Každý rozumí základní funkci brány firewall – chránit vaši síť před malwarem a neoprávněným přístupem. Ale přesná specifika toho, jak firewally fungují, jsou méně známé.
Co přesně je firewall? Jak fungují různé typy firewallů? A co je možná nejdůležitější – jaký typ firewallu je nejlepší?
Firewall 101
Zjednodušeně řečeno, firewall je jen další koncový bod sítě. To, co jej dělá zvláštním, je jeho schopnost zachytit a skenovat příchozí provoz předtím, než vstoupí do vnitřní sítě, a blokovat tak přístup zlomyslným aktérům.
Ověření ověření každého připojení, skrytí cílové IP adresy před hackery a dokonce i skenování obsahu každého datového paketu – to vše dělají brány firewall. Firewall slouží jako určitý kontrolní bod, který pečlivě kontroluje typ komunikace, která je vpuštěna dovnitř.
Brány firewall pro filtrování paketů
Brány firewall s filtrováním paketů jsou nejjednodušší a na prostředky nejméně náročné technologie firewallů. I když to v dnešní době není v oblibě, byly základem ochrany sítě ve starých počítačích.
Brána firewall pro filtrování paketů funguje na úrovni paketů a skenuje každý příchozí paket ze síťového směrovače. Ve skutečnosti však neskenuje obsah datových paketů – pouze jejich hlavičky. To umožňuje bráně firewall ověřit metadata, jako jsou zdrojové a cílové adresy, čísla přístav atd.
Jak možná tušíte, tento typ brány firewall není příliš účinný. Jediné, co může firewall pro filtrování paketů udělat, je omezit zbytečný síťový provoz podle seznamu řízení přístupu. Protože samotný obsah paketu není kontrolován, malware může stále proniknout.
Brány na úrovni okruhu
Dalším způsobem, který je efektivní z hlediska zdrojů, jak ověřit legitimitu síťových připojení, je brána na úrovni okruhu. Místo kontroly hlaviček jednotlivých datových paketů ověřuje brána na úrovni okruhu relaci samotnou.
Opakuji, že firewall, jako je tento, neprochází obsahem přenosu sám, takže je zranitelný vůči řadě škodlivých útoků. Jak již bylo řečeno, ověření připojení Transmission Control Protocol (TCP) z vrstvy relací modelu OSI vyžaduje velmi málo prostředků a může účinně ukončit nežádoucí síťová připojení..
Proto jsou brány na úrovni okruhů často zabudovány do většiny řešení zabezpečení sítě, zejména do softwarových firewallů. Tyto brány také pomáhají maskovat IP adresu uživatele vytvářením virtuálních připojení pro každou relaci.
Brány firewall pro státní kontrolu
Firewall pro filtrování paketů i brána na úrovni okruhu jsou implementacemi brány firewall bez stavu. To znamená, že fungují na statické sadě pravidel, což omezuje jejich účinnost. S každým paketem (nebo relací) se zachází samostatně, což umožňuje provádět pouze velmi základní kontroly.
Na druhou stranu brána Stateful Inspection Firewall sleduje stav připojení spolu s podrobnostmi o každém paketu přenášeném přes něj. Monitorováním TCP handshake po celou dobu připojení je stavový inspekční firewall schopen sestavit tabulku obsahující IP adresy a čísla portů zdroje a cíle a porovnat příchozí pakety s touto dynamickou sadou pravidel.
Díky tomu je obtížné propašovat škodlivé datové pakety přes stavový kontrolní firewall. Na druhou stranu má tento typ firewallu vyšší náklady na zdroje, zpomaluje výkon a vytváří příležitost pro hackery používat útoky DDoS (Distributed Denial-of-Service) proti systému.
Proxy firewally
Proxy Firewally, lépe známé jako brány aplikační úrovně, fungují na přední vrstvě modelu OSI – aplikační vrstvě. Jako poslední vrstva oddělující uživatele od sítě umožňuje tato vrstva nejdůkladnější a nejnákladnější kontrolu datových paketů za cenu výkonu.
Podobně jako brány na úrovni okruhu fungují brány Proxy Firewally tak, že zasahují mezi hostitelem a klientem a zatemňují vnitřní IP adresy cílových portů. Brány na aplikační úrovni navíc provádějí hloubkovou kontrolu paketů, aby se zajistilo, že se dovnitř nedostane žádný škodlivý provoz.
