상태 저장 검사 방화벽의 기술적 특징은 무엇인가요?

//좋아, 바꾸겠습니다

//패킷 필터링 방화벽이 가장 간단합니다. 특정 IP나 특정 포트 또는 특정 IP의 데이터 패킷을 허용하도록 지정할 수 있습니다. 네트워크 세그먼트 통과 [또는 통과하지 않음], 애플리케이션 계층 필터링을 지원하지 않으며 패킷 콘텐츠 필터링을 지원하지 않습니다.

//상태 기반 방화벽은 좀 더 복잡합니다. TCP의 상태 기반 특성에 따라 각 연결의 상태가 방화벽에 기록됩니다. 이는 패킷 필터링의 단점을 보완할 수 있습니다. 방화벽 예를 들어 IP 주소 1.1.1.1을 허용하면 데이터 패킷은 방화벽을 통과하지만 악의적인 사람이 IP 주소를 위조하면 TCP 3방향 핸드셰이크를 거치지 않고 패킷 필터링 방화벽을 통과할 수 있습니다. .

//프록시 게이트웨이 방화벽을 사용하여 내부 네트워크와 외부 네트워크 간의 직접 통신을 완전히 차단합니다. 내부 네트워크 사용자의 외부 네트워크 액세스는 방화벽의 외부 네트워크 액세스가 됩니다. 그런 다음 방화벽은 이를 내부 네트워크 사용자에게 전달합니다. 모든 통신은 애플리케이션 계층 프록시 소프트웨어에 의해 전달되어야 하며 방문자는 언제든지 서버와 직접 TCP 연결을 설정할 수 없습니다. 애플리케이션 계층의 프로토콜 세션 프로세스는 에이전트의 보안 정책 요구 사항을 준수해야 합니다.

애플리케이션 프록시 게이트웨이의 장점은 애플리케이션 계층, 전송 계층, 네트워크 계층의 프로토콜 특성을 확인할 수 있고 데이터 패킷을 감지하는 강력한 능력을 가지고 있다는 것입니다.

//

1. 현재 방화벽 기술 분류

방화벽 기술은 패킷 필터링, 애플리케이션 프록시 게이트웨이, 상태 감지의 세 단계를 거쳤습니다.

1.1 패킷 필터링 기술

패킷 필터링 방화벽은 네트워크 계층에서 작동하며 전송 계층의 경우 데이터 패킷의 소스 및 대상 IP를 식별하고 제어하는 ​​기능을 가지고 있습니다. 아래 그림과 같이 데이터 패킷이 TCP인지 UDP인지 그리고 사용된 포트 정보만 식별합니다. 현재 라우터, 스위치 라우터 및 일부 운영 체제에는 이미 패킷 필터로 제어할 수 있는 기능이 있습니다.

패킷의 IP 주소, TCP/UDP 프로토콜, 포트만 분석되기 때문에 패킷 필터링 방화벽을 더 빠르고 쉽게 구성할 수 있습니다.

패킷 필터링 방화벽에는 근본적인 결함이 있습니다:

1. 해커 공격으로부터 보호할 수 없습니다. 패킷 필터링 방화벽의 작업은 네트워크 관리자가 어떤 IP 주소가 신뢰할 수 있는 네트워크이고 어떤 IP 주소가 신뢰할 수 없는 네트워크인지 알고 있다는 전제를 기반으로 합니다. 그러나 원격 사무실과 같은 새로운 애플리케이션이 등장하면서 네트워크 관리자는 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크를 구별하는 것이 불가능해졌습니다. 해커는 소스 IP 패킷을 합법적인 IP로 변경하기만 하면 패킷을 쉽게 통과할 수 있습니다. 방화벽을 필터링하고 인트라넷에 들어가면 모든 하급 해커가 IP 주소 스푸핑을 수행할 수 있습니다.

