네트워크 보안의 핵심 기술은 무엇입니까?

가상 네트워킹 기술은 최근 몇 년간 발전해 온 LAN 스위칭 기술 (ATM 및 이더넷 스위칭) 을 기반으로 합니다. 스위칭 기술은 기존의 방송 기반 LAN 기술을 연결 지향 기술로 발전시켰다. 따라서 네트워크 관리 시스템은 값비싼 라우터를 통하지 않고 LAN 통신 범위를 제한할 수 있는 기능을 갖추고 있습니다.

위의 운영 메커니즘이 네트워크 보안에 제공하는 이점은 분명합니다. 정보는 도착해야 하는 곳에만 도달합니다. 따라서 대부분의 네트워크 모니터링 기반 침입 방법이 차단됩니다. 가상 네트워크 외부의 네트워크 노드는 가상 네트워크에 설정된 액세스 제어를 통해 가상 네트워크 내부의 노드에 직접 액세스할 수 없습니다. 그러나 가상 네트워크 기술은 또한 새로운 보안 문제를 야기했습니다.

가상 네트워크 교환을 수행하는 장치는 점점 더 복잡해져 공격의 대상이 되고 있다.

웹캐스트 원리에 기반한 침입 모니터링 기술은 고속 스위칭 네트워크에서 특별한 설정이 필요합니다.

MAC 기반 VLAN 은 MAC 스푸핑 공격을 막을 수 없습니다.

이더넷은 본질적으로 브로드캐스트 메커니즘을 기반으로 하지만 스위치와 VLAN 기술이 적용된 후에는 실제로 지점 간 통신으로 변환됩니다. 수신 포트를 설정하지 않으면 정보 교환에서 수신 및 삽입 (교체) 문제가 발생하지 않습니다.

그러나 MAC 기반 VLAN 부문은 가짜 MAC 주소의 공격에 직면할 것이다. 따라서 VLAN 분할은 스위치 포트를 기반으로 하는 것이 좋습니다. 그러나 이를 위해서는 전체 네트워크 데스크톱에서 스위치 포트를 사용하거나 각 스위치 포트가 있는 네트워크 세그먼트 시스템이 동일한 VLAN 에 속해야 합니다.

네트워크 계층 통신은 라우터를 가로지를 수 있으므로 먼 곳에서 공격을 시작할 수 있습니다. IP 프로토콜 패밀리의 구현이 완벽하지 않기 때문에 네트워크 계층에서 발견된 보안 취약점은 IP sweep, teardrop, sync-flood, IP 스푸핑 공격 등 비교적 많습니다.

2. 방화벽 기술

네트워크 방화벽 기술은 네트워크 간 액세스 제어를 강화하고, 엑스트라넷 사용자가 엑스트라넷을 통해 인트라넷에 불법적으로 진입하는 것을 방지하며, 인트라넷 리소스에 액세스하고, 인트라넷 운영 환경을 보호하는 전용 네트워크 상호 연결 장치입니다. 특정 보안 정책에 따라 두 개 이상의 네트워크 간에 전송되는 패킷을 검사하여 네트워크 간 통신이 허용되는지 여부를 확인하고 네트워크 작동 상태를 모니터링합니다.

방화벽 제품은 주로 요새 호스트, 패킷 필터링 라우터, 애플리케이션 계층 게이트웨이 (프록시 서버) 및 회로 계층 게이트웨이, 차폐 호스트 방화벽, 이중 호스트 등이 있습니다.

방화벽은 해커의 공격으로부터 네트워크를 보호하는 효과적인 수단이지만 방화벽 외부의 다른 경로로부터의 공격을 막을 수 없고, 내부 탈북자와 임시 사용자의 위협을 막을 수 없고, 감염된 소프트웨어나 파일의 전파를 완전히 막을 수 없고, 데이터 기반 공격을 막을 수 없다는 점도 눈에 띈다.

미국 디지털 회사는 1986 이후 세계 최초의 상용 방화벽 시스템을 인터넷에 설치하고 방화벽 개념을 제시한 이후 방화벽 기술이 급속히 발전해 왔습니다. 국내외 수십 개 회사가 다양한 기능을 갖춘 방화벽 제품을 내놓았다.

