určuje, na které pakety se bude dívat a jaká akce by měla být použita, pokud existuje, s výchozí akcí nastavenou na tiché zahození. Tři základní akce týkající se paketu spočívají v tichém zahození, zahození s Internet Control Message Protocol nebo TCP reset odpověď odesílateli a přejít na další směr.[13] Pakety mohou být filtrovány podle zdroje a cíle IP adresy, protokol, zdroj a cíl porty. Převážná část internetové komunikace ve 20. a na počátku 21. století se používala buď protokol kontroly přenosu (TCP) nebo Protokol uživatele Datagram (UDP) ve spojení s známé porty umožňující brány firewall té doby rozlišovat mezi konkrétními typy provozu, jako je procházení webu, vzdálený tisk, přenos e-mailů, přenos souborů.[14][15]

První příspěvek publikovaný o technologii firewall byl v roce 1987, kdy inženýři z Digital Equipment Corporation (DEC) vyvinuli filtrační systémy známé jako brány firewall paketových filtrů. Na AT&T Bell Labs, Bill Cheswick a Steve Bellovin pokračovali ve výzkumu filtrování paketů a vyvinuli pracovní model pro vlastní společnost založený na jejich původní architektuře první generace.[16]

Sledování připojení

Tok síťové pakety přes Netfilter, a Linuxové jádro modul
Hlavní článek: Stavový firewall

V letech 1989–1990 tři kolegové z AT&T Bell Laboratories „Dave Presotto, Janardan Sharma a Kshitij Nigam vyvinuli druhou generaci bran firewall a nazvali je brány na úrovni obvodu.[17]

Brány firewall druhé generace vykonávají práci svých předchůdců první generace, ale také udržují znalosti konkrétních konverzací mezi koncovými body tím, že si pamatují, které číslo portu tyto dva IP adresy používají ve vrstvě 4 (transportní vrstva ) z OSI model za jejich konverzaci, což umožňuje zkoumání celkové výměny mezi uzly.[18]

Aplikace / vrstva 7

Hlavní článek: Aplikační firewall

Marcus Ranum Wei Xu a Peter Churchyard v říjnu 1993 vydali aplikační firewall známý jako Firewall Toolkit (FWTK).[19] To se stalo základem pro Gauntlet firewall na Důvěryhodné informační systémy.[20][21]

Hlavní výhoda aplikační vrstva filtrování je, že dokáže porozumět určitým aplikacím a protokolům, jako je Protokol pro přenos souborů (FTP), Domain Name System (DNS) nebo Hypertext Transfer Protocol (HTTP). To mu umožňuje identifikovat nežádoucí aplikace nebo služby pomocí nestandardního portu nebo zjistit, zda nedochází ke zneužití povoleného protokolu.[22]

Od roku 2012 se firewall nové generace poskytuje širší rozsah kontroly na aplikační vrstvě a rozšiřuje se hluboká kontrola paketů funkčnost, která zahrnuje, ale není omezena na:

Specifické pro koncový bod

Funkce brány firewall aplikace založené na koncových bodech určují, zda by měl proces přijímat jakékoli dané připojení. Aplikační brány firewall filtrují připojení zkoumáním ID procesu datových paketů proti sadě pravidel pro místní proces zapojený do přenosu dat. Aplikační brány firewall plní svou funkci zapojením do volání soketů, aby filtrovaly spojení mezi aplikační vrstvou a nižšími vrstvami. Aplikační brány firewall, které se připojují k volání soketu, se také nazývají filtry soketů.[Citace je zapotřebí ]

Důležitost

Nastavení brány firewall je složitý úkol náchylný k chybám. Síť může čelit problémům se zabezpečením kvůli chybám konfigurace.[23]

Viz také

Reference

  1. ^ Boudriga, Noureddine (2010). Zabezpečení mobilní komunikace. Boca Raton: CRC Press. str.32 –33. ISBN  978-0849379420.
  2. ^ Oppliger, Rolf (květen 1997). "Zabezpečení internetu: FIREWALLS a BEYOND". Komunikace ACM. 40 (5): 94. doi:10.1145/253769.253802. S2CID  15271915.
  3. ^ Canavan, John E. (2001). Základy zabezpečení sítě (1. vyd.). Boston, MA: Artech House. p. 212. ISBN  9781580531764.
  4. ^ Cheswick, William R.; Bellovin, Steven M. (1994). Brány firewall a zabezpečení internetu: Odpuzování lstivého hackera. ISBN  978-0201633573.
  5. ^ Liska, Allan (10. prosince 2014). Vytváření bezpečnostního programu vedeného zpravodajstvím. Synchronizace. p. 3. ISBN  978-0128023709.
  6. ^ Ingham, Kenneth; Forrest, Stephanie (2002). „Historie a průzkum síťových bran firewall“ (PDF). Citováno 2011-11-25.
  7. ^ Naveen, Sharanya. "Firewall". Citováno 7. června 2016.
  8. ^ "Firewall jako server DHCP a klient". Sítě Palo Alto. Citováno 2016-02-08.
  9. ^ „DHCP“. www.shorewall.net. Citováno 2016-02-08.
  10. ^ „Co je to VPN Firewall? - Definice od Techopedia“. Techopedia.com. Citováno 2016-02-08.
  11. ^ Vacca, John R. (2009). Příručka o počítačové a informační bezpečnosti. Amsterdam: Elsevier. p. 355. ISBN  9780080921945.
  12. ^ „Co je Firewall?“. Citováno 2015-02-12.
  13. ^ Peltier, Justin; Peltier, Thomas R. (2007). Kompletní průvodce certifikací CISM. Hoboken: CRC Press. p. 210. ISBN  9781420013252.
  14. ^ „TCP vs. UDP: Rozdíl mezi nimi“. www.skullbox.net. Citováno 2018-04-09.
  15. ^ Cheswick, William R .; Bellovin, Steven M .; Rubin, Aviel D. (2003). Brány firewall a zabezpečení internetu odpuzující lstivý hacker (2. vyd.). ISBN  9780201634662.
  16. ^ Ingham, Kenneth; Forrest, Stephanie (2002). „Historie a průzkum síťových bran firewall“ (PDF). p. 4. Citováno 2011-11-25.
  17. ^ M. Afshar Alam; Tamanna Siddiqui; K. R. Seeja (2013). Poslední vývoj v oblasti výpočetní techniky a jejích aplikací. I. K. International Pvt Ltd. s. 513. ISBN  978-93-80026-78-7.
  18. ^ „Brány firewall“. MemeBridge. Citováno 13. června 2014.
  19. ^ „Firewall toolkit verze 1.0“. Citováno 2018-12-28.
  20. ^ John Pescatore (2. října 2008). „Tento týden v historii zabezpečení sítě: Sada Firewall Toolkit“. Citováno 2018-12-28.
  21. ^ Marcus J. Ranum; Frederick Avolio. "FWTK history".
  22. ^ „Co je vrstva 7? Jak funguje vrstva 7 na internetu“. Cloudflare. Citováno 29. srpna 2020.
  23. ^ Voronkov, Artem; Iwaya, Leonardo Horn; Martucci, Leonardo A .; Lindskog, Stefan (01.01.2018). "Systematický přehled literatury o použitelnosti konfigurace brány firewall". ACM Computing Surveys. 50 (6): 1–35. doi:10.1145/3130876. ISSN  0360-0300.

externí odkazy