БОООЖ ЕЛЕУ М. ожа ахмет яссауи атындаы халыаралы азаТрік университететі инженерия факультеті Компьютерлік инженерия кафедрасы
Скачать 35.79 Kb.
|
ҚОЖА АХМЕТ ЯССАУИ АТЫНДАҒЫ ХАЛЫҚАРАЛЫҚ ҚАЗАҚ-ТҮРІК УНИВЕРСИТЕТЕТІ Инженерия факультеті Компьютерлік инженерия кафедрасы БӨЖ Тақырыбы: FireWall (брандмауэр) Дайындаған: Елеу М. Қабылдаған: Амиртаев Қ. Тобы: ААЖ-112 Кентау 2023 Мазмұны Кіріспе.......................................................................................................................3 Негізгі бөлім Брандмауэр түрлері...........................................................................................4 Брандмауэр жұмысының принциптері............................................................5 Брандмауэрді баптауы.......................................................................................5 Қауіпсіздік мәселелері мен қауіптері..............................................................6 Қорытынды............................................................................................................15 Кіріспе "Firewall брандмауэрі" тақырыбына кіріспе жұмыстың маңызды бөлігі болып табылады, өйткені ол оқырманды тақырыппен таныстыруға және оның өзектілігін негіздеуге мүмкіндік береді. FireWall брандмауэр-бұл компьютерлер мен желілерді зиянды шабуылдардан және рұқсатсыз кіруден қорғайтын қауіпсіздік жүйесі. Ол желі арқылы өтетін трафикті сүзу және бақылау үшін қолданылады және Ақпаратқа қол жетімділікті басқару мен қауіпсіздікті қамтамасыз етеді. Firewall брандмауэрлерінің көптеген түрлері бар, олардың әрқайсысының өзіндік ерекшеліктері мен жұмыс принциптері бар. Нақты талаптарға байланысты белгілі бір желінің немесе компьютердің қауіпсіздік тапсырмаларына сәйкес келетін брандмауэр түрін таңдауға болады. Дегенмен, брандмауэрді FireWall пайдаланудың барлық артықшылықтарына қарамастан, оны пайдалануға байланысты белгілі бір қауіптер мен мәселелер бар. Сонымен, брандмауэр шабуылдаушылардың немесе вирустардың шабуылына ұшырауы мүмкін, бұл желі қауіпсіздігі үшін ауыр зардаптарға әкелуі мүмкін. Сондықтан брандмауэрдің Firewall қорғау және жаңарту шараларын қабылдау маңызды. Бұл жұмыс Firewall брандмауэрлері, олардың түрлері, жұмыс принциптері, орнату, тестілеу және қауіпсіздік мәселелері туралы негізгі ақпаратты қарастырады. Сондай ақ Брандмауэрдің FireWall пайдалану бойынша кеңестері және оның интернеттегі қауіпсіздікті қамтамасыз етудегі маңыздылығы ұсынылады Брандмауэр түрлері Желілер мен компьютерлердің қауіпсіздігінің маңызды аспектілерінің бірі-брандмауэрдің дұрыс түрін пайдалану. Firewall брандмауэрлерінің бірнеше түрі бар, олардың әрқайсысының өзіндік ерекшеліктері мен жұмыс принциптері бар. Бұл бөлімде брандмауэрлердің негізгі түрлері және олардың ерекшеліктері егжей-тегжейлі қарастырылады. Желілік брандмауэр Желілік брандмауэр-бұл маршрутизатор немесе коммутатор сияқты желілік құрылғы деңгейінде орнатылған брандмауэр. Брандмауэрдің бұл түрі желідегі белгілі бір құрылғыларға немесе қолданбаларға