네트워크 보안의 핵심 기술은 무엇인가요?

1. 가상 네트워크 기술

가상 네트워크 기술은 주로 최근 개발된 LAN 스위칭 기술(ATM 및 이더넷 스위칭)을 기반으로 합니다. 스위칭 기술은 기존의 방송 기반 LAN 기술을 연결 지향 기술로 발전시킵니다. 따라서 네트워크 관리 시스템은 값비싼 라우터를 거치지 않고도 LAN 통신 범위를 제한할 수 있는 기능을 갖추고 있습니다.

위의 운영 메커니즘이 가져오는 네트워크 보안의 이점은 분명합니다. 정보는 원래 가야 할 곳에만 도달한다는 것입니다. 따라서 네트워크 모니터링을 기반으로 하는 대부분의 침입 방법을 차단합니다. 가상 네트워크에서 설정한 액세스 제어를 통해 가상 네트워크 외부의 네트워크 노드는 가상 네트워크 내의 노드에 직접 액세스할 수 없습니다. 그러나 가상 네트워크 기술은 새로운 보안 문제도 가져옵니다.

가상 네트워크 전환을 수행하는 장치가 점점 복잡해지면서 공격의 대상이 되고 있습니다.

네트워크 방송 원리에 기반한 침입 감시 기술은 고속 스위칭 네트워크에서 특별한 설정이 필요합니다.

MAC 기반 VLAN은 MAC 스푸핑 공격을 막을 수 없습니다.

이더넷은 기본적으로 브로드캐스트 메커니즘을 기반으로 하지만 스위치와 VLAN 기술을 적용한 후에는 실제로 리스닝 포트가 설정되지 않으면 모니터링 및 삽입이 불가능합니다. 정보 교환 중 (변경) 질문입니다.

그러나 MAC 기반 VLAN 분할을 사용하면 가짜 MAC 주소의 공격에 직면하게 됩니다. 따라서 VLAN 분할은 스위치 포트를 기준으로 하는 것이 가장 좋습니다. 그러나 이를 위해서는 전체 네트워크 데스크탑이 스위치 포트를 사용하거나 각 스위치 포트가 있는 네트워크 세그먼트 시스템이 동일한 VLAN에 속해야 합니다.

네트워크 계층 통신은 라우터를 통과할 수 있으므로 원격 위치에서 공격이 시작될 수 있습니다. 다양한 제조업체의 IP 프로토콜 제품군 구현이 불완전하므로 IP 스윕, 티어드롭, 동기화 플러드, IP 스푸핑 공격 등과 같은 네트워크 계층에서 상대적으로 더 많은 보안 취약점이 발견됩니다.

2. 방화벽 기술

네트워크 방화벽 기술은 네트워크 간의 접근 통제를 강화하고, 외부 네트워크 사용자가 불법적인 수단을 통해 내부 네트워크에 침입하는 것을 방지하기 위해 사용되는 기술이다. 네트워크 자원은 내부 네트워크 운영 환경을 보호하는 특수한 네트워크 상호 연결 장치로, 둘 이상의 네트워크 간에 전송되는 데이터 패킷을 특정 보안 정책에 따라 확인하여 네트워크 간의 통신 허용 여부를 모니터링합니다. .

방화벽 제품에는 주로 요새 호스트, 패킷 필터링 라우터, 애플리케이션 계층 게이트웨이(프록시 서버) 및 회로 계층 게이트웨이, 보호 호스트 방화벽, 이중 호스트 및 기타 유형이 포함됩니다.

하지만 방화벽은 해커의 공격으로부터 네트워크를 보호하는 효과적인 수단이지만 방화벽 이외의 다른 수단을 통한 공격을 막을 수 없으며 내부 반역자 및 부주의한 사용자의 위협을 막을 수 없다는 명백한 단점도 있습니다. -감염된 소프트웨어나 파일이며 데이터 기반 공격을 막을 수 없습니다.

1986년부터 American Digital Company는 인터넷에 세계 최초의 상업용 방화벽 시스템을 설치하여 방화벽 개념이 발명된 후 방화벽 기술을 제안했습니다. 국내외 수십 개의 회사가 다양한 기능을 갖춘 방화벽 제품 시리즈를 출시했습니다.