A přestože všechna tato opatření výrazně zvyšují bezpečnost sítě, zároveň zpomalují příchozí provoz. Výkon sítě je zasažen kvůli kontrolám náročným na zdroje prováděným stavovým firewallem, jako je tento, takže se nehodí pro aplikace citlivé na výkon..
Brány firewall NAT
V mnoha počítačových sestavách je klíčovým pilířem kybernetické bezpečnosti zajištění privátní sítě a skrytí jednotlivých IP adres klientských zařízení před hackery i poskytovateli služeb. Jak jsme již viděli, lze toho dosáhnout pomocí firewallu proxy nebo brány na úrovni okruhu.
Mnohem jednodušší metodou skrytí adres IP je použití brány firewall pro překlad síťových adres (NAT). Firewally NAT nevyžadují ke svému fungování mnoho systémových prostředků, takže jsou přechodem mezi servery a vnitřní sítí.
Brány webových aplikací
Pouze síťové brány firewall, které fungují na aplikační vrstvě, jsou schopny provádět hloubkové skenování datových paketů, jako je brána proxy proxy nebo ještě lépe brána webových aplikací (WAF).
WAF funguje ze sítě nebo hostitele a prochází všemi daty přenášenými různými webovými aplikacemi a zajišťuje, že se dovnitř nedostane žádný škodlivý kód. Tento typ architektury firewallu se specializuje na kontrolu paketů a poskytuje lepší zabezpečení než firewally na povrchové úrovni.
Cloudové brány firewall
Tradiční brány firewall, hardwarové i softwarové, se špatně škálují. Musí být instalovány s ohledem na potřeby systému, buď se zaměřením na vysoký provoz, nebo na zabezpečení nízkého síťového provozu.
Cloud Firewally jsou ale mnohem flexibilnější. Tento typ brány firewall, nasazený z cloudu jako proxy server, zachycuje síťový provoz předtím, než vstoupí do vnitřní sítě, autorizuje každou relaci a ověřuje každý datový paket, než jej vpustí dovnitř.
Nejlepší na tom je, že takové brány firewall lze podle potřeby škálovat nahoru a dolů a přizpůsobit se různým úrovním příchozího provozu. Je nabízena jako cloudová služba, nevyžaduje žádný hardware a je spravována samotným poskytovatelem služby.
Brány firewall nové generace
Next-Generation může být zavádějící termín. Všechna průmyslová odvětví založená na technologiích rádi omílají módními slovy, jako je tato, ale co to ve skutečnosti znamená? Jaký typ funkcí opravňuje bránu firewall k tomu, aby byla považována za novou generaci?
Ve skutečnosti neexistuje žádná přísná definice. Obecně můžete za firewall nové generace (NGFW) považovat řešení, která kombinují různé typy firewallů do jediného účinného bezpečnostního systému. Takový firewall je schopen hloubkové kontroly paketů a zároveň potlačuje DDoS útoky a poskytuje vícevrstvou obranu proti hackerům..
Většina firewallů nové generace často kombinuje více síťových řešení, jako je VPN, Intrusion Prevention Systems (IPS) a dokonce i antivirus do jednoho výkonného balíčku. Cílem je nabídnout kompletní řešení, které řeší všechny typy zranitelností sítě a poskytuje absolutní bezpečnost sítě. Za tímto účelem mohou někteří NGFW také dešifrovat komunikaci Secure Socket Layer (SSL), což jim umožňuje zaznamenat i šifrované útoky.
Který typ brány firewall je nejlepší k ochraně vaší sítě?
Na firewallech je to tak, že různé typy firewallů používají různé přístupy k chránit síť.
Nejjednodušší brány firewall pouze ověřují relace a pakety, s obsahem nic nedělají. Brány firewall jsou o vytváření virtuálních připojení a zabránění přístupu k soukromým IP adresám. Stavové firewally sledují připojení prostřednictvím TCP handshake a vytvářejí stavovou tabulku s informacemi.
Pak jsou zde brány firewall nové generace, které kombinují všechny výše uvedené procesy s hloubkovou kontrolou paketů a řadou dalších funkcí ochrany sítě. Je zřejmé, že NGFW poskytne vašemu systému nejlepší možné zabezpečení, ale to není vždy správná odpověď.
V závislosti na složitosti vaší sítě a typu spouštěných aplikací mohou být vaše systémy na tom lépe s jednodušším řešením, které místo toho chrání před nejběžnějšími útoky. Nejlepším nápadem by mohlo být použít službu cloudový firewall třetí strany a přenést jemné ladění a údržbu firewallu na poskytovatele služeb.
.