방화벽은 네트워크 간에 액세스 제어 정책을 구현하는 시스템 또는 시스템 그룹입니다. 방화벽의 실제 구현 방식은 다르지만 원칙적으로 방화벽을 한 쌍의 메커니즘으로 볼 수 있습니다. 한 메커니즘은 전송 흐름을 차단하는 것이고 다른 메커니즘은 전송 흐름이 통과할 수 있도록 하는 것입니다. 일부 방화벽은 전송 스트림의 통과를 막는 데 초점을 맞추고 있고, 다른 방화벽은 전송 스트림의 통과를 허용하는 데 초점을 맞추고 있습니다. 방화벽을 이해하는 가장 중요한 개념은 액세스 제어 정책을 구현한다는 것입니다. 어떤 종류의 액세스를 허용하거나 거부해야 할지 잘 모르겠다면, 다른 사람이나 어떤 제품이 자기가 해야 한다고 생각하는 대로 방화벽을 구성하도록 할 수 있습니다. 그러면 그들은 당신의 조직에 대한 액세스 정책을 종합적으로 개발할 것입니다.
2. 방화벽이 필요한 이유는 무엇입니까?
다른 사회와 마찬가지로, 인터넷은 다른 사람의 벽에 낙서를 뿌리거나, 다른 사람의 우편함을 쓰러뜨리거나, 거리에 앉아서 자동차 경적을 누르는 것과 같이 인터넷에서 이런 일을 하는 것을 좋아하는 지루한 사람들에 의해 괴롭힘을 당한다. (윌리엄 셰익스피어, 햄릿, 인터넷명언) 어떤 사람들은 인터넷을 통해 진정한 일을 하려고 하는 반면, 다른 사람들은 민감하거나 독점적인 데이터를 보호해야 한다. 일반적으로 방화벽의 목적은 지루한 사람들을 당신의 네트워크 밖으로 막는 동시에, 당신은 여전히 당신의 일을 완성할 수 있다는 것입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 성공명언)
많은 기존 기업 및 데이터 센터는 따라야 할 컴퓨팅 보안 정책 및 관행을 개발했습니다. 회사의 보안 정책에 따라 데이터를 보호해야 하는 경우 방화벽이 더욱 중요합니다. 이는 회사의 보안 정책의 구체적인 표현이기 때문입니다. 만약 당신의 회사가 대기업이라면, 인터넷 연결에 가장 어려운 일은 종종 비용이나 해야 할 일이 아니라, 경영진을 설득하여 인터넷을 하는 것이 안전하다는 것입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 성공명언) 방화벽은 진정한 보안을 제공할 뿐만 아니라 관리를 위해 안전한 외투를 입는 데도 중요한 역할을 한다.
마지막으로 방화벽은 기업 인터넷' 대사' 역할을 할 수 있다. 많은 기업들이 방화벽 시스템을 제품 및 서비스에 대한 공개 정보를 저장하고, 파일을 다운로드하고, 오류 및 기타 파일을 복구하는 장소로 사용하고 있습니다. 이들 시스템 중 일부는 이미 인터넷 서비스 구조의 중요한 구성 요소 (예: UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com) 가 되어 이들 기관의 개시자에게 좋은 영향을 미쳤다.
방화벽은 무엇을 예방할 수 있습니까?
일부 방화벽은 이메일 서비스 이외의 공격으로부터 네트워크를 보호하기 위해 이메일 통과만 허용합니다. 다른 방화벽은 덜 엄격한 보호 조치를 제공하며 알려진 문제가 있는 서비스를 차단합니다.
일반적으로 방화벽은 "외부" 세계에서 무단 대화식 로그인을 방지하도록 구성되어 있습니다. 이렇게 하면 파괴자가 네트워크에 있는 컴퓨터에 로그인하지 못하게 하는 데 크게 도움이 됩니다. 일부 정교한 방화벽은 외부로부터의 전송 흐름이 내부로 유입되는 것을 막을 수 있지만 내부 사용자가 외부와 자유롭게 통신할 수 있도록 합니다. 방화벽을 차단하면 인터넷상의 어떤 공격으로부터 당신을 보호할 수 있습니다.
방화벽의 또 다른 중요한 특징은 보안 및 감사 검사를 설정할 수 있는 별도의 "차단 지점" 을 제공한다는 것입니다. 컴퓨터 시스템이 모뎀을 사용하는 사람들이 공격하는 것과는 달리 방화벽은 효과적인' 전화 도청' 과 추적 도구의 역할을 할 수 있다. 방화벽은 중요한 기록 및 감사 기능을 제공합니다. 일반적으로 관리자에게 방화벽을 통과하는 흐름의 유형과 수, 방화벽 침입 시도 횟수에 대한 정보를 제공하는 상황 요약을 제공합니다.
방화벽은 무엇을 예방할 수 없습니까?