방화벽은 5단계 네트워크 보안 시스템의 맨 아래에 있으며 네트워크 계층 보안 범주에 속합니다. 이 계층에서 기업이 보안 시스템에 대해 묻는 질문은 다음과 같습니다. 모든 IP가 기업의 내부 네트워크 시스템에 액세스할 수 있습니까? 대답이 "예"인 경우 기업의 내부 네트워크가 아직 해당 예방 조치를 취하지 않았음을 의미합니다. 네트워크 계층입니다.

방화벽은 내부 네트워크와 외부 공용 네트워크 사이의 첫 번째 장벽으로 사람들의 관심을 가장 먼저 받는 네트워크 보안 제품 중 하나입니다. 이론적으로는 방화벽이 맨 아래에 있습니다. 그러나 네트워크 보안 기술의 전반적인 발전과 네트워크 애플리케이션의 지속적인 변화로 인해 현대 방화벽 기술은 점차 네트워크 계층을 넘어 다른 보안 기능으로 이동하고 있습니다. 기존 방화벽의 필터링 작업을 완료할 뿐만 아니라 다양한 네트워크 애플리케이션에 해당하는 보안 서비스를 제공합니다. 또한 데이터 보안 및 사용자 인증, 바이러스 및 해커 침입 방지 등의 방향으로 다양한 방화벽 제품이 개발되고 있습니다.

1. 방화벽 사용의 이점

취약한 서비스 보호

방화벽은 안전하지 않은 서비스를 필터링함으로써 네트워크 보안을 크게 향상시키고 호스트 위험을 줄일 수 있습니다.

예를 들어 방화벽은 NIS 및 NFS 서비스가 통과하는 것을 금지할 수 있으며 소스 라우팅 및 ICMP 리디렉션 패킷도 거부할 수 있습니다.

시스템에 대한 액세스 제어

방화벽은 시스템에 대한 액세스 제어를 제공할 수 있습니다. 예를 들어 특정 호스트에 대한 외부 액세스는 허용되지만 다른 호스트에 대한 액세스는 금지됩니다. 예를 들어 방화벽은 특정 메일 서버 및 웹 서버에 대한 외부 액세스를 허용합니다.

중앙 집중식 보안 관리

방화벽은 기업 인트라넷에 대한 중앙 집중식 보안 관리를 구현합니다. 방화벽에 정의된 보안 규칙은 각 서버를 구성할 필요 없이 전체 내부 네트워크 시스템에 적용될 수 있습니다. 인트라넷에 각각 보안 정책을 설정합니다. 예를 들어, 각 시스템에 특정 인증 소프트웨어를 설치할 필요 없이 방화벽에서 다양한 인증 방법을 정의할 수 있습니다. 외부 사용자는 인트라넷에 액세스하기 위해 한 번만 인증하면 됩니다.

강화된 기밀성

방화벽을 사용하면 공격자가 Finger 및 DNS와 같은 네트워크 시스템을 공격하는 데 유용한 정보를 얻는 것을 방지할 수 있습니다.

네트워크 사용 데이터 및 불법 사용 데이터 기록 및 계산

방화벽은 방화벽을 통한 네트워크 통신을 기록 및 계산하고, 네트워크 사용에 대한 통계 데이터를 제공할 수 있으며, 방화벽은 통계 데이터를 제공하여 가능한 공격 및 탐지.

정책 실행

방화벽은 네트워크 보안 정책을 수립하고 실행하는 수단을 제공합니다. 방화벽이 설정되지 않은 경우 네트워크 보안은 각 호스트의 사용자에 따라 달라집니다.

2. 방화벽 설정

네트워크 정책

방화벽 시스템의 설계, 설치 및 사용에 영향을 미치는 네트워크 정책은 두 가지 수준으로 나눌 수 있습니다. 고급 네트워크 정책 허용 및 금지된 서비스와 서비스 사용 방법을 정의합니다. 하위 수준 네트워크 정책은 방화벽이 상위 수준 정책에 정의된 서비스를 제한하고 필터링하는 방법을 설명합니다.

서비스 액세스 정책

서비스 액세스 정책은 인터넷 액세스 서비스 및 외부 네트워크 액세스(예: 전화 접속 정책, SLIP/PPP 연결 등)에 중점을 둡니다.