방화벽은 5 계층 네트워크 보안 시스템의 최하층에 있으며 네트워크 계층 보안 기술의 범주에 속합니다. 이 수준에서 기업은 보안 시스템에 모든 IP 가 기업의 내부 네트워크 시스템에 액세스할 수 있는지 묻습니다. 대답이' 예' 인 경우 기업 인트라넷이 네트워크 계층에서 적절한 예방 조치를 취하지 않은 것입니다.

방화벽은 내부 네트워크와 외부 공용 네트워크 사이의 첫 번째 장벽으로 사람들이 가장 먼저 주목하는 네트워크 보안 제품 중 하나입니다. 이론적으로는 방화벽이 네트워크 보안의 최하층에 있으며 네트워크 간 보안 인증 및 전송을 담당하고 있지만, 네트워크 보안 기술의 전반적인 발전과 네트워크 어플리케이션의 변화에 따라 현대 방화벽 기술은 네트워크 계층 이외의 다른 보안 수준으로 점차 이동하고 있습니다. 기존 방화벽의 필터링 작업을 완료할 수 있을 뿐만 아니라 다양한 네트워크 애플리케이션에 적합한 보안 서비스를 제공할 수 있습니다. 또한 다양한 방화벽 제품이 데이터 보안 및 사용자 인증 방향으로 발전하여 바이러스와 해커의 침입을 막고 있습니다.

1. 방화벽 사용의 이점

취약한 서비스 보호

안전하지 않은 서비스를 걸러냄으로써 방화벽은 네트워크 보안을 크게 향상시키고 서브넷의 호스트 위험을 줄일 수 있습니다.

예를 들어, 방화벽은 NIS 및 NFS 서비스 통과를 금지할 수 있으며, 방화벽은 소스 라우팅과 ICMP 리디렉션 패킷을 모두 거부할 수 있습니다.

시스템 액세스 제어

방화벽은 시스템에 대한 액세스 제어를 제공합니다. 예를 들어 일부 호스트는 외부에서 액세스할 수 있지만 다른 호스트는 액세스할 수 없습니다. 예를 들어 방화벽을 통해 특정 메일 서버 및 웹 서버에 대한 외부 액세스를 허용합니다.

중앙 집중식 보안 관리

방화벽은 인트라넷의 중앙 집중식 보안 관리를 구현합니다. 방화벽에 정의된 보안 규칙은 인트라넷의 각 시스템에 보안 정책을 설정하지 않고도 전체 인트라넷 시스템에 적용될 수 있습니다. 예를 들어, 각 시스템에 특정 인증 소프트웨어를 설치하지 않고도 방화벽에서 다른 인증 방법을 정의할 수 있습니다. 외부 사용자는 한 번만 인증하면 인트라넷에 액세스할 수 있습니다.

향상된 기밀성

방화벽은 공격자가 Finger 및 DNS 와 같은 네트워크 시스템을 공격하는 데 유용한 정보를 얻는 것을 막을 수 있습니다.

네트워크 사용 데이터 및 불법 사용 데이터를 기록하고 통계합니다.

방화벽은 방화벽을 통한 네트워크 통신을 기록하고 통계하며, 네트워크 사용에 대한 통계를 제공하며, 방화벽은 가능한 공격과 탐지를 판단하는 통계를 제공합니다.

정책 집행

방화벽은 네트워크 보안 정책을 개발하고 구현하는 방법을 제공합니다. 방화벽을 설정하지 않은 경우 네트워크 보안은 각 호스트의 사용자에 따라 달라집니다.

2. 방화벽 요소 설정

네트워크 전략

방화벽 시스템의 설계, 설치 및 사용에 영향을 미치는 네트워크 정책은 두 단계로 나눌 수 있습니다. 고급 네트워크 정책은 허용 및 금지 서비스와 사용 방법을 정의합니다. 하위 수준 네트워크 정책은 방화벽이 고급 정책에 정의된 서비스를 제한하고 필터링하는 방법을 설명합니다.

서비스 액세스 정책

서비스 액세스 정책은 인터넷 액세스 서비스 및 외부 네트워크 액세스 (예: 전화 접속 정책, SLIP/PPP 연결 등) 에 중점을 둡니다. ).

서비스 액세스 전략은 실행 가능하고 합리적이어야 합니다. 실행 가능한 전략은 알려진 네트워크 위험을 방지하는 것과 사용자에게 서비스를 제공하는 것 사이에 균형을 이루어야 합니다. 일반적인 서비스 액세스 전략은 필요한 경우 인증을 강화하는 사용자가 인터넷에서 일부 내부 호스트 및 서비스에 액세스할 수 있도록 허용하는 것입니다. 내부 사용자가 지정된 인터넷 호스트 및 서비스에 액세스할 수 있도록 허용합니다.