кіруді басқаруға мүмкіндік беретін IP мекенжайлары мен порттарына негізделген трафикті сүзеді. Желілік брандмауэр-бұл корпоративті және үй желілерінде кеңінен қолданылатын брандмауэрдің ең көп таралған түрі. Негізгі брандмауэр Хост брандмауэр-бұл жеке компьютерге орнатылатын және оны рұқсатсыз кіруден және зиянды шабуылдардан қорғайтын брандмауэр. Хост брандмауэр қолданба деңгейіндегі трафикті сүзеді және белгілі бір қолданбалар мен порттарға кіруді басқарады. Брандмауэрдің бұл түрі жергілікті желі немесе USB құрылғылары арқылы шабуылдар сияқты жергілікті шабуылдардан қорғауда тиімді. Периметрлік брандмауэр Периметрлік брандмауэр-бұл сыртқы және ішкі желі арасындағы шекарада орналасқан брандмауэр. Ол трафикті көзі мен мақсатына, сондай-ақ хаттамалар мен порттарға негізделген сүзеді. Брандмауэрдің бұл түрі интернеттегі шабуылдардан қорғану үшін ең тиімді болып табылады Брандмауэр жұмысының принциптері Брандмауэр-бұл желіні немесе компьютерді рұқсатсыз кіруден және зиянды шабуылдардан қорғауға қызмет ететін бағдарлама немесе құрылғы. Брандмауэрдің жұмыс принципі-ол арқылы өтетін трафикті сүзу. Брандмауэр жұмысының негізгі принциптері: Қол жеткізу ережелерін анықтау Брандмауэр қандай трафикке рұқсат етілгенін және қайсысына тыйым салынғанын анықтайтын кіру ережелерін қолданады. Ережелер IP мекенжайы, порт және хаттама деңгейінде конфигурациялануы мүмкін. Осының арқасында брандмауэр белгілі бір қолданбалар мен қызметтерге қол жеткізуді басқара алады. Трафикті сүзу Брандмауэр ол арқылы өтетін трафикті талдайды және кіру ережелеріне негізделген қажетсіз трафикті блоктайды. Ол трафикті TCP/IP, UDP, ICMP сияқты желілік протоколдар деңгейінде, сондай-ақ HTTP, FTP, SMTP және басқалары сияқты қосымшалар деңгейінде сүзеді. Оқиғаларды бақылау Брандмауэр желіде орын алатын оқиғаларды, мысалы, рұқсатсыз кіру әрекеттерін немесе шабуылдарды тіркей алады. Бұл мүмкіндік желі әкімшісіне желіде не болып жатқанын бақылауға және ықтимал қауіптерге жылдам жауап беруге мүмкіндік береді. Аутентификация және шифрлау Кейбір брандмауэрлер аутентификация және шифрлау мүмкіндіктерін ұсына алады. Бұл мүмкіндіктер желіге кіруді басқаруға, пайдаланушылардың түпнұсқалығын тексеруге және оны ұстап қалмас үшін құрылғылар арасындағы трафикті шифрлауға мүмкіндік береді. Кіру ережелерін жаңарту Брандмауэр жаңа қауіптер мен қолданба жаңартуларын ескеру үшін кіру ережелерін үнемі жаңартуды қажет етеді. Кіру ережелерін үнемі жаңартпай, брандмауэр желіні жаңа қауіптерден қорғай алмайды. Жалпы, брандмауэр желіні және компьютерлерді қорғауға, рұқсатсыз кіруге және зиянды шабуылдарға жол бермеуге арналған Брандмауэрді баптауы Брандмауэрді орнату-бұл желідегі трафикті бақылау үшін қолданылатын қауіпсіздік ережелері мен параметрлерін анықтау процесі. Бұл брандмауэрлерді орнату мен пайдаланудың маңызды кезеңі, өйткені оларды белгілі бір желі мен қолданбалардың қауіпсіздік қажеттіліктеріне сәйкес жұмыс істеу үшін конфигурациялауға мүмкіндік береді. Брандмауэрді орнатудың