Toată lumea înțelege funcția de bază a unui firewall – pentru a vă proteja rețeaua împotriva programelor malware și a accesului neautorizat. Dar specificul exact al modului în care funcționează firewall-urile sunt mai puțin cunoscute.
Ce este exact un firewall? Cum funcționează diferitele tipuri de firewall-uri? Și poate cel mai important – care tip de firewall este cel mai bun?
Firewall 101
Pur simplu, un firewall este doar un alt punct final al rețelei. Ceea ce îl face special este capacitatea sa de a intercepta și scana traficul de intrare înainte de a intra în rețeaua internă, blocând accesul actorilor rău intenționați.
Verificarea autentificării fiecărei conexiuni, ascunderea IP-ului de destinație de hackeri și chiar scanarea conținutului fiecărui pachet de date – firewall-urile fac totul. Un firewall servește ca un fel de punct de control, controlând cu atenție tipul de comunicare care este lăsată să intre.
Firewall-uri de filtrare a pachetelor
Firewall-urile de filtrare a pachetelor sunt cea mai simplă și cea mai puțin intensivă tehnologie de firewall de acolo. Deși este în nefavoare în zilele noastre, acestea au fost elementul de bază al protecției rețelei în computerele vechi.
Un firewall de filtrare a pachetelor operează la nivel de pachet, scanând fiecare pachet primit de la routerul de rețea. Dar nu scanează de fapt conținutul pachetelor de date, ci doar anteturile acestora. Acest lucru permite firewall-ului să verifice metadate precum adresele sursă și destinație, numerele port etc.
După cum ați putea bănui, acest tip de firewall nu este foarte eficient. Tot ceea ce poate face un firewall de filtrare a pachetelor este să reducă traficul inutil de rețea conform listei de control al accesului. Deoarece conținutul pachetului în sine nu este verificat, programele malware pot trece.
Pute de acces la nivel de circuit
Un alt mod eficient din punct de vedere al resurselor de a verifica legitimitatea conexiunilor de rețea este un gateway la nivel de circuit. În loc să verifice anteturile pachetelor de date individuale, un gateway la nivel de circuit verifică sesiunea în sine.
Încă o dată, un firewall ca acesta nu trece prin conținutul transmisiei în sine, lăsându-l vulnerabil la o serie de atacuri rău intenționate. Acestea fiind spuse, verificarea conexiunilor TCP (Transmission Control Protocol) din stratul de sesiuni al modelului OSI necesită foarte puține resurse și poate închide efectiv conexiunile de rețea nedorite..
De aceea, gateway-urile la nivel de circuit sunt adesea încorporate în majoritatea soluțiilor de securitate a rețelei, în special în firewall-urile software. Aceste gateway-uri ajută și la mascarea adresei IP a utilizatorului prin crearea de conexiuni virtuale pentru fiecare sesiune.
Firewall-uri de inspecție cu stat
Atât paravanul de protecție cu filtrare de pachete, cât și Gateway-ul la nivel de circuit sunt implementări de firewall fără stat. Aceasta înseamnă că aceștia operează pe un set de reguli static, limitându-le eficacitatea. Fiecare pachet (sau sesiune) este tratat separat, ceea ce permite efectuarea doar a unor verificări de bază.
Un paravan de protecție Stateful Inspection, pe de altă parte, ține evidența stării conexiunii, împreună cu detaliile fiecărui pachet transmis prin intermediul acestuia. Prin monitorizarea strângerii de mână TCP pe toată durata conexiunii, un firewall de inspecție cu stări poate compila un tabel care să conțină adresele IP și numerele de port ale sursei și destinației și să potrivească pachetele primite cu acest set de reguli dinamice.
Datorită acestui fapt, este dificil să te strecori în pachete de date rău intenționate dincolo de un firewall de inspecție completă. Pe de altă parte, acest tip de firewall are un cost mai mare al resurselor, încetinind performanța și creând o oportunitate pentru hackeri de a utiliza atacuri Distributed Denial-of-Service (DDoS) împotriva sistemului.
Firewall-uri proxy
Cunoscuți mai bine ca Gateway-uri la nivel de aplicație, firewall-urile proxy funcționează la nivelul frontal al modelului OSI – nivelul aplicației. Fiind stratul final care separă utilizatorul de rețea, acest strat permite verificarea cea mai amănunțită și costisitoare a pachetelor de date, cu prețul performanței.
Asemănător Gateway-urilor la nivel de circuit, firewall-urile proxy funcționează prin intervenție între gazdă și client, ofucând adresele IP interne ale porturilor de destinație. În plus, gateway-urile la nivel de aplicație efectuează o inspecție profundă a pachetelor pentru a se asigura că traficul rău intenționat nu poate trece.
