Mindenki ismeri a tűzfal alapvető funkcióját – a hálózat védelmét a rosszindulatú programoktól és az illetéktelen hozzáféréstől. De a tűzfalak működésének pontos jellemzői kevésbé ismertek.
Mi pontosan az a tűzfal? Hogyan működnek a különböző típusú tűzfalak? És ami talán a legfontosabb – melyik típusú tűzfal a legjobb?
101-es tűzfal
Egyszerűen fogalmazva, a tűzfal csak egy hálózati végpont. Különlegessége az a képessége, hogy elfogja és átvizsgálja a bejövő forgalmat, mielőtt az belépne a belső hálózatba, megakadályozva a rosszindulatú szereplők hozzáférését.
Az egyes kapcsolatok hitelesítésének ellenőrzése, a cél IP-címének elrejtése a hackerek elől, és még az egyes adatcsomagok tartalmának vizsgálata is – a tűzfalak mindent megtesznek. A tűzfal egyfajta ellenőrzőpontként szolgál, gondosan ellenőrzi a beengedett kommunikáció típusát.
Csomagszűrő tűzfalak
A csomagszűrő tűzfalak a legegyszerűbb és legkevésbé erőforrásigényes tűzfaltechnológiák. Noha manapság nem kedvelik, a régi számítógépeken a hálózati védelem alapvető elemei voltak.
A csomagszűrő tűzfal csomagszinten működik, és minden egyes bejövő csomagot átvizsgál a hálózati útválasztóról. De valójában nem vizsgálja az adatcsomagok tartalmát – csak a fejlécet. Ez lehetővé teszi a tűzfal számára a metaadatok, például a forrás- és célcímek, kikötő számok stb. ellenőrzését.
Amint azt sejtheti, ez a típusú tűzfal nem túl hatékony. A csomagszűrő tűzfal mindössze annyit tud tenni, hogy csökkenti a szükségtelen hálózati forgalmat a hozzáférés-vezérlési lista szerint. Mivel magát a csomag tartalmát nem ellenőrzik, a rosszindulatú programok továbbra is átjuthatnak rajta.
Árkörszintű átjárók
A hálózati kapcsolatok legitimitásának egy másik erőforrás-hatékony módja az áramköri szintű átjáró. Az egyes adatcsomagok fejléceinek ellenőrzése helyett egy áramköri szintű átjáró magát a munkamenetet ellenőrzi.
Egy ilyen tűzfal ismét nem megy át magának az átvitelnek a tartalmán, így ki van téve egy sor rosszindulatú támadásnak. Ennek ellenére a Transmission Control Protocol (TCP) kapcsolatok ellenőrzése az OSI-modell munkamenet-rétegéből nagyon kevés erőforrást igényel, és hatékonyan leállíthatja a nemkívánatos hálózati kapcsolatokat..
Ez az oka annak, hogy az áramköri szintű átjárókat gyakran beépítik a legtöbb hálózati biztonsági megoldásba, különösen a szoftveres tűzfalakba. Ezek az átjárók a felhasználó IP-címének elfedésében is segítenek azáltal, hogy minden munkamenethez virtuális kapcsolatokat hoznak létre.
Stateful Inspection Firewalls
Mind a csomagszűrő tűzfal, mind az áramköri szintű átjáró állapot nélküli tűzfal-megvalósítás. Ez azt jelenti, hogy statikus szabályrendszer alapján működnek, ami korlátozza hatékonyságukat. Minden csomagot (vagy munkamenetet) külön kezelünk, ami csak nagyon egyszerű ellenőrzéseket tesz lehetővé.
A Stateful Inspection Firewall ezzel szemben nyomon követi a kapcsolat állapotát, valamint a rajta keresztül továbbított összes csomag részleteit. A TCP kézfogásának a kapcsolat teljes időtartama alatt történő figyelésével az állapotjelző tűzfal képes összeállítani egy táblázatot, amely tartalmazza a forrás és a cél IP-címeit és portszámait, és egyezteti a bejövő csomagokat ezzel a dinamikus szabálykészlettel.
Ennek köszönhetően nehéz rosszindulatú adatcsomagokat besurranni az állapotjelző tűzfalon. A másik oldalon az ilyen típusú tűzfal nagyobb erőforrás-költséggel jár, lelassítja a teljesítményt, és lehetőséget teremt a hackerek számára, hogy elosztott szolgáltatásmegtagadási (DDoS) támadásokat alkalmazzanak a rendszer ellen.
Proxy tűzfalak
A proxy tűzfalak ismertebb nevén alkalmazásszintű átjárók, az OSI modell elülső rétegében – az alkalmazási rétegben – működnek. A felhasználót a hálózattól elválasztó utolsó rétegként ez a réteg teszi lehetővé az adatcsomagok legalaposabb és legdrágább ellenőrzését a teljesítmény árán.
Hasonlóan az áramköri szintű átjárókhoz, a proxy tűzfalak úgy működnek, hogy közbenjárnak a gazdagép és a kliens között, elhomályosítva a célportok belső IP-címeit. Ezenkívül az alkalmazásszintű átjárók mélyreható csomagellenőrzést végeznek annak biztosítása érdekében, hogy ne juthasson át rosszindulatú forgalom.