2. 애플리케이션 계층 프로토콜은 지원되지 않습니다. 인트라넷 사용자가 이러한 요청을 전달하면 인트라넷 직원만 외부 네트워크의 웹 페이지에 액세스할 수 있으며(HTTP 프로토콜 사용) 외부 네트워크에서 영화를 다운로드할 수 없습니다(일반적으로 FTP 프로토콜 사용). 패킷 필터링 방화벽은 데이터 패킷의 애플리케이션 계층 프로토콜을 이해하지 못하고 액세스 제어 세분성이 너무 낮기 때문에 무력합니다.

3. 새로운 보안 위협을 처리할 수 없습니다. TCP 상태를 추적할 수 없으므로 TCP 계층 제어가 취약합니다. 예를 들어, 내부에서 외부로의 TCP 접근만 허용하도록 구성하더라도 TCP 응답 패킷 형태로 외부에서 내부 네트워크로 향하는 일부 공격은 여전히 ​​방화벽을 침투할 수 있다.

요컨대, 경비원이 방문자가 어느 지방이나 도시에서 왔는지에 따라 방문자의 입장 여부를 판단할 수 있는 것처럼 패킷 필터링 방화벽의 기술은 너무 초보적이라고 볼 수 있습니다. , 내부 네트워크의 보안을 책임지기 어렵습니다.

1.2 프록시 게이트웨이 기술 적용

프록시 게이트웨이 방화벽을 적용하여 내부 네트워크와 외부 네트워크 간의 직접 통신을 완전히 격리합니다. 방화벽이 외부 네트워크에 액세스한 다음 방화벽은 이를 인트라넷 사용자에게 전달합니다. 모든 통신은 애플리케이션 계층 프록시 소프트웨어에 의해 전달되어야 하며 방문자는 언제든지 서버와 직접 TCP 연결을 설정할 수 없습니다. 애플리케이션 계층의 프로토콜 세션 프로세스는 에이전트의 보안 정책 요구 사항을 준수해야 합니다.

애플리케이션 프록시 게이트웨이의 장점은 애플리케이션 계층, 전송 계층, 네트워크 계층의 프로토콜 특성을 확인할 수 있고 데이터 패킷을 감지하는 강력한 능력을 가지고 있다는 것입니다.

단점도 ​​매우 뚜렷하며 주로 다음과 같습니다.

· 구성이 어렵습니다. 각 애플리케이션에는 별도의 프록시 프로세스가 필요하므로 네트워크 관리자는 각 애플리케이션 프로토콜의 약점을 이해하고 보안 정책을 합리적으로 구성해야 합니다. 구성이 번거롭고 이해하기 어렵기 때문에 구성 오류가 발생하기 쉽고 이는 궁극적으로 보안에 영향을 미칩니다. 인트라넷의 예방 능력.

· 처리 속도가 매우 느립니다. 모든 연결을 끊고 방화벽이 연결을 다시 설정하도록 하면 이론적으로 애플리케이션 프록시 방화벽을 매우 안전하게 만들 수 있습니다. 그러나 인트라넷의 모든 웹 액세스 요청에 대해 애플리케이션 프록시는 별도의 프록시 프로세스를 열어야 하기 때문에 실제 애플리케이션에서는 실현 가능하지 않습니다. 이를 위해서는 인트라넷의 웹 서버, 데이터베이스 서버, 파일 서버, 메일 서버 및 비즈니스 프로그램 등의 경우 클라이언트 액세스 요청을 처리하려면 서비스 프록시를 하나씩 설정해야 합니다. 이런 방식으로 애플리케이션 프록시의 처리 지연이 매우 커지며 인트라넷 사용자의 일반적인 웹 액세스에 제때 응답할 수 없습니다.

요컨대, 애플리케이션 프록시 방화벽은 대규모 동시 연결을 지원할 수 없으며 이는 속도에 민감한 산업에서 사용할 때 재앙입니다. 또한 방화벽 코어에는 일부 알려진 응용 프로그램에 대해 사전 내장된 프록시가 필요하므로 일부 새로운 응용 프로그램이 프록시 방화벽 내에서 무자비하게 차단되고 새로운 응용 프로그램을 제대로 지원할 수 없게 됩니다.