방화벽은 방화벽을 통과하지 못한 공격을 막을 수 없습니다. 인터넷에 연결된 많은 기업들은 액세스 경로를 통해 회사별 데이터가 유출될까 봐 매우 우려하고 있습니다. 불행히도 이러한 이유로 테이프는 데이터 유출에 효과적으로 사용될 수 있습니다. 많은 조직의 경영진은 인터넷 액세스를 매우 두려워하며 모뎀을 통한 전화 접속 액세스를 보호하는 방법에 대한 일관된 정책이 없습니다. 네가 나무집에 살면서 6 피트 두께의 강철 문을 설치하면 어리석은 것으로 간주될 것이다. 그러나 많은 조직에서 값비싼 방화벽을 구입했지만 네트워크의 다른 뒷문 몇 개는 간과하고 있습니다. 방화벽이 작동하려면 조직 보안 아키텍처 전체에서 불가분의 일부가 되어야 합니다. 방화벽의 정책은 현실적이어야 하며 전체 네트워크의 보안 수준을 반영할 수 있어야 합니다. 예를 들어, 초기밀 또는 기밀 데이터를 저장하는 웹 사이트에는 방화벽이 전혀 필요하지 않습니다. 첫째, 인터넷에 연결하지 않아야 하거나 실제 기밀 데이터를 저장하는 시스템은 기업 네트워크의 나머지 부분과 격리되어야 합니다.
방화벽이 너를 진정으로 보호할 수 없는 또 다른 위험은 너의 네트워크의 반역자나 바보이다. 산업 스파이는 방화벽을 통해 정보를 보낼 수 있지만 전화, 팩스 또는 플로피 디스크를 사용하여 정보를 보낼 가능성이 더 큽니다. 플로피 디스크는 방화벽보다 조직의 비밀을 누설하는 매체가 될 가능성이 더 높다! 방화벽은 또한 너를 어리석은 행위의 영향으로부터 보호할 수 없다. 전화로 민감한 정보를 누설하는 사용자는 사회공학의 좋은 목표이다. 공격자가' 그에게 도움이 된다' 는 내부 직원을 찾아 모뎀 풀에 속인다면 공격자는 방화벽을 완전히 우회하여 네트워크에 침입할 수 있다.
방화벽이 바이러스 공격을 방지 할 수 있습니까?
방화벽은 바이러스와 같은 것이 침입하는 것을 효과적으로 막을 수 없다. 인터넷에서 전송 이진 파일을 인코딩하는 방법이 너무 많고, 구조와 바이러스가 너무 많아 모든 바이러스를 찾을 수 없다. 즉, 방화벽은 사용자에게 보안 인식을 줄 수 없습니다. 결론적으로 방화벽은 데이터 기반 공격을 막을 수 없습니다. 즉, 내부 호스트에 무언가를 우편으로 보내거나 복제한 다음 내부 호스트에서 실행되는 공격입니다. 과거에는 다양한 버전의 메일 송신기, 고스트 스크립트 및 무료 포스트스크립트 리더들이 이러한 공격을 받았습니다.
바이러스가 매우 걱정되는 조직은 조직 전체에서 바이러스 통제 조치를 취해야 한다. 바이러스를 방화벽 밖으로 차단하려고 하지 말고, 모든 취약한 데스크탑 시스템에 바이러스 검사 소프트웨어가 설치되어 있는지, 컴퓨터가 켜자마자 바이러스를 검사하도록 해야 한다. 바이러스 검사 소프트웨어를 사용하여 네트워크를 보호하면 바이러스 공격이 플로피 디스크, 모뎀 및 인터넷을 통해 전파되는 것을 막을 수 있습니다. 방화벽 외부에서 바이러스를 차단하려고 하면 인터넷에서 나오는 바이러스만 막을 수 있으며, 대부분의 바이러스는 플로피 디스크를 통해 감염됩니다.
그러나 점점 더 많은 방화벽 제조업체가 바이러스 탐지 방화벽을 제공하고 있습니다. 이 방화벽은 Windows-on-Intel 실행기와 악성 매크로 어플리케이션 문서를 교환하는 경험이 없는 사용자에게만 유용합니다. 이 특성이 공격에 어떤 방범 역할을 할 것이라고 기대하지 마라.
방화벽 설계에서 어떤 기본적인 설계 결정을 내려야 합니까?
방화벽 설계, 엔지니어링 방안 개발, 구현 또는 감독 설치를 담당하는 행운아 앞에서 그가 해결하기를 기다리는 기본적인 설계 문제가 많다
첫째, 가장 중요한 문제는 회사 또는 조직이 이 시스템을 어떻게 실행할 계획인지 반영해야 한다는 것입니다. 설치된 방화벽은 네트워크에 연결하는 데 필요한 서비스를 제외한 모든 서비스를 명시적으로 거부하기 위한 것입니다. 또는 설치된 방화벽은' 대기' 액세스를 무위협 방식으로 측정하고 감사할 수 있는 방법을 제공하기 위한 것입니다. 이러한 선택에는 어느 정도의 편집증이 있습니다. 방화벽의 최종 기능은 엔지니어링 결정이 아닌 관리 결과일 수 있습니다.