서비스 접근 정책은 실현 가능하고 합리적이어야 합니다. 실행 가능한 전략은 알려진 사이버 위험 예방과 사용자 서비스 제공의 균형을 맞춰야 합니다. 일반적인 서비스 액세스 정책은 강화된 인증을 통과한 사용자가 필요한 경우 인터넷에서 특정 내부 호스트 및 서비스에 액세스하도록 허용하고, 내부 사용자가 지정된 인터넷 호스트 및 서비스에 액세스하도록 허용합니다.

방화벽 설계 전략

방화벽 설계 전략은 특정 방화벽을 기반으로 서비스 접근 정책을 완성하기 위한 규칙을 정의합니다. 일반적으로 두 가지 기본 설계 전략이 있습니다.

명시적으로 금지되지 않는 한 모든 서비스를 허용합니다.

명시적으로 허용되지 않는 한 모든 서비스를 허용하지 않습니다.

일반적으로 두 번째 유형의 디자인 전략이 사용됩니다.

3. 방화벽의 기본 분류

패킷필터링 종류

패킷필터링 제품은 방화벽의 대표적인 제품으로, 그 기술적 기반은 네트워크 내에서의 패킷 전송이다. 기술. 네트워크의 데이터는 "패킷" 단위로 전송됩니다. 데이터는 특정 크기의 패킷으로 나누어집니다. 각 패킷에는 데이터의 소스 주소, 대상 주소, TCP/UDP와 같은 특정 정보가 포함됩니다. 방화벽은 데이터 패킷의 주소 정보를 읽어 이러한 "패킷"이 신뢰할 수 있고 안전한 사이트에서 왔는지 여부를 결정합니다. 위험한 사이트의 데이터 패킷이 발견되면 방화벽은 데이터를 거부합니다. 또한 시스템 관리자는 실제 상황에 따라 판단 규칙을 유연하게 수립할 수 있습니다.

패킷 필터링 기술의 장점은 애플리케이션 환경이 저렴할 때 간단하고 실용적이라는 것입니다. 상대적으로 간단하고 더 작은 비용으로 사용할 수 있습니다. 비용이 어느 정도 시스템의 보안을 보장합니다.

그러나 패킷 필터링 기술의 단점도 분명합니다. 패킷 필터링 기술은 완전한 보안 기술을 기반으로 합니다. 네트워크 계층에서는 포트, 포트 등 네트워크 정보를 기반으로 데이터 패킷의 소스와 대상만 확인할 수 있으며, 악성 Java 애플릿, 이메일에 첨부된 바이러스 등 애플리케이션 계층 기반의 악성 침입을 식별할 수 없습니다. 숙련된 해커는 쉽게 IP 주소를 위조하고 패킷 필터링 방화벽을 속일 수 있습니다.

NAT(네트워크 주소 변환)

는 IP 주소를 임시, 외부 등록 IP 주소로 변환하는 표준입니다. 이는 개인 IP 주소 인터넷을 사용하여 내부 네트워크에 액세스할 수 있도록 허용하며, 이는 또한 사용자가 네트워크의 각 시스템에 대해 등록된 IP 주소를 얻을 수 없음을 의미합니다.

내부 네트워크가 인터넷을 통해 외부 네트워크에 액세스하는 경우. 보안 네트워크 카드를 사용하면 매핑 기록이 생성됩니다. 소스 주소와 소스 포트는 위장된 주소와 포트로 매핑되고, 위장된 주소와 포트는 비보안 네트워크 카드를 통해 외부 네트워크에 연결됩니다. 을 사용하여 실제 내부 네트워크 주소를 외부에 숨깁니다. 외부 네트워크는 보안되지 않은 네트워크 카드를 통해 접속합니다. 내부 네트워크 진입 시 내부 네트워크의 연결 상태를 알지 못하며 개방형 IP를 통해서만 접속을 요청합니다. OLM 방화벽은 미리 정의된 매핑 규칙에 따라 접근이 안전한지 여부를 판단하고, 규칙이 충족되면 방화벽은 접근이 안전하다고 판단되면 접근 요청을 수락하거나 다른 연결 요청을 매핑할 수 있습니다. 규칙이 충족되지 않으면 방화벽은 액세스가 안전하지 않은 것으로 간주하여 허용할 수 없으며 방화벽은 외부 연결 요청을 차단합니다. 네트워크 주소 변환 프로세스는 사용자에게 투명하며 사용자가 설정할 필요가 없습니다. up. 사용자는 일반적인 작업만 수행하면 됩니다.

