키워드: 네트워크 보안 방화벽 기술 특징
1. 개요
2 1 세기 전 세계 컴퓨터가 인터넷을 통해 연결될 것이며 정보 보안의 의미는 근본적으로 바뀔 것이다. 일반 방어에서 매우 일반적인 방어로 바뀌었을 뿐만 아니라 전문 분야에서도 유비쿼터스로 바뀌었다. 인류가 2 1 세기에 정보사회와 인터넷 사회에 진출할 때 중국은 완전한 사이버 보안 시스템, 특히 정책과 법률에 중국특색 사이버 보안 시스템을 구축할 것이다.
한 나라의 정보 보안 시스템에는 실제로 국가의 규제 정책과 기술 및 시장 개발 플랫폼이 포함됩니다. 정보 방어 시스템을 구축할 때 중국은 자신의 독특한 보안 제품 개발에 집중해야 한다. 중국이 사이버 보안 문제를 진정으로 해결하는 궁극적인 방법은 민족안전산업을 발전시키고 중국 사이버 보안 기술의 전반적인 향상을 촉진하는 것이다.
네트워크 보안 제품은 다음과 같은 특징을 가지고 있습니다. 첫째, 네트워크 보안은 보안 정책과 기술의 다양화에서 비롯되며, 통합 기술과 정책을 채택하는 것은 안전하지 않습니다. 둘째, 네트워크의 보안 메커니즘과 기술은 끊임없이 변화해야 한다. 다시 한 번, 인터넷이 사회적으로 확장됨에 따라, 인터넷에 진입하는 수단이 갈수록 많아지고 있다. 따라서 네트워크 보안 기술은 매우 복잡한 시스템 엔지니어링입니다. 따라서 중국특색 네트워크 보안 시스템을 구축하려면 국가 정책 및 규정의 지원과 그룹의 공동 개발이 필요합니다. 안보와 반안전은 모순의 두 측면처럼 항상 상승하기 때문에 미래 안전업계도 신기술의 발전에 따라 발전할 것이다.
정보 보안은 국가 발전이 직면한 중요한 문제이다. 이 문제에 대해 우리는 아직 시스템 계획에서 고려하지 않고 기술, 산업, 정책에서 발전하였다. 정부는 정보안전 발전이 우리나라 하이테크 산업의 일부라는 것을 알아야 할 뿐만 아니라, 안전산업 발전 정책은 정보안전체계의 중요한 구성 요소이며, 심지어 그것이 우리나라의 미래 전자정보기술 발전에 매우 중요한 역할을 할 것이라는 것을 보아야 한다.
2. 방화벽
네트워크 방화벽 기술은 네트워크 간 액세스 제어를 강화하고, 엑스트라넷 사용자가 엑스트라넷을 통해 인트라넷에 불법적으로 진입하는 것을 방지하며, 인트라넷 리소스에 액세스하고, 인트라넷 운영 환경을 보호하는 전용 네트워크 상호 연결 장치입니다. 특정 보안 정책에 따라 두 개 이상의 네트워크 간에 전송되는 패킷 (예: 링크 모드) 을 검사하여 네트워크 간 통신을 허용할지 여부를 결정하고 네트워크 작동 상태를 모니터링합니다. -응?
현재 방화벽 제품에는 주로 요새 호스트, 패킷 필터 라우터, 애플리케이션 계층 게이트웨이 (프록시 서버), 회로 계층 게이트웨이, 차폐 호스트 방화벽, 이중 호스트 등이 있습니다. -응?
방화벽은 해커의 공격으로부터 네트워크를 보호하는 효과적인 수단이지만 방화벽 외부의 다른 경로로부터의 공격을 막을 수 없고, 내부 탈북자와 임시 사용자의 위협을 막을 수 없고, 감염된 소프트웨어나 파일의 전파를 완전히 막을 수 없고, 데이터 기반 공격을 막을 수 없다는 점도 눈에 띈다.
미국 디지털 회사는 1986 이후 세계 최초의 상용 방화벽 시스템을 인터넷에 설치하고 방화벽 개념을 제시한 이후 방화벽 기술이 급속히 발전해 왔습니다. 국내외 수십 개 회사가 다양한 기능을 갖춘 방화벽 제품 라인을 내놓았다.
방화벽은 5 계층 네트워크 보안 시스템의 하단에 있으며 네트워크 계층 보안 기술의 범주에 속합니다. 이 수준에서 기업의 보안 시스템에 대한 의문은 모든 IP 가 기업의 인트라넷 시스템에 접근할 수 있는가 하는 것이다. 대답이' 예' 인 경우 인트라넷이 네트워크 계층에서 적절한 예방 조치를 취하지 않은 것입니다.