두 번째 질문은: 어떤 수준의 모니터링, 이중화 및 제어가 필요합니까? 첫 번째 문제를 해결하고 허용 가능한 위험 수준 (예: 당신이 얼마나 편협한지) 을 결정하면 어떤 전송을 감시해야 하는지, 어떤 전송을 허용해야 하는지, 어떤 전송을 거부해야 하는지를 나열할 수 있다. 즉, 처음부터 전반적인 목표를 나열한 다음 수요 분석과 위험 평가를 결합하여 항상 위험과 반대되는 수요를 골라 계획 작업 목록에 추가합니다.
세 번째 문제는 재정이다. 여기서는 이 문제를 모호하게 논의할 수밖에 없지만, 솔루션 구입 또는 구현 비용을 통해 제안된 솔루션을 정량화하는 것이 중요합니다. 예를 들어, 전체 방화벽의 하이엔드 제품은 6 억 5,438 만 달러, 로우엔드 제품은 무료일 수 있습니다. 씨스코나 비슷한 라우터에서 멋진 구성을 하는 것과 같은 무료 선택은 한 푼도 들지 않고 직원의 시간과 커피 몇 잔만 있으면 된다. 처음부터 하이엔드 방화벽을 구축하는 데는 몇 달이 걸릴 수 있으며, 이는 3 만 달러 상당의 직원 임금과 이윤에 해당할 수 있습니다. 시스템 관리 오버헤드도 고려해야 할 문제입니다. 자체 개발된 방화벽을 구축하는 것이 좋지만 값비싼 지속적인 개입 없이 방화벽을 만드는 것이 중요하다. 즉, 방화벽을 평가할 때 현재 비용뿐만 아니라 지원 서비스와 같은 후속 비용도 고려해야 합니다.
실용적인 목적으로 네트워크 서비스 공급자가 제공하는 라우터와 내부 네트워크 간의 정적 전송 흐름 라우팅 서비스에 대해 논의했습니다. 따라서, 이 사실에 근거하여, 몇 가지 기술적 결정을 내려야 한다. 전송 스트림 라우팅 서비스는 라우터와 같은 필터링 규칙을 통해 IP 계층에서 또는 프록시 게이트웨이 및 서비스를 통해 애플리케이션 계층에서 수행할 수 있습니다.
노출 된 PC 를 텔넷, FTP, news 등의 프록시 서비스를 실행하기 위해 외부 네트워크에 배치할지 여부를 결정합니다. 또는 하나 이상의 내부 컴퓨터와 통신할 수 있도록 필터와 유사한 차폐 라우터를 설정했는지 여부 이 두 가지 방법은 각각 장단점이 있다. 에이전트는 더 높은 수준의 감사 및 잠재적 보안을 제공할 수 있지만 구성 비용을 늘리고 가능한 서비스 수준을 낮추는 것이 비용이 됩니다 (에이전트가 필요한 각 서비스를 개발해야 하기 때문). 오랫동안 편리성과 보안 사이의 균형이 다시 우리를 괴롭혔다.
방화벽의 기본 유형은 무엇입니까?
개념적으로 두 가지 유형의 방화벽이 있습니다.
1, 네트워크 수준 방화벽
2. 응용 프로그램 계층 방화벽
이 두 가지 유형의 차이는 네가 생각하는 것만큼 크지 않다. 최신 기술은 그것들 사이의 차이를 모호하게 하여 어떤' 더 좋음' 이나' 더 나쁘다' 가 덜 뚜렷해지게 한다. 늘 그렇듯이 요구 사항에 맞는 방화벽 유형을 신중하게 선택해야 합니다.
네트워크 수준 방화벽은 일반적으로 소스 및 대상 주소를 기준으로 결정되며 단일 IP 패킷을 입력합니다. 간단한 라우터는 복잡한 결정을 내리거나 패키지의 실제 의미나 패키지의 실제 출처를 판단할 수 없기 때문에' 전통적인' 네트워크 수준 방화벽입니다. 오늘날의 네트워크 수준 방화벽은 액세스 상태, 일부 데이터 스트림의 내용 및 기타 관련 정보를 보존할 수 있도록 점점 더 복잡해지고 있습니다. 많은 네트워크 수준 방화벽의 중요한 차이점은 방화벽이 전송 스트림을 직접 통과할 수 있다는 것입니다. 따라서 일반적으로 이러한 방화벽을 사용하려면 유효한 IP 주소 블록을 할당해야 합니다. 네트워크 수준 방화벽은 일반적으로 빠르며 사용자에게 투명합니다.
네트워크 수준 방화벽 예: 이 예에서는 "마스킹 호스트 방화벽" 이라는 방화벽이 제공됩니다.
