Wyjaśnione 8 rodzajów zapór ogniowych

Każdy rozumie podstawową funkcję zapory - aby chronić swoją sieć przed złośliwym oprogramowaniem i nieautoryzowanym dostępem. Ale dokładne szczegóły działania zapory ogniowej są mniej znane.

Czym dokładnie jest zapora? Jak działają różne rodzaje zapory ogniowej? I być może, co najważniejsze - jaki rodzaj zapory jest najlepszy?

Jak możesz podejrzewać, ten rodzaj zapory nie jest zbyt skuteczny. Wszystko, co może zrobić zapora filtrowania pakietów, to ograniczyć niepotrzebny ruch sieciowy zgodnie z listą kontroli dostępu. Ponieważ sama zawartość pakietu nie jest sprawdzana, złośliwe oprogramowanie nadal może się przetrwać.

Bramy poziomu obwodu

Kolejnym efektywnym zasobem sposobem weryfikacji legitymacji połączeń sieciowych jest brama na poziomie obwodu. Zamiast sprawdzać nagłówki poszczególnych pakietów danych, brama na poziomie obwodu weryfikuje samą sesję.

Po raz kolejny taka zapora nie przechodzi przez zawartość samej transmisji, powodując, że jest podatna na wiele złośliwych ataków. To powiedziawszy, weryfikacja połączeń protokołu kontroli transmisji (TCP) z warstwy sesji modelu OSI wymaga bardzo małych zasobów i może skutecznie wyłączyć niepożądane połączenia sieciowe.

Właśnie dlatego bramy na poziomie obwodów są często wbudowane w większość rozwiązań bezpieczeństwa sieci, zwłaszcza zapory oprogramowania. Te bramy pomagają również maskować adres IP użytkownika, tworząc połączenia wirtualne dla każdej sesji.

Zapory inspekcji stanowych

Zarówno zapora zaporowa, jak i brama obwodu to bezstanne implementacje zapory. Oznacza to, że działają na statycznym zestawie reguł, ograniczając ich skuteczność. Każdy pakiet (lub sesja) jest traktowany osobno, co pozwala na przeprowadzenie tylko bardzo podstawowych kontroli.

Z drugiej strony zapora inspekcyjna stanowa śledzi stan połączenia, wraz ze szczegółami każdego przesyłanego przez niego pakietu. Monitorując uścisk dłoni TCP przez cały czas trwania połączenia, zapora inspekcyjna stanowa jest w stanie skompilować tabelę zawierającą adresy IP i numery portów źródła i docelowe oraz dopasowywać przychodzące pakiety z tym dynamicznym zestawem reguł reguł.

Dzięki temu trudno jest zakraść się w złośliwych pakietach danych obok stanowej zapory inspekcyjnej. Z drugiej strony, ten rodzaj zapory ma większe koszty zasobów, spowalniając wydajność i tworząc możliwość dla hakerów do używania rozproszonych ataków usługi odmowy (DDOS) na system.

Zapory ogniowe

Lepiej znane jako bramy na poziomie aplikacji, zapory proxy działają na przedniej warstwie modelu OSI - warstwa aplikacji. Jako ostatnia warstwa oddzielająca użytkownika od sieci, warstwa ta pozwala na najdokładniejsze i drogie sprawdzanie pakietów danych, kosztem wydajności.

Podobnie jak bramy na poziomie obwodu, zapory proxy działają poprzez interweniowanie między hostem a klientem, zaciemniając wewnętrzne adresy IP portów docelowych. Ponadto bramy na poziomie aplikacji wykonują głęboką kontrolę pakietu, aby upewnić się, że żaden złośliwy ruch.

I chociaż wszystkie te środki znacznie zwiększają bezpieczeństwo sieci, spowalnia on również ruch przychodzący. Wydajność sieciowa przychodzi z powodu kontroli intensywnych do zasobów przeprowadzonych przez taką stanową zaporę ogniową, dzięki czemu jest słaba pasuje do aplikacji wrażliwych na wydajność.

Nat Firewalls

W wielu konfiguracjach obliczeniowych kluczowym linchpinem bezpieczeństwa cyber. Jak już widzieliśmy, można to osiągnąć za pomocą zapory proxy lub bramy na poziomie obwodu.