негізгі қадамдары мыналарды қамтиды: Кіру ережелерін анықтау: желіге кіруге немесе кетуге қандай IP мекенжайларға, порттарға және хаттамаларға рұқсат етілетінін немесе тыйым салынатынын анықтау. Кіру ережелерін анықтау-желі ресурстарына кіруге рұқсат беру немесе тыйым салу үшін брандмауэрді орнату процесі. Кіру ережелері желідегі белгілі бір құрылғыларға немесе қызметтерге кіру үшін қандай IP мекенжайларына, порттарына және хаттамаларына рұқсат етілетінін немесе тыйым салынатынын анықтайды. Қол жеткізу ережелері келесі факторларға байланысты анықталады: IP мекенжайлары: желіге кіруге рұқсат етілетін немесе тыйым салынатын IP мекенжайларының ауқымы анықталады. Порттар: желідегі құрылғыларға немесе қызметтерге қол жеткізу үшін ашық немесе жабық порттар анықталады. Хаттамалар: желідегі құрылғыларға немесе қызметтерге кіруге рұқсат етілетін немесе тыйым салынатын хаттамалар анықталады. Бағыт: желіге кіруге рұқсат етілетін немесе тыйым салынатын трафик бағыттары анықталады. Уақыт параметрлері: кірудің басталу және аяқталу уақыты сияқты уақытша кіру параметрлері анықталады. Қауіпсіздік шарттары: желіге кіруге рұқсат беру немесе тыйым салу үшін шифрлау деңгейі сияқты қауіпсіздік параметрлері анықталады. Желінің және оның ресурстарының қауіпсіздігін қамтамасыз ету үшін кіру ережелерін дұрыс орнату маңызды. Қол жеткізу ережелерін анықтау және тиісті брандмауэр параметрлерін таңдау кезінде ықтимал қауіптер мен қауіпсіздік бұзушылықтарын ескеру қажет. Сондай-ақ, қол жеткізу ережелерін мезгіл-мезгіл тексеріп отыру және оларды желінің қажеттіліктері мен қауіпсіздік қатерлерінің өзгеруіне сәйкес жаңарту маңызды Топтар мен саясаттарды құру: пайдаланушылар топтарын құру және әр топ үшін желілік ресурстарға қол жеткізу саясатын құру. Топтар мен саясаттарды құру-бұл пайдаланушылар мен құрылғылардың желіге кіруін басқаруға мүмкіндік беретін брандмауэрді орнатудың қосымша қабаты. Пайдаланушылар мен құрылғылар топтарын құру және оларға тиісті саясаттарды қолдану желі ресурстарына қол жеткізуді дәлірек басқаруды қамтамасыз етеді және жалпы қауіпсіздік деңгейін арттырады. Пайдаланушылар мен құрылғылар тобын құру үшін келесі қадамдарды орындау қажет: Пайдаланушылар мен құрылғылар топтарын анықтаңыз: олардың функциялары мен желі ресурстарына қол жеткізу деңгейіне байланысты қандай пайдаланушылар мен құрылғылар топтарға біріктірілетінін анықтаңыз. Пайдаланушылар мен құрылғылар топтарын жасаңыз: брандмауэрде топтар құрыңыз және әр топқа кіру параметрлерін анықтаңыз. Әр топқа кіру саясатын тағайындаңыз: пайдаланушылар мен құрылғылардың әр тобына қандай кіру ережелері қолданылатынын анықтаңыз. Кіру саясаты пайдаланушылар мен құрылғылардың әр тобына қандай ережелер мен қол жеткізу параметрлері қолданылатынын анықтайды. Бұл саясаттар белгілі бір сайттарға, қолданбаларға және қызметтерге кіруді бұғаттау ережелерін, сондай-ақ желі ішіндегі нақты ресурстарға қол жеткізу ережелерін қамтуы мүмкін. Кіру саясатын құру үшін келесі қадамдарды орындау қажет: Қол жеткізу