IT 분야에서는 새로운 애플리케이션, 새로운 기술, 새로운 프로토콜이 속속 등장하고 있으며 프록시 방화벽은 이러한 상황에 적응하기 어렵습니다. 따라서 프록시 방화벽은 일부 중요한 분야 및 산업의 핵심 비즈니스 애플리케이션에서 점차적으로 멀어지고 있습니다.

그러나 적응형 프록시 기술의 출현으로 애플리케이션 프록시 방화벽 기술은 프록시 방화벽의 보안과 빠른 속도의 패킷 필터링 방화벽을 결합하여 보안을 유지하게 되었습니다. 프록시 방화벽이 10배 향상되었습니다.

1.3 상태 감지 기술

우리는 인터넷에서 전송되는 데이터가 TCP/IP 프로토콜을 준수해야 한다는 것을 알고 있습니다. TCP 프로토콜에 따르면 각각의 안정적인 연결을 설정하려면 "클라이언트"가 필요합니다. 동기화"에는 "요청", "서버 응답" 및 "클라이언트 응답"의 세 단계가 있습니다. 가장 일반적으로 사용되는 웹 탐색, 파일 다운로드, 이메일 보내기 및 받기 등은 모두 이 세 단계를 거칩니다. 이는 데이터 패킷이 독립적이지 않고 서로 긴밀한 상태 연결을 갖고 있음을 반영합니다. 이러한 상태 변화를 기반으로 상태 감지 기술이 도입됩니다.

상태 기반 검사 방화벽은 데이터 패킷의 IP 주소 등 몇 가지 매개변수만 검사하고 데이터 패킷 연결 상태의 변화에는 신경 쓰지 않는 패킷 필터링 방화벽의 단점을 버리고 있습니다. 방화벽 핵심 부분에 있는 Stateful 연결 테이블과 네트워크로 들어오고 나가는 데이터는 세션으로 처리되며, 상태 테이블은 각 세션의 상태를 추적하는 데 사용됩니다. 상태 모니터링은 규칙 테이블을 기반으로 각 패킷을 확인할 뿐만 아니라 데이터 패킷이 세션 상태를 준수하는지 여부도 고려하여 전송 계층에 대한 완전한 제어를 제공합니다.

게이트웨이 방화벽의 과제 중 하나는 처리할 수 있는 트래픽의 양입니다. 상태 저장 탐지 기술은 보안 예방 기능을 크게 향상시킬 뿐만 아니라 트래픽 처리 속도도 향상시킵니다. 상태 모니터링 기술은 일련의 최적화 기술을 사용하여 방화벽 성능을 크게 향상시키며 다양한 네트워크 환경, 특히 복잡한 규칙이 있는 대규모 네트워크에 적용할 수 있습니다.

모든 고성능 방화벽은 상태 저장 탐지 기술을 사용합니다.

2000년부터 베이징 Tianrongxin 및 기타 회사와 같은 국내 유명 방화벽 회사가 이 최신 시스템 아키텍처를 채택하기 시작했습니다. 이를 기반으로 Tianrongxin NGFW4000은 일반적인 애플리케이션 계층을 시뮬레이션하는 핵심 방화벽 탐지 기술을 혁신적으로 출시했습니다. 운영 체제 커널의 프로토콜을 구현하고 커널에서 애플리케이션 계층 프로토콜 필터링을 구현하여 보안 목표를 달성하는 동시에 매우 높은 성능을 달성합니다.

현재 지원되는 프로토콜에는 HTTP/1.0/1.1, FTP, SMTP, POP3, MMS, H.232 및 기타 가장 일반적으로 사용되는 최신 애플리케이션 프로토콜이 포함됩니다.

2. 방화벽 개발의 새로운 기술 동향

2.1 새로운 수요에 따른 기술 동향

방화벽 기술의 발전은 사회적 요구 및 관심의 변화와 불가분의 관계에 있습니다. 앞으로 우리는 다음과 같은 새로운 요구 사항을 발견했습니다.