Și, deși toate aceste măsuri sporesc semnificativ securitatea rețelei, încetinesc și traficul de intrare. Performanța rețelei este afectată din cauza verificărilor intensive în resurse efectuate de un firewall cu stare de protecție ca acesta, făcându-l o potrivire slabă pentru aplicațiile sensibile la performanță..
Paravane de protecție NAT
În multe configurații de calcul, pivotul cheie al securității cibernetice este asigurarea unei rețele private, ascunzând adresele IP individuale ale dispozitivelor client atât de la hackeri, cât și de la furnizorii de servicii. După cum am văzut deja, acest lucru poate fi realizat folosind un firewall proxy sau un gateway la nivel de circuit.
O metodă mult mai simplă de a ascunde adresele IP este utilizarea unui firewall NAT (Network Address Translation). NAT firewall-urile nu necesită multe resurse de sistem pentru a funcționa, ceea ce le face să fie locul de contact între servere și rețeaua internă.
Paravane de protecție pentru aplicații web
Numai firewall-urile de rețea care operează la nivelul aplicației pot efectua scanări profunde a pachetelor de date, cum ar fi un paravan de protecție proxy sau, mai bine, un paravan de protecție pentru aplicații web (WAF).
Funcționând din rețea sau din gazdă, un WAF parcurge toate datele transmise de diverse aplicații web, asigurându-se că niciun cod rău intenționat nu trece. Acest tip de arhitectură firewall este specializată în inspecția pachetelor și oferă o securitate mai bună decât firewall-urile la nivel de suprafață.
Firewall-uri în cloud
Firewall-urile tradiționale, atât firewall-uri hardware, cât și software, nu se scalează bine. Acestea trebuie instalate ținând cont de nevoile sistemului, fie concentrându-se pe performanța cu trafic ridicat, fie pe securitatea redusă a traficului de rețea.
Dar firewall-urile cloud sunt mult mai flexibile. Implementat din cloud ca server proxy, acest tip de firewall interceptează traficul de rețea înainte de a intra în rețeaua internă, autorizează fiecare sesiune și verifică fiecare pachet de date înainte de a-l lăsa să intre.
Cea mai bună parte este că astfel de firewall-uri pot fi mărite și reduse în funcție de necesități, ajustându-se la diferite niveluri de trafic de intrare. Oferit ca serviciu bazat pe cloud, nu necesită hardware și este întreținut chiar de furnizorul de servicii.
Firewall-uri de generație următoare
Următoarea generație poate fi un termen înșelător. Toate industriile bazate pe tehnologie iubesc să arunce cuvinte la modă ca acesta, dar ce înseamnă cu adevărat? Ce tip de caracteristici califică un firewall pentru a fi considerat noua generație?
În adevăr, nu există o definiție strictă. În general, puteți considera soluțiile care combină diferite tipuri de firewall-uri într-un singur sistem de securitate eficient ca fiind un Firewall de generație următoare (NGFW). Un astfel de firewall este capabil să inspecteze în profunzime pachetele, în timp ce ridică din umeri DDoS atacuri, oferind o apărare multistrat împotriva hackerilor..
Majoritatea firewall-urilor de generație următoare vor combina adesea mai multe soluții de rețea, cum ar fi VPN-uri, sistemele de prevenire a intruziunilor (IPS) și chiar un antivirus într-un singur pachet puternic. Ideea este de a oferi o soluție completă care să abordeze toate tipurile de vulnerabilități ale rețelei, oferind o securitate absolută a rețelei. În acest scop, unele NGFW pot decripta și comunicațiile Secure Socket Layer (SSL), permițându-le să observe și atacuri criptate.
Ce tip de firewall este cel mai bun pentru a vă proteja rețeaua?
Chestia cu firewall-urile este că diferitele tipuri de firewall-uri folosesc abordări diferite pentru proteja o rețea.
Cele mai simple firewall-uri doar autentifică sesiunile și pachetele, fără a face nimic cu conținutul. Firewall-urile gateway sunt toate despre crearea de conexiuni virtuale și prevenirea accesului la adrese IP private. Firewall-urile cu stare țin evidența conexiunilor prin intermediul strângerii de mână TCP, creând un tabel de stare cu informațiile.
Apoi, există firewall-uri de generație următoare, care combină toate procesele de mai sus cu inspecția profundă a pachetelor și o mulțime de alte funcții de protecție a rețelei. Este evident să spunem că un NGFW ar oferi sistemului dumneavoastră cea mai bună securitate posibilă, dar acesta nu este întotdeauna răspunsul corect.
În funcție de complexitatea rețelei dvs. și de tipul de aplicații rulate, sistemele dvs. ar putea fi mai bine cu o soluție mai simplă, care să protejeze împotriva celor mai frecvente atacuri. Cea mai bună idee ar putea fi să folosiți un serviciu firewall cloud terță parte, descarcând reglajul fin și întreținerea paravanului de protecție către furnizorul de servicii.
.