саясатының мақсаттарын анықтаңыз: қол жеткізу саясаты арқылы қандай мақсаттарға қол жеткізу керектігін анықтаңыз. Кіру параметрлерін анықтаңыз: пайдаланушылар мен құрылғылардың әр тобына рұқсат етілетін немесе тыйым салынатын IP мекенжайлары, порттар және протоколдар сияқты кіру параметрлерін анықтаңыз. Кіру ережелерінің түрлерін анықтаңыз: белгілі бір сайттарды немесе қызметтерді бұғаттау немесе желі ішіндегі белгілі бір ресурстарға қол жеткізуге рұқсат беру сияқты кіру ережелерінің түрлерін анықтаңыз. Пайдаланушылар мен құрылғылар топтарына қол жеткізу саясатын қолданыңыз: пайдаланушыларға және оларға тәуелді болатын құрылғылар топтарына құрылған саясаттарды тағайындаңыз. Кіру саясатын дұрыс орнату Желі ресурстарына қол жеткізуді тиімдірек басқаруды қамтамасыз етеді және жалпы желі қауіпсіздігін арттырады Пакеттік инспекцияны орнату: зиянды пакеттер сияқты ықтимал қауіпті пакеттерді блоктау үшін пакеттік сүзгілерді орнату. Пакеттік инспекцияны орнату-бұл желі арқылы деректерді беруді басқаруға, трафикті зиянды бағдарламаларға сканерлеуге, пакеттерді сүзуге және трафикті басқарудың басқа ережелерін қолдануға мүмкіндік беретін маңызды брандмауэр мүмкіндіктерінің бірі. Пакеттік тексеруді орнату келесі қадамдарды қамтуы мүмкін: Тексеру параметрлерін анықтау: порттар, хаттамалар, IP мекенжайлары және басқа параметрлер сияқты пакеттік тексеру параметрлерін анықтау. Сүзу ережелерін орнату: белгілі бір ресурстар мен қызметтерге кіруге тыйым салуға немесе рұқсат беруге мүмкіндік беретін сүзу ережелерін анықтау. Қауіпсіздік саясатын орнату: трафиктің белгілі бір түрлерін анықтаған кезде брандмауэр қандай әрекеттер жасау керектігін анықтайтын қауіпсіздік саясатын құру және конфигурациялау. Ескерту жүйесін орнату: желідегі ықтимал қауіпсіздік қатерлері мен оқиғаларына жылдам жауап беруге мүмкіндік беретін ескерту жүйесін орнату. Жұмыс режимдерін орнату: көпір режимі, маршруттау немесе аралас режим сияқты брандмауэр режимін таңдау. Тестілеу және оңтайландыру: пакетті тексерудің теңшелген параметрлерін тексеру және максималды тиімділік пен қауіпсіздікке қол жеткізу үшін параметрлерді оңтайландыру. Пакеттік инспекцияны орнату жалпы брандмауэр параметрінің маңызды бөлігі болып табылады және желідегі трафикті тиімдірек және сенімді басқаруға мүмкіндік береді. Жақсы нәтижеге қол жеткізу үшін параметрлерді үнемі тексеріп, өзгеріп отыратын қажеттіліктер мен қауіпсіздік қатерлеріне сәйкес жаңартып отыру қажет. Қауіпсіздік деңгейін орнату: Желі мен қолданба қажеттіліктеріне сәйкес қауіпсіздік деңгейін реттеу. Қауіпсіздік деңгейін орнату брандмауэрді орнатудың маңызды кезеңі болып табылады, ол трафиктің қандай түрлеріне рұқсат етілетінін және қайсысы бұғатталатынын анықтауға мүмкіндік береді. Қауіпсіздік деңгейін орнату желіні пайдалану кезінде туындауы мүмкін қауіпсіздік тәуекелдерін және ұйымға байланысты өзгеруі мүмкін бизнес қажеттіліктерін талдауға негізделуі керек. Брандмауэрдің қауіпсіздік деңгейін орнату кезінде келесі факторларды ескеру