방화벽) 네트워크 수준 방화벽. 호스트를 마스킹하는 방화벽에서 단일 호스트에 대한 액세스는 네트워크 계층에서 실행되는 라우터에 의해 제어됩니다. 이 단일 호스트는 교두보 호스트이며, 공격을 막을 수 있는 고도로 요새화된 보안 요새이다.
네트워크 수준 방화벽의 예: 이 예에서는 소위 "차폐된 서브넷 방화벽" 이 제공됩니다. 마스크 서브넷 방화벽에서 네트워크에 대한 액세스는 네트워크 계층에서 실행되는 라우터에 의해 제어됩니다. 차폐된 호스트와 비슷하지만 실제로는 차폐된 호스트로 구성된 네트워크입니다.
응용 프로그램 계층 방화벽은 일반적으로 프록시 서버를 실행하는 호스트이며, 네트워크 간에 전송 스트림을 직접 전송할 수 없으며 이를 통한 전송 흐름을 기록하고 감사할 수 없습니다. 프록시 응용 프로그램은 방화벽에서 실행되는 소프트웨어 구성 요소이므로 기록 및 액세스 제어를 위한 이상적인 위치입니다. 응용 프로그램 수준 방화벽은 네트워크 주소 번역기로 사용할 수 있습니다. 원래 사이트에 처음 방문한 응용 프로그램을 효과적으로 차단하여 전송 흐름이 한쪽에서 들어오고 다른 쪽에서 나오기 때문입니다. 경우에 따라 어플리케이션 수준 방화벽을 설정하면 성능에 영향을 주고 방화벽을 불투명하게 만들 수 있습니다. TIS firewall toolkit 에 의해 구축된 방화벽과 같은 초기 어플리케이션급 방화벽은 엔드 유저에게 투명하지 않아 교육이 필요합니다. 응용 프로그램 수준 방화벽은 일반적으로 네트워크 수준 방화벽보다 더 자세한 감사 보고서를 제공하고 보다 보수적인 보안 모델을 구현합니다.
애플리케이션 계층 방화벽의 예: 이 예에서는' 이중 소속 게이트웨이' 라는 애플리케이션 계층 방화벽이 제공됩니다. 양방향 로컬 게이트웨이는 에이전트 소프트웨어를 실행하는 매우 안전한 호스트입니다. 여기에는 두 개의 네트워크 인터페이스가 있으며, 각 네트워크에는 모든 전송 스트림을 차단하는 인터페이스가 있습니다.
방화벽의 향후 포지셔닝은 네트워크 수준 방화벽과 응용 수준 방화벽 사이의 어딘가에 있어야 합니다. 네트워크 수준 방화벽은 이를 통과하는 정보를 점점 더 잘 알 수 있으며, 응용 수준 방화벽은 더 "저급" 하고 투명해질 수 있습니다. 최종 결과는 통과하는 데이터 스트림을 기록하고 감사할 수 있는 빠른 패킷 필터링 시스템이 됩니다. 점점 더 많은 방화벽 (네트워크 및 애플리케이션 계층) 에 암호화 메커니즘이 포함되어 있어 인터넷을 통해 흐르는 전송 흐름을 보호할 수 있습니다. 멀티포인트 인터넷 액세스를 사용하는 조직은 엔드-투-엔드 암호화 기능을 갖춘 방화벽을 사용할 수 있습니다. 이들 조직은 데이터나 비밀번호가 엿보이는 것을 걱정할 필요 없이 인터넷을' 전용 백본' 으로 사용할 수 있다.
8. "단일 장애 지점" 이란 무엇입니까? 어떻게 이런 실패를 피할 수 있습니까?
보안은 구조에 단일 장애 지점이 있는 메커니즘에 따라 달라집니다. 브리지 헤드 호스트를 실행하는 소프트웨어에 오류가 있습니다. 응용 프로그램에 오류가 있습니다. 라우터를 제어하는 소프트웨어에 오류가 있습니다. 이러한 모든 구성 요소를 사용하여 보안 네트워크를 구축하고 중복적으로 사용하는 것이 의미가 있습니다.
방화벽 구조가 차폐 서브넷인 경우 패킷 필터링 라우터 두 개와 브리지 헤드 호스트 한 개가 있습니다. (이 섹션의 질문 2 참조) 인터넷 액세스 라우터는 인터넷에서 전용 네트워크로 전송 스트림을 허용하지 않습니다. 그러나 브리지 헤드 호스트 및/또는 초크 라우터에서 다른 메커니즘을 사용하지 않고 이 규칙을 구현하면 이 구조의 구성 요소 중 하나가 실패하거나 손상되면 공격자가 방화벽으로 들어갑니다. 반면 브리지 헤드 호스트에 중복 규칙이 있고 차단 라우터에 중복 규칙이 있는 경우 공격자는 세 가지 메커니즘을 처리해야 합니다.