Znacznie prostszą metodą ukrywania adresów IP jest użycie zapory sieciowej (NAT). Zapory ogniowe NAT nie wymagają wielu zasobów systemowych do funkcjonowania, co czyni je między serwerami a siecią wewnętrzną.

Zapory sieciowe

Tylko sieciowe zapory ogniowe, które działają w warstwie aplikacji, są w stanie wykonywać głębokie skanowanie pakietów danych, takich jak zapora proxy, lub jeszcze lepiej, zapora internetowa (WAF).

Działając z sieci lub hosta, WAF przechodzi wszystkie dane przesyłane przez różne aplikacje internetowe, upewniając się, że żaden złośliwy kod nie przejdzie. Ten rodzaj architektury zapory specjalizuje się w kontroli pakietów i zapewnia lepsze bezpieczeństwo niż zapory na poziomie powierzchni.

Zapory ogniowe

Tradycyjne zapory ogniowe, zarówno zapory sprzętowe, jak i oprogramowanie, nie skaluj się dobrze. Muszą zostać zainstalowane z myślą o potrzebach systemu, koncentrując.

Ale zapory ogniowe są znacznie bardziej elastyczne. Wdrożony z chmury jako serwer proxy, ten typ zapory przechwytuje ruch sieci.

Najlepsze jest to, że w razie potrzeby takie zapory można skalować w górę iw dół, dostosowując się do różnych poziomów ruchu przychodzącego. Oferowany jako usługa w chmurze, nie wymaga sprzętu i jest utrzymywany przez sam usługodawcę.

Zapory ogniowe nowej generacji

Next Generation może być wprowadzającym w błąd terminem. Wszystkie branże oparte na technologii uwielbiają rzucać modne słowa, ale co to naprawdę znaczy? Jaki rodzaj funkcji kwalifikuje zaporę ogniową, która ma być uważana za nową generację?

Prawdę mówiąc, nie ma ścisłej definicji. Ogólnie rzecz biorąc, można rozważyć rozwiązania, które łączą różne rodzaje zapory ogniowej w jeden wydajny system bezpieczeństwa, aby być zaporą nowej generacji (NGFW). Taka zapora jest zdolna do głębokiej kontroli pakietów, jednocześnie wzruszając wzruszając na ataki DDOS, zapewniając obronę wielowarstwową przed hakerami.

Większość zapory nowej generacji często łączy wiele roztworów sieciowych, takich jak VPN, systemy zapobiegania włamaniom (IPS), a nawet antywirus w jeden potężny pakiet. Chodzi o to, aby zaoferować kompletne rozwiązanie, które dotyczy wszystkich rodzajów luk w sieci, zapewniając absolutne bezpieczeństwo sieciowe. W tym celu niektóre NGFW mogą również odszyfrować komunikację Secure Socket Layer (SSL), umożliwiając im zauważanie zaszyfrowanych ataków.

Który rodzaj zapory jest najlepszy do ochrony Twojej sieci?

Rzecz w zaporach jest to, że różne rodzaje zaporników wykorzystują różne podejścia do ochrony sieci.

Najprostsze zapory ogniowe po prostu uwierzytelniają sesje i pakiety, nie robiąc nic z zawartością. Zapory ogniowe Gateway polega na tworzeniu wirtualnych połączeń i zapobieganiu dostępu do prywatnych adresów IP. Stanowe zapory ogniowe śledzą połączenia poprzez swoje uściski dłoni TCP, budując stół stanowy z informacjami.

Następnie są zapory ogniowe nowej generacji, które łączą wszystkie powyższe procesy z głęboką kontrolą pakietu i szereg innych funkcji ochrony sieci. Oczywiste jest, że NGFW zapewni Twojemu systemowi najlepsze możliwe bezpieczeństwo, ale to nie zawsze właściwa odpowiedź.

W zależności od złożoności sieci i rodzaju uruchamianych aplikacji, twoje systemy mogą być lepiej dzięki prostszym rozwiązaniu, które zamiast tego zabezpiecza się przed najczęstszymi atakami. Najlepszym pomysłem może być po prostu skorzystanie z usługi zapory w chmurze innej firmy, rozładowanie dopracowania i utrzymania zapory dla usługodawcy.