프록시 유형

프록시 유형의 방화벽도 사용할 수 있으며, 프록시 서버라고 하며, 패킷 필터링 제품보다 보안이 높습니다. 프록시 서버는 클라이언트와 서버 사이에 위치하여 둘 사이의 데이터 교환을 완전히 차단합니다. 서버의 관점에서 프록시 서버는 클라이언트가 서버의 데이터를 사용해야 할 때 먼저 프록시 서버에 데이터 요청을 보내고, 프록시 서버는 이를 기반으로 서버에서 데이터를 얻습니다. 외부 시스템과 내부 서버 사이에 직접적인 데이터 채널이 없기 때문에 외부의 악의적인 침입이 기업 내부 네트워크 시스템에 해를 끼치는 것은 어렵습니다.

프록시 방화벽의 장점은 보안성이 높고, 애플리케이션 계층을 탐지 및 검사할 수 있으며, 애플리케이션 계층을 기반으로 하는 침입 및 바이러스 처리에 매우 효과적이라는 점입니다. 단점은 애플리케이션 계층에 부정적인 영향을 미친다는 것입니다. 시스템의 전반적인 성능에 큰 영향을 미치며, 클라이언트에서 생성할 수 있는 모든 애플리케이션 유형에 대해 프록시 서버를 하나씩 설정해야 하므로 시스템 관리가 크게 복잡해집니다.

모니터링 유형 모니터링 유형

방화벽은 실제로 방화벽의 원래 정의를 뛰어넘는 기술로 각 계층에서 데이터를 사전에 모니터링할 수 있습니다. 모니터링, 이러한 데이터 분석을 기반으로 모니터링 방화벽은 각 계층에서 불법 침입을 효과적으로 확인할 수 있습니다. 동시에 이 탐지 방화벽 제품에는 일반적으로 다양한 애플리케이션 서버와 기타 네트워크 노드 사이에 배치되는 분산 탐지기가 있습니다. 권위 있는 기관의 통계에 따르면, 네트워크 시스템에 대한 공격 중 네트워크 내부에서 발생하는 공격의 비율이 상당합니다. 따라서 모니터링 방화벽은 기존 방화벽의 정의를 능가할 뿐만 아니라 보안 측면에서도 이전 2세대 제품을 능가합니다

모니터링 방화벽의 보안은 패킷 필터링 및 프록시 서버 방화벽을 능가했지만, 모니터링 방화벽 기술은 구현 비용이 더 많이 들고 관리가 어렵기 때문에 실제로 방화벽 제품은 여전히 ​​2세대 프록시 제품이 지배하고 있지만 일부 측면에서는 시스템 비용과 보안을 종합적으로 고려하여 모니터링 방화벽을 사용하기 시작했습니다. 기술 비용을 절감하면서 사용자는 특정 모니터링 기술을 선택적으로 사용할 수 있습니다. 이는 네트워크 시스템의 보안 요구 사항을 보장할 뿐만 아니라 총 소유 비용을 효과적으로 제어할 수 있습니다.

실제로 주류입니다. 현재 방화벽 제품의 추세에 따라 대부분의 프록시 서버(애플리케이션 게이트웨이라고도 함)에는 패킷 필터링 기술이 통합되어 있습니다. 이 두 기술을 혼합하여 적용하는 것은 이 제품을 단독으로 사용하는 것보다 더 큰 장점이 있습니다. 예를 들어 게이트웨이는 FTP 연결에서 PUT 명령을 필터링할 수 있으며, 프록시 애플리케이션을 통해 애플리케이션 게이트웨이가 내부 네트워크 정보 유출을 효과적으로 방지할 수 있는 것은 바로 애플리케이션의 이러한 특성 때문입니다. 게이트웨이에서는 애플리케이션 프로세스의 모순이 주로 여러 네트워크 애플리케이션 프로토콜의 효과적인 지원과 네트워크의 전반적인 성능에 미치는 영향에 초점을 맞추고 있습니다.

4. 방화벽 구축 원칙

보안 및 서비스 요구 사항 분석

다음 질문은 보안 및 서비스 요구 사항을 분석하는 데 도움이 됩니다.

√ 사용할 인터넷 서비스(예: 서비스(로컬 네트워크, 전화 접속, 원격 사무실)).

√ 암호화 또는 전화 접속 액세스 지원과 같은 추가 요구 사항.

√ 위의 서비스 및 접근 위험을 제공합니다.