또한 브리지 헤드 호스트 또는 차단 라우터가 내부 네트워크에 대한 외부 액세스를 차단하는 규칙을 사용하는 경우 누군가가 액세스 라우터에 진입했다는 것을 알고 있기 때문에 경고를 트리거해야 할 수 있습니다.
9. 어떻게 모든 악의적인 전송을 거부할 수 있습니까?
연결성이 아닌 보안에 중점을 둔 방화벽의 경우 모든 전송을 기본적으로 차단하는 것을 고려해야 합니다. 상황에 따라 필요한 서비스만 통과할 수 있습니다.
특정 서비스 세트를 제외한 모든 것을 제외하는 경우 작업이 매우 간단해집니다. 주변의 모든 제품과 서비스의 안전에 대해 걱정할 필요가 없습니다. 특정 제품과 서비스의 안전에만 집중하면 됩니다. :-)
서비스를 시작하기 전에 다음 문제를 고려해야 합니다.
* 이 제품에 대한 합의는 잘 알려진 공개 합의입니까?
* 본 계약에 서비스를 제공하는 어플리케이션의 어플리케이션을 일반인이 확인할 수 있습니까?
* 이 서비스와 제품은 널리 알려져 있습니까?
* 이 서비스를 사용하면 방화벽 구조가 어떻게 바뀔까요? 공격자가 이 문제를 다른 각도에서 볼 수 있을까요? 공격자가 그것을 사용하여 내 내부 네트워크에 들어갈 수 있습니까? 아니면 내 DMZ 의 호스트에 있는 것을 바꿀 수 있을까요?
위의 문제를 고려할 때 다음과 같은 조언을 명심하십시오.
* "알 수없는 보안은 전혀 안전하지 않습니다. 공개되지 않은 많은 합의가 그 나쁜 사람들의 연구에 의해 깨졌다.
* 마케팅 담당자의 말에 상관없이 모든 계약이나 서비스가 보안을 고려한 것은 아닙니다. 실제로 보안을 진정으로 고려하는 계약이나 서비스의 수는 매우 적다.
* 안전을 고려한다고 해서 모든 기관에 안전을 책임지는 자격을 갖춘 인력이 있는 것은 아니다. 자격을 갖춘 인력이 안전을 담당하지 않는 기관에서 모든 기관이 자격을 갖춘 컨설턴트를 엔지니어링 프로젝트에 초대하는 것은 아닙니다. 이렇게 하면 다른 방면에서 유능하고 착한 개발자가 안전하지 않은 시스템을 설계할 수 있다.
* 제조업체는 시스템이 어떻게 작동하는지 알려주고 싶지 않을수록 보안 (또는 기타) 문제가 발생할 가능성이 높습니다. 은폐된 제조업자만이 자신의 디자인과 실현을 숨길 이유가 있다.
10. 일반적인 공격은 무엇입니까? 어떻게 그들의 공격으로부터 시스템을 보호할 수 있습니까?
각 사이트의 공격 유형은 다른 사이트와 약간 다릅니다. 하지만 몇 가지 유사점이 있습니다.
SMTP 세션 해커 (SMTP 세션 해커)
이러한 공격에서 스팸 발신자는 수천 개의 메시지를 복사하여 대량의 이메일 주소로 보냅니다. 이러한 주소 목록은 일반적으로 나쁘고 스팸 발신자의 작업 속도를 높이기 위해 많은 스팸 발신자가 모든 이메일을 SMTP 서버로 전송하는 방식을 채택하고 있으며, 이 서버는 실제로 이러한 이메일을 전송하는 역할을 담당하고 있습니다.
물론 반등 소식, 쓰레기 제조사에 대한 불만, 저주메일과 나쁜 홍보가 모두 중계소로 쓰였던 이 사이트로 몰려들었다. 이것은 실제로 이 사이트를 지출할 것이며, 그 중 대부분은 누가 이 정보를 지울 것인지를 지불하는 데 사용될 것이다.
메일 남용 방지 시스템 전송 보안 이니셔티브에서는 이 문제와 이러한 공격을 방지하기 위해 각 발신자를 구성하는 방법에 대해 자세히 설명합니다.
응용 프로그램의 오류를 활용합니다.
다양한 버전의 웹 서버, 메일 서버 및 기타 인터넷 서비스 소프트웨어에 다양한 오류가 있습니다. 따라서 원격 (인터넷) 사용자는 이러한 오류를 사용하여 컴퓨터 제어에서 마비된 어플리케이션에 이르기까지 다양한 작업을 수행할 수 있습니다.
필요한 서비스만 실행하고, 최신 패치로 패치하고, 이미 시간이 걸린 제품을 사용하면 이런 위험에 처할 가능성을 줄일 수 있다.