қажет: Рұқсат етілген трафик: желіде қандай трафикке рұқсат етілгенін анықтаңыз. Бұл іскери қосымшалардың жұмыс істеуі үшін қажет кез-келген трафик, сондай-ақ электрондық пошта, веб-серфинг, қашықтан қол жеткізу және т. б. сияқты трафиктің әртүрлі түрлері болуы мүмкін. Бұғатталған трафик: желіде қандай трафикті бұғаттау керектігін анықтаңыз. Бұл белгілі бір протоколдармен немесе қызметтермен байланысты трафикті немесе зиянды бағдарламалармен немесе хакерлік шабуылдармен байланысты болуы мүмкін трафикті қамтуы мүмкін. Қол жеткізу деңгейі: желідегі пайдаланушыларға қандай қол жеткізу деңгейі берілетінін анықтаңыз. Бұл рөлдерге, пайдаланушы топтарына, IP мекенжайларына және басқа факторларға негізделген қол жеткізу деңгейі болуы мүмкін. Қауіпсіздік аудиті: барлық кіру әрекеттерін, тыйым салынған ресурстарға қол жеткізу әрекеттерін және т. б. қоса алғанда, қауіпсіздік аудиті журналында қандай оқиғалар мен әрекеттерді жазу керектігін анықтаңыз. Шифрлау деңгейі: желідегі деректерді қорғау үшін қандай шифрлау деңгейін пайдалану керектігін анықтаңыз. Бұл трафикті шифрлау үшін SSL сертификаттарын пайдалануды, қашықтан қол жеткізуді қорғау үшін VPN туннельдерін пайдалануды және т. б. қамтуы мүмкін. Жаңарту және бақылау: ұзақ мерзімді перспективада желіні сенімді қорғауды қамтамасыз ету үшін қауіпсіздік параметрлері қалай жаңартылатынын және бақыланатынын анықтаңыз Брандмауэр журналдарын бақылау және талдау: қауіпсіздікке ықтимал қауіптер мен бұзушылықтар үшін журналдарды тексеру және ең жақсы қорғауды қамтамасыз ету үшін трендтер мен үлгілерді талдау. Желіні және оның ресурстарын тиімді қорғауды қамтамасыз ету үшін брандмауэрді дұрыс орнату маңызды. Барлық қауіпсіздік параметрлері желі мен қолданба талаптарын көрсететініне және қауіпсіздіктің озық тәжірибелері мен принциптеріне сәйкес келетініне көз жеткізу керек. Брандмауэрді орнату кезінде ішкі және сыртқы қауіптердің қауіпсіздікті бұзу мүмкіндігін ескеру қажет. Брандмауэр журналдарын бақылау және талдау сіздің желіңіздегі ықтимал қауіптер мен қауіпсіздік бұзушылықтарын анықтауға және оларға жауап беруге мүмкіндік беретін қауіпсіздіктің маңызды аспектілері болып табылады. Брандмауэр журналдарында брандмауэр арқылы қандай пакеттер өтетіні және олармен қандай әрекеттер жасалатыны туралы жазбалар бар. Брандмауэр журналдарын бақылау кезінде келесі аспектілерге назар аудару керек: Желілік трафик белсенділігі: желілік белсенділікті бақылау күдікті пакеттерді және әдеттен тыс трафик көлемі немесе брандмауэрді айналып өту әрекеттері сияқты қалыптан тыс әрекеттерді анықтауға мүмкіндік береді. Пайдаланушы әрекеттері: пайдаланушы әрекеттерін бақылау тыйым салынған ресурстарға кім кіруге тырысатынын немесе желідегі қауіпсіздік ережелерін кім бұзатынын анықтауға мүмкіндік береді. Қауіпсіздік оқиғалары: қауіпсіздік журналдарын бақылау желіге шабуыл жасау әрекеттерін анықтауға, сондай-ақ жүйедегі осалдықтарды анықтауға мүмкіндік береді. Рұқсат етілген және бұғатталған пакеттер: брандмауэр журналдарын