방화벽은 내부 네트워크와 외부 공용 네트워크 사이의 첫 번째 장벽으로 가장 먼저 중시된 네트워크 보안 제품 중 하나입니다. 이론적으로 방화벽은 네트워크 보안의 하단에 있으며 네트워크 간 보안 인증 및 전송을 담당합니다. 그러나, 네트워크 보안 기술의 전반적인 발전과 네트워크 응용 프로그램의 지속적인 변화와 함께, 현대 방화벽 기술은 점차 네트워크 계층 이외의 다른 보안 수준으로 이동, 뿐만 아니라 전통적인 방화벽 필터링 작업을 완료 하지만, 또한 다양 한 네트워크 응용 프로그램에 해당 보안 서비스를 제공 합니다. 또한 다양한 방화벽 제품이 데이터 보안 및 사용자 인증 방향으로 발전하여 바이러스와 해커의 침입을 막고 있습니다.
방화벽이 사용하는 기술에 따라 패킷 필터링, 네트워크 주소 변환 (NAT, 에이전트 및 모니터링) 의 네 가지 기본 유형으로 나눌 수 있습니다.
2. 1. 패킷 필터링 유형
패킷 필터링 제품은 방화벽의 초급 제품이며 네트워크의 패킷 전송 기술을 기반으로 합니다. 네트워크의 데이터는 패킷으로 전송되며, 데이터는 일정 크기의 패킷으로 나뉘며, 각 패킷에는 데이터의 소스 주소, 대상 주소, TCP/UDP 소스 포트, 대상 포트 등과 같은 특정 정보가 포함됩니다. 방화벽은 패킷의 주소 정보를 읽어 이러한 "패킷" 이 신뢰할 수 있는 보안 사이트에서 나온 것인지 여부를 결정합니다.
위험한 웹 사이트의 패킷이 발견되면 방화벽이 이를 거부합니다. 시스템 관리자도 실제 상황에 따라 판단 규칙을 유연하게 정할 수 있다.
패킷 필터링 기술의 장점은 간단하고 실용적이며 구현 비용이 낮다는 것입니다. 애플리케이션 환경이 간단한 경우 적은 비용으로 시스템 보안을 어느 정도 보장할 수 있습니다.
하지만 패킷 필터링 기술의 결함도 뚜렷하다. 패킷 필터링 기술은 패킷의 출처, 목적, 포트 등의 네트워크 정보로만 판단할 수 있는 완전한 네트워크 계층 기반 보안 기술로서 악의적인 Java 애플릿, 메시지에 첨부된 바이러스 등과 같은 애플리케이션 계층 기반 악의적인 침입을 인식하지 못합니다. 경험 많은 해커는 쉽게 IP 주소를 위조하고 패킷 필터링 방화벽을 속일 수 있다.
2.2. 네트워크 주소 변환
네트워크 주소 변환은 IP 주소를 임시, 외부 및 등록된 IP 주소로 변환하는 표준입니다. 개인 IP 주소를 가진 내부 네트워크에서 인터넷에 액세스할 수 있습니다. 즉, 사용자가 네트워크의 각 시스템에 대한 등록 IP 주소를 얻을 수 없습니다.
NAT 는 그림 1 과 같이 작동합니다.
인트라넷이 보안 네트워크 카드를 통해 외부 네트워크에 액세스할 때 매핑 레코드가 생성됩니다. 시스템은 송신 소스 주소와 소스 포트를 위장 주소와 포트에 매핑하고 안전하지 않은 네트워크 카드를 통해 위장 주소와 포트를 외부 네트워크에 연결하여 실제 인트라넷 주소를 외부에 숨깁니다. 엑스트라넷이 안전하지 않은 네트워크 카드를 통해 인트라넷에 액세스할 때는 인트라넷의 연결을 알지 못하고 개방형 IP 주소와 포트를 통해서만 액세스를 요청합니다. OLM 방화벽은 미리 정의된 매핑 규칙에 따라 액세스가 안전한지 여부를 결정합니다. 규칙을 준수할 때 방화벽은 액세스가 안전하다고 생각하여 액세스 요청을 수락하거나 연결 요청을 다른 내부 컴퓨터에 매핑할 수 있습니다. 규칙을 준수하지 않을 경우 방화벽은 액세스가 안전하지 않고 용납할 수 없다고 판단하며 방화벽은 외부 연결 요청을 마스킹합니다. 네트워크 주소 변환 프로세스는 사용자에게 투명하며 사용자가 설정할 필요가 없습니다. 일반적인 작업만 하면 됩니다.