운영 체제의 오류 활용
이 공격은 일반적으로 원격 사용자에 의해 시작됩니다. 최신 운영 체제는 IP 네트워크보다 문제가 발생하기 쉬우며, 검증된 운영 체제는 기존 오류를 찾아 제거할 수 있는 충분한 시간이 있습니다. 공격자는 일반적으로 재부팅, 마비, 네트워크와의 통신 능력 상실 또는 컴퓨터의 파일 교체를 수행합니다.
따라서 운영 체제 서비스를 최대한 적게 실행하면 시스템에 대한 공격을 방지하는 데 도움이 됩니다. 또한 운영 체제 전면에 패킷 필터링을 설치하면 이러한 공격의 수를 크게 줄일 수 있습니다.
물론 안정적인 운영 체제를 선택하는 것도 도움이 된다. 운영 체제를 선택할 때 "좋은 물건은 싸지 않다" 는 말을 믿지 마라. 자유 소프트웨어 운영 체제는 일반적으로 상용 운영 체제보다 더 강력합니다.
1 1. 사용자의 모든 요구 사항을 충족해야 합니까?
이 질문에 대한 답은 전혀' 아니오' 일 가능성이 있다. 각 사이트에는 자신이 필요로 하는 것과 필요하지 않은 것을 알고 있는 전략이 있지만, 기관의 문지기로서 주요 업무 중 하나는 교육이라는 것을 기억하는 것이 중요하다. (존 F. 케네디, 공부명언) 사용자는 비디오를 스트리밍하고, 실시간 채팅을 하고, 내부 네트워크에서 실시간 데이터베이스에 대한 대화형 질의를 요청하는 외부 고객에게 서비스를 제공해야 합니다.
즉, 이러한 모든 일의 완성은 조직에 위험을 초래할 수 있으며, 이로 인해 초래되는 위험은 종종 당신이 상상하는 이 길을 따라가는' 가치' 보다 더 높은 수익을 거둘 수 있다는 뜻입니다. 대부분의 사용자는 자신의 기관을 위험에 빠뜨리고 싶지 않습니다. 그들은 상표만 보고, 광고를 보고, 그런 일을 하고 싶어한다. 중요한 것은 사용자가 정말로 무엇을 하고 싶은지, 그리고 그들이 더 안전한 방식으로 진정한 목표를 달성할 수 있다는 것을 이해하도록 돕는 것이다.
너는 항상 환영받지 못할 것이다. 너는 심지어 믿을 수 없는 어리석은 명령을 받고' 모든 입을 벌리라' 와 같은 일을 하는 것을 발견할 수도 있지만, 이것에 대해 걱정하지 마라. 지금 이 순간, 현명한 방법은 모든 교환 데이터를 보존하는 것이다. 이렇게 하면 열두 살 된 아이가 인터넷에 침입할 때, 적어도 자신을 혼란에서 벗어나게 할 수 있다.
12. 자체 방화벽을 통해 웹/http 를 어떻게 실행합니까?
이를 수행하는 세 가지 방법이 있습니다.
1. 차폐 라우터를 사용하는 경우' 설정된' 연결이 라우터를 통해 방화벽 외부에 액세스할 수 있도록 합니다.
2. SOCKS 를 지원하는 웹 클라이언트를 사용하고 브리지 헤드 호스트에서 SOCKS 를 실행합니다.
3. 브리지 헤드 호스트에서 프록시 기능이 있는 웹 서버를 실행합니다. TIS 방화벽 키트의 일부 대체 프록시 서버에는 Squid, Apache, Netscape 프록시 및 connections 가 포함됩니다. 기본적으로 모든 네트워크 클라이언트 (모질라, Internet Explorer, Lynx 등). ) 프록시 서버 지원이 내장되어 있습니다.
13. 방화벽을 사용할 때 DNS 를 어떻게 사용합니까?
일부 조직에서는 외부에서 DNS 이름을 숨기고 싶어합니다. 많은 전문가들은 DNS 이름 숨기기의 가치가 크지 않다고 생각하지만, 웹 사이트나 기업의 정책이 강제적으로 숨겨져 있다면 알려진 실행 가능한 방법이다. 도메인 이름을 숨겨야 하는 또 다른 이유는 내부 네트워크에 비표준 주소 지정 체계가 있기 때문입니다. DNS 이름을 숨기면 공격자가 방화벽에 침입하기가 더 어려워질 수 있다고 자신을 속이지 마라. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 전쟁명언) 네트워크에 대한 정보는 네트워크 계층에서 쉽게 얻을 수 있습니다. 이를 확인하는 데 관심이 있다면 LAN 의 서브넷 브로드캐스트 주소를 "ping" 한 다음 "ARP -a" 를 실행할 수 있습니다. 또한 DNS 에서 도메인 이름을 숨겨도 메시지 헤더, 뉴스 문장 등에서 호스트 이름을 "노출" 하는 문제가 해결되지 않는다는 점에 유의해야 합니다.