бақылау қай пакеттерге рұқсат етілгенін және қайсысы бұғатталғанын тексеруге және брандмауэр ережелерінің дұрыс орнатылғанына көз жеткізуге мүмкіндік береді. Брандмауэр журналдарын бақылағаннан кейін деректерді талдап, анықталған қауіпсіздік мәселелерін шешу үшін шаралар қабылдау керек. Мысалы, брандмауэр ережелерін өзгертуге, бағдарламалық жасақтаманы жаңартуға, қосымша қорғауды орнатуға, пайдаланушыларды оқытуға және т. б Қауіпсіздік мәселелері мен қауіптері Желінің қауіпсіздігі қазіргі әлемде маңызды мәселе болып табылады және брандмауэрлердің болуына қарамастан, желінің қауіпсіздігіне әсер етуі мүмкін көптеген қауіптер мен мәселелер әлі де бар. Брандмауэрлерді пайдаланумен байланысты болуы мүмкін ең көп таралған қауіптер мен қауіпсіздік мәселелерінің кейбірі мыналарды қамтиды: Рұқсатсыз кіру Желінің қауіпсіздігіне байланысты негізгі қауіптердің бірі-желіге немесе компьютерге рұқсатсыз кіру. Егер шабуылдаушы жүйеге рұқсатсыз кірсе, бұл орын алуы мүмкін. Брандмауэрлер трафикті белгісіз көздерден блоктау арқылы рұқсатсыз кірудің алдын алуға көмектеседі. Вирустар және зиянды бағдарлама Вирустар мен зиянды бағдарламалық жасақтама (бағдарламалық жасақтама) желінің қауіпсіздігіне үлкен қауіп төндіреді. Олар әлсіз Құпия сөздер мен ескірген бағдарламалық жасақтама сияқты нашар қорғалған кіру нүктелері мен осалдықтар арқылы желіге ене алады. Брандмауэрлер трафикті сүзу және қауіпті анықтау мүмкіндіктерінің арқасында жүйеге кіру үшін вирустар мен зиянды бағдарламалардың әрекеттерін блоктай алады. DDoS Шабуылдары DDoS шабуылдары (таратылған қызмет көрсетуден бас тарту шабуылдары) трафикті шамадан тыс жүктеу арқылы желінің істен шығуына әкелуі мүмкін. Брандмауэрлер күдікті трафикті бұғаттау арқылы мұндай шабуылдардың алдын алуға көмектеседі. Құпия сөздерді бұзу Құпия сөзді бұзу-шабуылдаушыға бұзылған тіркелгі деректерін пайдаланып жүйеге кіруге мүмкіндік беретін шабуыл әдісі. Брандмауэрлер жүйеге рұқсатсыз кіру әрекеттерін блоктау арқылы мұндай шабуылдардың алдын алуға көмектеседі Қорытынды Брандмауэрлер компьютерлік желілердің қауіпсіздігін қамтамасыз етудің маңызды құралы болып табылады. Олар трафикті сүзу, кіруді бақылау және қауіпсіздік қатерлерін блоктау үшін қолданылады. Дегенмен, рұқсат етілмеген қол жетімділік, вирустар және зиянды бағдарламалар, DDoS шабуылдары, құпия сөздерді бұзу және қолданбалардағы қауіпсіздік кемшіліктері сияқты брандмауэрлерді пайдаланумен байланысты болуы мүмкін әртүрлі қауіпсіздік мәселелері мен қауіптері бар. Осы қауіптер мен мәселелерден тиімді қорғауды қамтамасыз ету үшін брандмауэрлер күшті парольдерді пайдалану, бағдарламалық жасақтаманы үнемі жаңартып отыру, деректердің сақтық көшірмесін жасау және пайдаланушыларға желілік қауіпсіздік негіздерін үйрету сияқты басқа қауіпсіздік әдістерімен бірге қолданылуы керек. Сондай-ақ, желінің қауіпсіздік талаптары мен сипаттамаларына сәйкес брандмауэрдің дұрыс түрін таңдау керек, сонымен қатар брандмауэрді дұрыс орнату және техникалық қызмет көрсету қажет. |