2.3. 에이전트 유형
프록시 방화벽은 프록시 서버라고도 할 수 있으며 패킷 필터링 제품보다 보안이 뛰어나며 애플리케이션 계층으로 발전하기 시작했습니다. 프록시 서버는 클라이언트와 서버 사이에 위치하여 둘 사이의 데이터 교환을 완전히 차단합니다. 클라이언트 관점에서 볼 때 프록시 서버는 실제 서버와 같습니다. 서버 관점에서 프록시 서버는 실제 클라이언트입니다. 클라이언트가 서버의 데이터를 사용해야 할 경우 먼저 프록시 서버에 데이터 요청을 보낸 다음 프록시 서버가 이 요청에 따라 서버에 데이터를 요청한 다음 프록시 서버가 데이터를 클라이언트로 전송합니다. 외부 시스템과 내부 서버 사이에 직접적인 데이터 채널이 없기 때문에 외부 악성 침해는 기업 내부 네트워크 시스템에 해를 끼치기 어렵다.
프록시 방화벽의 장점은 보안이 높고 애플리케이션 계층을 감지하고 검색할 수 있어 애플리케이션 계층 기반 침입 및 바이러스에 매우 효과적입니다. 단점은 시스템의 전체 성능에 큰 영향을 미치며 클라이언트가 생성할 수 있는 모든 응용 프로그램 유형에 대해 프록시 서버를 하나씩 설정해야 하기 때문에 시스템 관리의 복잡성이 크게 증가한다는 것입니다.
2.4. 모니터링 유형
방화벽 모니터링은 차세대 제품이며, 이 기술은 사실상 방화벽의 초기 정의를 뛰어넘었다. 방화벽을 모니터링하면 다양한 계층의 데이터를 실시간으로 사전 예방적으로 모니터링할 수 있습니다. 이러한 데이터의 분석을 바탕으로 모니터링 방화벽은 각 계층의 불법 침입을 효과적으로 판단할 수 있습니다. 한편, 방화벽 제품을 탐지하는 데는 일반적으로 다양한 애플리케이션 서버 및 기타 네트워크 노드에 설치되는 분산 감지 장치가 있어 네트워크 외부의 공격을 감지할 수 있을 뿐만 아니라 내부로부터의 악의적인 파괴에도 강력한 예방 효과가 있습니다. 권위 기관 통계에 따르면 인터넷 시스템에 대한 공격의 상당 비율은 인터넷 내부에서 나온 것으로 나타났다. 따라서 모니터링 방화벽은 기존 방화벽의 정의뿐만 아니라 보안상 이전 두 세대 제품도 능가합니다.
모니터링 방화벽의 보안이 패킷 필터링 방화벽 및 프록시 서버 방화벽을 능가하고 있지만 모니터링 방화벽 기술 구현 비용이 높고 관리가 어렵기 때문에 현재 2 세대 프록시 방화벽 제품은 여전히 주요 제품이지만 모니터링 방화벽도 일부 방면에서 사용되고 있습니다. 시스템 비용과 보안 기술 비용의 포괄적인 고려 사항에 따라 일부 모니터링 기술을 선택적으로 사용할 수 있습니다. 이렇게 하면 네트워크 시스템의 보안 요구 사항을 보장할 수 있을 뿐만 아니라 보안 시스템의 총소유비용 (TCO) 을 효과적으로 제어할 수 있습니다.
실제로 방화벽 제품의 주류 추세로서 대부분의 프록시 서버 (애플리케이션 게이트웨이라고도 함) 에도 패킷 필터링 기술이 통합되어 있으며, 이 두 기술의 혼합 애플리케이션은 단일 사용보다 훨씬 큰 장점을 가지고 있습니다. 이 제품은 애플리케이션 기반이므로 애플리케이션 게이트웨이는 프로토콜을 필터링할 수 있습니다. 예를 들어, FTP 연결에서 PUT 명령을 걸러낼 수 있으며, 에이전트 애플리케이션을 통해 애플리케이션 게이트웨이는 인트라넷의 정보 유출을 효과적으로 방지할 수 있습니다. 애플리케이션 게이트웨이의 이러한 특징 때문에 애플리케이션 프로세스의 모순은 주로 다양한 네트워크 애플리케이션 프로토콜에 대한 효과적인 지원과 전체 네트워크 성능에 미치는 영향에 초점을 맞추고 있습니다.