방화벽 설계 정책

방화벽 설계 정책은 특정 방화벽을 기반으로 하며 서비스 액세스 정책을 완료하는 규칙을 정의합니다. 일반적으로 다음과 같은 두 가지 기본 설계 전략이 있습니다.

명시적으로 금지되지 않는 한 모든 서비스가 허용됩니다.

명시적으로 허용하지 않는 한 어떠한 서비스도 허용되지 않습니다.

일반적으로 두 번째 설계 전략을 사용합니다.

3, 방화벽 기본 분류

패킷 필터링 유형

패킷 필터링 제품은 방화벽의 초급 제품이며 네트워크의 패킷 전송 기술을 기반으로 합니다. 네트워크의 데이터는 패킷으로 전송되며, 데이터는 특정 크기의 패킷으로 나뉘며, 각 패킷에는 데이터의 소스 및 대상 주소와 같은 특정 정보가 포함됩니다. TCP/UDP 소스 포트, 대상 포트 등. 방화벽은 패킷의 주소 정보를 읽어 이러한 "패킷" 이 신뢰할 수 있는 보안 사이트에서 나온 것인지 여부를 확인할 수 있습니다. 위험한 사이트의 패킷이 발견되면 방화벽이 이를 거부합니다. 시스템 관리자도 실제 상황에 따라 판단 규칙을 유연하게 정할 수 있다.

패킷 필터링 기술의 장점은 간단하고 실용적이며 구현 비용이 낮다는 것입니다. 애플리케이션 환경이 간단한 경우 적은 비용으로 시스템 보안을 어느 정도 보장할 수 있습니다.

그러나 패킷 필터링 기술의 결함도 분명합니다. 패킷 필터링 기술은 패킷의 출처, 목적, 포트 등의 네트워크 정보로만 판단할 수 있는 완전한 네트워크 계층 기반 보안 기술로서 악의적인 Java 애플릿, 메시지에 첨부된 바이러스 등과 같은 애플리케이션 계층 기반 악의적인 침입을 인식하지 못합니다. 경험 많은 해커는 쉽게 IP 주소를 위조하고 패킷 필터링 방화벽을 속일 수 있다.

네트워크 주소 변환 (NAT)

IP 주소를 임시, 외부 및 등록된 IP 주소로 변환하는 표준입니다. 개인 IP 주소를 가진 내부 네트워크에서 인터넷에 액세스할 수 있습니다. 즉, 사용자가 네트워크의 각 시스템에 대한 등록 IP 주소를 얻을 수 없습니다.

인트라넷이 보안 네트워크 카드를 통해 외부 네트워크에 액세스할 때 매핑 레코드가 생성됩니다. 시스템은 송신 소스 주소와 소스 포트를 위장 주소와 포트로 매핑하고 비보안 네트워크 카드를 통해 외부 네트워크에 연결하여 실제 인트라넷 주소를 숨깁니다. 엑스트라넷이 보안되지 않은 네트워크 카드를 통해 인트라넷에 액세스할 때 인트라넷의 연결 상태를 알 수 없습니다. 그러나 열린 IP 주소와 포트만 사용할 수 있습니다. OLM 방화벽은 미리 정의된 매핑 규칙에 따라 액세스가 안전한지 여부를 결정합니다. 규칙을 준수할 때 방화벽은 액세스가 안전하다고 생각하여 액세스 요청을 수락하거나 연결 요청을 다른 내부 컴퓨터에 매핑할 수 있습니다. 규칙을 준수하지 않을 경우 방화벽은 액세스가 안전하지 않고 용납할 수 없다고 판단하며 방화벽은 외부 연결 요청을 마스킹합니다. 네트워크 주소 변환 프로세스는 사용자에게 투명하며 필요하지 않습니다.