이 방법은 많은 방법 중 하나이며 인터넷에서 호스트 이름을 숨기려는 조직에 유용합니다. 이 방법의 성공은 한 시스템의 DNS 클라이언트가 같은 시스템의 DNS 서버와 통신할 필요가 없다는 것에 달려 있습니다. 즉, 한 시스템에 DNS 서버가 있기 때문에 이 시스템의 DNS 클라이언트 활동을 다른 시스템의 DNS 서버로 리디렉션하는 것은 잘못이 아닙니다 (일반적으로 유익함).
먼저 외부와 통신할 수 있는 브리지 헤드 호스트에 DNS 서버를 설치합니다. 도메인 이름에 대한 액세스를 선언할 수 있도록 이 서버를 설정했습니다. 사실, 이 서버가 알고 있는 것은 외부 세계에 알리고 싶은 것입니다: 게이트웨이의 이름과 주소, 와일드 카드 MX 레코드 등. 이 서버는 공용 서버입니다.
그런 다음 내부 시스템에 DNS 서버를 설정합니다. 이 서버는 또한 도메인 이름에 대한 권리를 요구합니다. 공용 서버와 달리 이 서버는 "진실을 말한다". 그것은 당신의' 보통' 명명 서버이며, 당신은 당신의 모든' 보통' DNS 이름을 이 서버에 넣을 수 있습니다. 해결되지 않은 질의를 공용 서버로 전달할 수 있도록 이 서버를 다시 설정합니다 (예: /etc/ 사용)
Named.boot 의 "트랜스 폰더 라인") 을 참조하십시오.
마지막으로 공용 서버가 있는 시스템의 DNS 클라이언트를 포함하여 내부 서버를 사용하도록 모든 DNS 클라이언트 (예: Unix 의 /etc/resolv.conf 파일) 를 설정합니다. 이것이 핵심입니다.
내부 호스트 정보를 요청하는 내부 클라이언트가 내부 서버에 질문하고 답을 얻습니다. 외부 호스트 정보를 쿼리하는 내부 클라이언트는 내부 서버를 쿼리하고, 내부 클라이언트는 공용 서버를 쿼리하고, 공용 서버는 인터넷을 조회한 다음 얻은 답을 점진적으로 반환합니다. 공용 서버의 클라이언트는 같은 방식으로 작동합니다. 그러나 외부 클라이언트가 내부 호스트에 대해 문의하는 정보는 공용 서버에서만 "제한된" 답변을 받을 수 있습니다.
이 방법에서는 두 서버 사이에 패킷 필터링 방화벽이 있어 서버가 서로 DNS 를 전달할 수 있지만 다른 호스트 간의 DNS 를 제한할 수 있다고 가정합니다.
또 다른 유용한 기술은 ADDR 에 와일드카드 PTR 레코드를 사용하는 것입니다. AROA 도메인 이름입니다. 이로 인해 비공유 호스트에 대한' 주소 대 이름' 조회에서' 알 수 없음' 과 같은 정보가 반환됩니다. 오류를 반환하는 대신. 이는 FTP.uu.net 과 같은 익명 FTP 사이트의 요구 사항을 충족합니다. 이러한 웹 사이트에는 통신하는 컴퓨터의 이름이 필요합니다. 이 방법은 DNS 를 상호 검사하는 사이트와 통신할 때는 작동하지 않습니다. 상호 검사에서 호스트 이름은 해당 주소와 일치해야 하며 주소도 호스트 이름과 일치해야 합니다.
14. 방화벽을 통해 FTP 를 어떻게 사용합니까?
일반적으로 FTP 는 방화벽 키트의 ftp-gw 와 같은 프록시 서버를 사용하거나 제한된 포트 범위 내에서 네트워크에 액세스할 수 있도록 허용하여 방화벽을 통과할 수 있습니다 ("설정된" 마스킹 규칙과 같은 규칙을 사용하여 위 포트 이외의 액세스를 제한). 그런 다음 FTP 클라이언트를 수정하여 데이터 포트를 허용 포트 범위 내의 포트에 연결합니다. 이를 위해서는 다음을 수정할 수 있어야 합니다
FTP 클라이언트 응용 프로그램.
경우에 따라 FTP 다운로드가 지원하고자 하는 경우 사용자가 웹을 통해 파일을 다운로드할 수 있도록 FTP 를 "사망 프로토콜" 으로 선언하는 것이 좋습니다. FTP-via-웹 모드를 선택하면 사용자가 FTP 를 사용하여 파일을 전송할 수 없게 되어 문제가 발생할 수 있지만 수행하려고 하는 작업에 따라 달라집니다.
또 다른 방법은 FTP“PASV "옵션을 사용하여 원격 FTP 서버에 클라이언트가 연결을 시작할 수 있도록 지시하는 것입니다. PASV 모드는 원격 시스템의 FTP 서버가 이 작업을 지원한다고 가정합니다. (자세한 내용은 RFC 1579 참조)
다른 웹 사이트에서는 SOCKS 라이브러리에 연결된 FTP 프로그램의 클라이언트 버전을 구축하는 것을 선호합니다.