· 재택근무의 성장. 이번에 전국의 주요 도시가 SARS 바이러스의 공격을 받았고 이로 인해 많은 기업과 기관이 재택근무를 하게 되었습니다. 이를 위해서는 방화벽이 외부 공격에 저항할 뿐만 아니라 합법적인 원격 액세스를 허용하고 더 많은 것을 달성해야 합니다. 세분화된 액세스 제어. 일부 제조업체에서 출시한 VPN(Virtual Private Network) 기술은 좋은 솔루션입니다. 지정된 방식으로 암호화된 데이터 패킷만 방화벽을 통과할 수 있어 정보의 기밀성을 보장하고 침입을 식별하는 수단으로 사용됩니다.

· 내부 네트워크를 "구분화"합니다. 사람들은 일반적으로 방화벽으로 보호되는 인트라넷은 신뢰할 수 있고 인터넷만 신뢰할 수 없다고 생각합니다. 해커 공격 기술과 도구는 인터넷에서 쉽게 구할 수 있기 때문에 내부 네트워크에 대한 잠재적인 위협이 크게 증가했습니다. 이러한 위협은 외부 네트워크의 사람일 수도 있고 내부 네트워크의 사용자일 수도 있습니다.

무선 네트워크의 급속한 적용과 전통적인 전화 접속 방식의 지속적인 존재로 인해 인트라넷은 전례 없는 위협에 직면해 있습니다. 이전의 기업 간 협력에서는 파트너를 기업 네트워크에 통합했으며, 전국 지점이 포럼을 공유하여 신뢰할 수 있는 네트워크의 개념이 모호해졌습니다. 해결책은 인트라넷을 "박스"로 세분화하고 각 "박스"에 대해 독립적인 보안 정책을 구현하는 것입니다.

2.2 해커 공격으로 인한 기술 동향

방화벽은 인트라넷의 개인 경호원 역할을 하며, 해커 공격의 특성에 따라 방화벽의 기술 동향도 결정됩니다. 8?5 포트 80이 닫혀 있습니다. 공격받은 프로토콜과 포트를 보면 첫 번째는 HTTP 프로토콜(포트 80)이다.

SANS 조사에 따르면 HTTP 서비스를 제공하는 IIS와 Apache가 공격에 가장 취약한 것으로 나타나 포트 80이 가장 큰 위협을 가하는 것으로 나타났습니다.

따라서 미래의 방화벽 기술이든, 현재 적용되는 방화벽 제품이든 80번 포트는 최대한 닫아두어야 합니다.

· 데이터 패킷의 심층 검사. IT 업계의 권위 있는 기관인 Gartner는 프록시가 향후 해커 공격을 방지하는 열쇠는 아니지만 방화벽은 데이터 패킷의 악의적인 동작을 식별하고 차단할 수 있어야 한다고 믿습니다. 패킷 검사를 위한 기술 솔루션에는 다음과 같은 새로운 기능이 추가되어야 합니다. 기존 공격을 찾아내고 어떤 데이터 흐름이 정상이고 어떤 데이터 흐름이 비정상인지 구별하기 위한 시그니처 검사로 사용됩니다.

· 시너지. 해커 공격 사고 분석에서는 웹 등 외부 애플리케이션을 제공하는 서버가 보호 대상이다. 방화벽만으로는 모든 공격을 방지하기 어렵습니다. 이를 위해서는 방화벽 기술, 침입 탐지 기술, 바이러스 탐지 기술의 효과적인 협업이 필요합니다. 2000년 초, 베이징 천롱신회사는 협력의 필요성과 시급성을 깨닫고 TOPSEC 프로토콜을 출시하여 IDS 등 다른 보안 장비와 연결하고 다른 보안 장비와 협력하여 유기적이고 확장 가능한 보안 시스템 플랫폼을 형성했습니다. 현재는 IDS, 인증서버와의 연동을 주로 지원하고 있다. 예를 들어, 12개 이상의 잘 알려진 국내 IDS, 보안 관리 시스템, 보안 감사, 기타 인증 시스템 등을 지원하여 완벽한 TOPSEC 솔루션을 구성합니다. 2002년 9월 Nortel, Cisco 및 Check Point는 보안 제품의 공동 출시를 공동으로 발표했는데, 이는 또한 제조업체 간의 상호 보완적인 이점과 상호 운용성의 추세를 반영했습니다.