√ 시스템 응용 서비스를 희생하여 네트워크 보안 제어를 제공합니다.

일반적으로 네트워크 보안 전략은 유지되어야 합니다. 어느 정도의 유연성은 주로 다음과 같은 이유로 인해 발생합니다.

√ 인터넷 자체는 매우 빠르게 발전하고 있으며 조직은 비즈니스를 수행하기 위해 인터넷에서 제공하는 새로운 서비스를 계속 사용해야 할 수도 있습니다. 보안 문제와 서비스는 새로운 보안 문제를 야기하며, 보안 정책은 이러한 문제를 반영하고 대처할 수 있어야 합니다.

√ 조직이 직면하는 위험은 조직 기능의 변화와 네트워크의 변화에 ​​고정되어 있지 않습니다.

원격 사용자 인증 정책

√ 원격 사용자는 방화벽 뒤에 있는 인증되지 않은 모뎀을 통해 시스템에 액세스할 수 없습니다.

√ PPP/SLIP 연결이 필요합니다.

√ 원격 사용자에게 인증 방법 교육

다이얼인/다이얼아웃 정책

√ 다이얼인/다이얼 -아웃 기능이 설계에 포함되어야 합니다.

√ 외부 전화 접속 사용자는 방화벽 인증을 통과해야 합니다.

정보 서버 정책

√ 공용 *** 정보 서버는 방화벽에 보안을 통합해야 합니다.

√ 공용 정보 서버에는 엄격한 보안 제어가 구현되어야 합니다. 그렇지 않으면 시스템 보안에 허점이 됩니다.

√ 공공 서비스 제공을 허용하기 위해 정보 서버에 대한 타협 보안 정책을 정의하십시오.

√ 공공 정보 서비스와 상업 정보(예: 이메일) 간의 보안 정책을 차별화합니다.

방화벽 시스템의 기본 기능

√ 방화벽이 지원해야 합니다. "명시적으로 허용되지 않는 한 서비스 없음" 디자인 정책.

√ 방화벽은 방화벽에 맞춰 보안정책을 변경하기보다는 실제 보안정책을 지원해야 합니다.

√ 방화벽은 새로운 서비스로 인한 보안 정책 변화와 조직 인텔리전스의 변화에 ​​적응할 수 있도록 유연해야 합니다.

√ 방화벽은 향상된 인증 메커니즘을 지원해야 합니다.

√ 방화벽은 필터링 기술을 사용하여 특정 호스트에 대한 액세스를 허용하거나 거부해야 합니다.

√ IP 필터링 기술 언어는 유연하고 사용자 친화적이어야 하며 소스 IP와 대상 IP, 프로토콜 유형, 소스 및 대상 TCP/UDP 포트, 도착 및 출발 인터페이스를 지원해야 합니다.

√ 방화벽은 강화된 중앙 집중식 인증 관리 메커니즘을 제공하기 위해 FTP 및 TELNET에 대한 프록시 서비스를 제공해야 합니다. 다른 서비스(NNTP, rlogin 등)를 제공하지만 인증 과정이 암호화되지 않기 때문에 비밀번호를 쉽게 모니터링하고 복호화할 수 있다.

다이제스트 알고리즘을 이용한 인증

Radius(전화 접속 인증 프로토콜), 라우팅 프로토콜(OSPF), SNMP 보안 프로토콜 등은 모두 인증을 위해 공유된 보안 키와 다이제스트 알고리즘(MD5)을 사용합니다. 따라서 다이제스트 알고리즘은 실행 중에 되돌릴 수 없는 프로세스입니다. 인증 과정에서 다이제스트 정보로부터 공유 보안 키를 계산할 수 없으며 민감한 정보가 네트워크에 전송되지 않습니다. 시장에서 사용되는 주요 다이제스트 알고리즘은 MD5 및 SHA-1입니다. -기반 인증<. /p>

인증 및 암호화에 공개 키 시스템을 사용하는 이 방법은 다이제스트 알고리즘, 비대칭 암호화, 대칭 암호화, 디지털 서명 및 기타 기술을 포괄적으로 사용하여 보안 수준이 높습니다. 높은 보안성과 효율성이 결합된 PKI 인증의 기본 원칙은 현재 이메일, 애플리케이션 서버 액세스, 클라이언트 인증 및 기타 분야에서 사용됩니다. 매우 안전하지만 상대적으로 무거운 인증서 관리 작업이 필요합니다.