에이전트 유형

프록시 방화벽은 프록시 서버라고도 할 수 있으며 패킷 필터링 제품보다 보안이 뛰어나며 애플리케이션 계층으로 발전하기 시작했습니다. 프록시 서버는 클라이언트와 서버 사이에 위치하여 둘 사이의 데이터 교환을 완전히 차단합니다. 클라이언트 관점에서 프록시 서버는 실제 서버와 같습니다. 서버 관점에서 프록시 서버는 실제 클라이언트입니다. 클라이언트가 서버의 데이터를 사용해야 할 경우 먼저 프록시 서버에 데이터 요청을 보낸 다음 프록시 서버가 이 요청에 따라 서버에 데이터를 요청한 다음 프록시 서버가 데이터를 클라이언트로 전송합니다. 외부 시스템과 내부 서버 사이에 직접적인 데이터 채널이 없기 때문에 외부 악성 침해는 기업 내부 네트워크 시스템에 해를 끼치기 어렵다.

프록시 방화벽의 장점은 보안이 높고 애플리케이션 계층을 감지하고 검색할 수 있어 애플리케이션 계층 기반 침입 및 바이러스에 매우 효과적입니다. 단점은 시스템의 전체 성능에 큰 영향을 미치며 클라이언트가 생성할 수 있는 모든 응용 프로그램 유형에 대해 프록시 서버를 하나씩 설정해야 하므로 시스템 관리의 복잡성이 크게 증가한다는 것입니다.

모니터링 유형

방화벽은 차세대 제품이며, 이 기술은 사실상 방화벽의 초기 정의를 뛰어넘었다. 방화벽을 모니터링하면 모든 수준의 데이터를 실시간으로 사전 예방적으로 모니터링할 수 있습니다. 이러한 데이터의 분석을 바탕으로 모니터링 방화벽은 모든 수준에서 불법 침입을 효과적으로 판단할 수 있습니다. 동시에, 이 테스트 방화벽 제품에는 일반적으로 분산 감지 장치가 있으며 다양한 응용 프로그램 서버 및 기타 네트워크 노드에 배치됩니다. 인터넷 외부의 공격을 감지할 수 있을 뿐만 아니라 내부로부터의 악의적인 파괴에도 강력한 예방 작용이 있다. 권위 기관 통계에 따르면 인터넷 시스템에 대한 공격의 상당 비율은 인터넷 내부에서 나온 것으로 나타났다. 따라서 모니터링 방화벽은 기존 방화벽의 정의뿐만 아니라 보안 측면에서도 이전 2 세대 제품을 능가합니다.

모니터링 방화벽의 보안이 패킷 필터링 방화벽 및 프록시 서버 방화벽을 초과했지만 구현 비용이 높고 관리가 어렵기 때문에 2 세대 프록시 방화벽 제품은 실제로 주요 제품이지만 모니터링 방화벽은 이미 어떤 면에서 적용되었습니다. 시스템 비용과 보안 기술 비용의 포괄적인 고려 사항에 따라 사용자는 네트워크 시스템의 보안 요구 사항을 보장하고 보안 시스템의 총소유비용 (TCO) 을 효과적으로 제어할 수 있는 모니터링 기술을 선택적으로 사용할 수 있습니다.

실제로 현재 방화벽 제품의 주류 추세로서 대부분의 프록시 서버 (애플리케이션 게이트웨이라고도 함) 에도 패킷 필터링 기술이 통합되어 있으며, 이 두 기술의 혼합 애플리케이션은 단독으로 사용하는 것보다 훨씬 큰 장점이 있습니다. 이 제품은 애플리케이션 기반이므로 애플리케이션 게이트웨이는 프로토콜을 필터링할 수 있습니다. 예를 들어, FTP 연결에서 PUT 명령을 걸러낼 수 있으며, 에이전트 애플리케이션을 통해 애플리케이션 게이트웨이는 인트라넷의 정보 유출을 효과적으로 방지할 수 있습니다. 애플리케이션 게이트웨이의 이러한 특징 때문에 애플리케이션 프로세스의 모순은 주로 다양한 네트워크 애플리케이션 프로토콜에 대한 효과적인 지원과 전체 네트워크 성능에 미치는 영향에 초점을 맞추고 있습니다.

4, 방화벽 구축 원칙

보안 및 서비스 요구 사항 분석

다음 질문은 보안 및 서비스 요구 사항을 분석하는 데 도움이 됩니다.

√ 사용할 인터넷 서비스 (예: 서비스 (로컬 네트워크, 전화 접속, 원격 사무실).

√ 암호화 또는 전화 접속 액세스 지원과 같은 수요 증가.

√ 위의 서비스 및 방문 제공 위험.

√ 네트워크 보안 제어를 제공하는 동시에 시스템 애플리케이션 서비스 비용을 희생합니다.