15. 방화벽을 통해 텔넷을 어떻게 사용합니까?
일반적으로 방화벽 키트의 tn-gw 와 같은 애플리케이션 에이전트를 사용하여 텔넷을 지원하거나 "설정된" 필터링 규칙과 같은 정책을 사용하여 송신 허용을 위해 라우터를 간단히 구성할 수 있습니다. 어플리케이션 에이전트는 브리지 헤드 호스트에서 실행되는 독립 실행형 에이전트로 존재하거나 SOCKS 서버 및 수정된 클라이언트로 존재할 수 있습니다.
16. 방화벽을 통해 RealAudio 를 어떻게 사용합니까?
RealNetworks 에는 RealAudio 가 방화벽을 통과하도록 하는 방법에 대한 지침이 포함되어 있습니다. 어떤 변화를 해야 할지, 새로운 변화가 어떤 위험을 가져올지 모를 경우 방화벽을 바꾸는 것은 현명하지 못하다.
17. 어떻게 웹 서버를 전용 온라인 데이터베이스의 프런트엔드로 만들 수 있습니까?
이를 수행하는 가장 좋은 방법은 특정 프로토콜을 통해 웹 서버와 데이터베이스 서버 간에 매우 제한된 연결을 설정하는 것입니다. 특정 프로토콜은 사용할 기능 수준만 지원합니다. 일반적으로 원본 SQL 또는 공격자가 사용자 정의 추출에 사용할 수 있는 모든 것을 허용하는 것은 좋은 생각이 아닙니다.
공격자가 웹 서버에 액세스하여 웹 서버와 같은 방식으로 쿼리할 수 있다고 가정합니다. 웹 서버에 필요하지 않은 신용카드 정보와 같은 민감한 정보를 추출할 수 있는 메커니즘이 없습니까? 공격자는 SQL 선택을 한 다음 전체 개인 데이터베이스를 추출할 수 없습니까?
다른 모든 어플리케이션과 마찬가지로 "전자 상거래" 어플리케이션은 나중에 보안을 "추가" 하는 것이 아니라 처음부터 보안 문제를 고려했습니다. 공격자의 관점에서 구조를 엄격하게 검사해야 합니다. 공격자가 구조의 모든 세부 사항을 알고 있다고 가정해 봅시다. 자, 데이터를 훔치거나, 허가받지 않은 변경을 하거나, 원하지 않는 다른 일을 하고 싶다면 어떻게 해야 하는지 자문해 보십시오. 어떤 기능도 추가할 필요가 없고, 디자인과 의사결정만 하면 보안이 크게 강화된다는 것을 알 수 있을 것이다. (윌리엄 셰익스피어, 햄릿, 지혜명언)
이를 수행하는 방법에 대한 몇 가지 아이디어는 다음과 같습니다.
일반적으로 데이터베이스에서 필요한 데이터를 추출하면 공격자가 관심 있는 정보가 포함된 전체 데이터베이스를 조회할 필요가 없습니다. 웹 서버와 데이터베이스 간에 전송할 수 있는 스트림에 대해 엄격한 제한 및 감사를 적용합니다.
응답자: 중력 흐름-관리자 4 3- 1 1 23:46
질문자의 답변 평가:
십억
기타 답안
* * * 제 6 조
약속 기억 = 지루한 X2, 그럼 지금 일반 네티즌이 생각하는 안전은 보안 = 방화벽+백신. 일반 네티즌은 자발적으로 바이러스를 발견하고 수동으로 제거할 수 있는 능력이 없기 때문에 바이러스 백신 소프트웨어를 사용하여 바이러스를 제거하는 것이 좋은 방법이지만, 때로는 바이러스 백신 소프트웨어가 트로이 뒷문을 찾지 못하는 경우도 있다. 또한 바이러스 제거가 제대로 작동하지 않아 방화벽이 외부 공격을 차단하는 프로그램도 있습니다. 인터넷에는 다양한 공격이 있기 때문에 방화벽을 합리적으로 구성할 필요가 있다. 당신의 문제는 백그라운드 활동을 언급하므로 반스파이 프로그램을 설치하는 것이 좋습니다. 이렇게 하면 한눈에 알 수 있습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 도전명언) 따라서 이러한 보호 소프트웨어를 사용하는 방법은 자신의 요구에 따라 엄격한 제한이 없습니다.
한마디로, 방화벽은 성을 지키고 있고, 그것은 지키고 있다. 그에게 주어진 명령이 없는 것도 아니다.
정체불명의 적 (절차) 이 들어갈 수 있도록 허락하다. 바이러스 백신 소프트웨어는 부주의하게 잠입한 적 (프로그램) 을 없애기 위한 것이다.