전략의 유연성

일반적으로 인터넷 관련 네트워크 보안 정책은 다음과 같은 이유로 유연해야 합니다.

√ 인터넷 자체가 급속히 발전함에 따라 조직은 인터넷을 통해 제공되는 새로운 서비스를 지속적으로 사용하여 비즈니스를 수행해야 할 수 있습니다. 새로운 프로토콜 및 서비스의 출현으로 인해 보안 정책이 응답하고 처리할 수 있어야 하는 새로운 보안 문제가 발생합니다.

√ 기관이 직면한 위험은 고정불변이 아니며, 기관 기능과 네트워크 설정의 변화는 모두 위험을 바꿀 수 있다.

원격 사용자 인증 정책

√ 원격 사용자는 방화벽 뒤에 인증되지 않은 모뎀을 통해 시스템에 액세스할 수 없습니다.

√ PPP/SLIP 연결은 방화벽 인증을 받아야 합니다.

√ 원격 사용자에 대한 인증 방법 교육.

다이얼 인/다이얼 아웃 정책

√ 방화벽을 설계할 때는 전화 접속/전화 접속 기능을 고려하고 통합해야 합니다.

√ 외부 전화 접속 사용자는 방화벽 인증을 통과해야 합니다.

정보 서버 정책

√ 공용 * * * 정보 서버의 보안은 방화벽에 통합되어야 합니다.

√ 공공 정보 서버는 엄격하게 통제되어야 합니다. 그렇지 않으면 시스템 보안의 격차가 될 수 있습니다.

정보 서버에 대한 절충된 보안 정책을 정의하면 공공 서비스를 제공할 수 있습니다.

√ 보안 정책을 통해 공공 정보 서비스와 비즈니스 정보 (예: e-메일) 를 구분합니다.

방화벽 시스템의 기본 특성

√ 방화벽은 "명시적으로 허용된 경우를 제외하고 모든 서비스 금지" 설계 정책을 지원해야 합니다.

√ 방화벽은 방화벽을 수용하기 위해 보안 정책을 변경하는 대신 실제 보안 정책을 지원해야 합니다.

√ 방화벽은 새로운 서비스 및 기관의 지능형 변경으로 인한 보안 정책 변화에 적응할 수 있는 유연성을 가져야 합니다.

√ 방화벽은 향상된 인증 메커니즘을 지원해야 합니다.

√ 방화벽은 필터링 기술을 사용하여 특정 호스트에 대한 액세스를 허용하거나 거부해야 합니다.

√ IP 필터링 설명 언어는 유연하고 사용자 친화적이어야 하며 소스 및 대상 IP, 프로토콜 유형, 소스 및 대상 TCP/UDP 포트, 도달 및 종료 인터페이스를 지원합니다.

√ 방화벽은 향상된 중앙 집중식 인증 관리 메커니즘을 제공하기 위해 FTP 및 텔넷에 프록시 서비스를 제공해야 합니다. 다른 서비스 (예: NNTP, rlogin 등) 가 있다면. 을 (를) 제공하지만 인증 프로세스는 암호화되지 않습니다. 즉, 비밀번호가 쉽게 수신 및 암호 해독됩니다.

다이제스트 알고리즘을 사용한 인증

Radius (전화 접속 인증 프로토콜), OSPF 및 SNMP 보안 프로토콜은 모두 * * * 및 다이제스트 알고리즘 (MD5) 이 공유하는 보안 키를 사용하여 인증됩니다. 다이제스트 알고리즘은 되돌릴 수 없는 프로세스이기 때문에 인증 과정에서 요약 정보에서 * * * 공유 보안 키를 계산할 수 없으며 중요한 정보도 네트워크를 통해 전송되지 않습니다. 시중에 사용되는 주요 요약 알고리즘은 MD5 와 SHA- 1 입니다.

PKI 기반 인증

인증 및 암호화에 공개 키 시스템을 사용합니다. 이 방법은 보안성이 높고 다이제스트 알고리즘, 비대칭 암호화, 대칭 암호화, 디지털 서명 등의 기술을 결합하여 보안과 효율성을 잘 결합합니다. PKI 기반 인증의 기본 원칙은 나중에 설명합니다. 이 인증 방법은 현재 이메일, 애플리케이션 서버 액세스, 고객 인증, 방화벽 인증 등에 사용되고 있습니다.

이 인증 방법은 높은 수준의 보안을 가지고 있지만 까다로운 인증서 관리 작업을 포함합니다.