És bár mindezek az intézkedések jelentősen növelik a hálózat biztonságát, lelassítják a bejövő forgalmat is. A hálózati teljesítményt az ilyen állapotalapú tűzfal erőforrás-igényes ellenőrzései érik el, így rosszul illeszkedik a teljesítményérzékeny alkalmazásokhoz..
NAT tűzfalak
Számos számítástechnikai beállításban a kiberbiztonság kulcsfontosságú eleme a privát hálózat biztosítása, amely elrejti a klienseszközök egyedi IP-címeit a hackerek és a szolgáltatók elől. Amint azt már láttuk, ez proxy tűzfal vagy áramköri szintű átjáró segítségével valósítható meg.
Az IP-címek elrejtésének sokkal egyszerűbb módja a hálózati címfordító (NAT) tűzfal használata. A NAT tűzfal működéséhez nincs szükség sok rendszererőforrásra, így a kiszolgálók és a belső hálózat közötti átjárók.
Webes alkalmazások tűzfalai
Csak az alkalmazási rétegben működő hálózati tűzfalak képesek az adatcsomagok mélyreható vizsgálatára, mint például a proxy tűzfal, vagy ami még jobb, a webalkalmazási tűzfal (WAF).
A hálózaton vagy a gazdagépen belül működő WAF átmegy a különféle webalkalmazások által továbbított összes adaton, így gondoskodik arról, hogy ne kerüljön át rosszindulatú kód. Az ilyen típusú tűzfalarchitektúra a csomagok ellenőrzésére specializálódott, és jobb biztonságot nyújt, mint a felületi szintű tűzfalak.
Felhőtűzfalak
A hagyományos tűzfalak – mind a hardveres, mind a szoftveres tűzfalak – nem skálázhatók megfelelően. Telepítésüket a rendszer igényeinek figyelembevételével kell telepíteni, akár a nagy forgalmi teljesítményre, akár az alacsony hálózati forgalom biztonságára összpontosítva.
A felhőtűzfalak azonban sokkal rugalmasabbak. A felhőből proxyszerverként telepített tűzfal ez a fajta tűzfal elfogja a hálózati forgalmat, mielőtt az belépne a belső hálózatba, engedélyezve minden munkamenetet, és ellenőrizve minden adatcsomagot, mielőtt beengedné azokat.
A legjobb az egészben az, hogy az ilyen tűzfalak kapacitása szükség szerint növelhető és csökkenthető, alkalmazkodva a bejövő forgalom különböző szintjeihez. Felhőalapú szolgáltatásként kínálják, nem igényel hardvert, és maga a szolgáltató karbantartja.
Következő generációs tűzfalak
A következő generáció félrevezető kifejezés lehet. Minden technológiai alapú iparág szereti az ehhez hasonló hívószavakat, de mit is jelent ez valójában? Milyen típusú szolgáltatások minősítik a tűzfalat következő generációsnak?
Valójában nincs szigorú meghatározás. Általában a különböző típusú tűzfalakat egyetlen hatékony biztonsági rendszerben egyesítő megoldások új generációs tűzfalnak (NGFW) tekinthetők. Egy ilyen tűzfal képes a csomagok mélyreható vizsgálatára, miközben megvonja a vállát DDoS támadástól, így többrétegű védelmet nyújt a hackerek ellen..
A legtöbb következő generációs tűzfal gyakran több hálózati megoldást, például VPN-ek -et, behatolásgátló rendszert (IPS) és még egy vírusirtót is kombinál egyetlen hatékony csomagban. Az ötlet az, hogy teljes körű megoldást kínáljunk, amely minden típusú hálózati sérülékenységet kiküszöböl, és abszolút hálózati biztonságot nyújt. Ebből a célból egyes NGFW-k képesek visszafejteni a Secure Socket Layer (SSL) kommunikációt is, lehetővé téve számukra a titkosított támadások észlelését is.
Melyik típusú tűzfal a legjobb a hálózat védelmére?
A tűzfalakkal kapcsolatban az a helyzet, hogy a különböző típusú tűzfalak eltérő megközelítést alkalmaznak az 5-höz.
A legegyszerűbb tűzfalak csak hitelesítik a munkameneteket és a csomagokat, nem tesznek semmit a tartalommal. Az átjáró tűzfalai virtuális kapcsolatok létrehozásáról és a privát IP-címekhez való hozzáférés megakadályozásáról szólnak. Az állapotjelző tűzfalak TCP-kézfogásaikon keresztül nyomon követik a kapcsolatokat, és állapottáblázatot készítenek az információkkal.
Ezután léteznek a következő generációs tűzfalak, amelyek a fenti folyamatokat kombinálják a mélyreható csomagellenőrzéssel és egy sor egyéb hálózatvédelmi funkcióval. Nyilvánvaló, hogy az NGFW a lehető legjobb biztonságot nyújtaná rendszerének, de ez nem mindig a helyes válasz.
A hálózat összetettségétől és a futó alkalmazások típusától függően rendszerei jobban járhatnak egy egyszerűbb megoldással, amely inkább a leggyakoribb támadások ellen véd. A legjobb ötlet egy third-party Cloud tűzfal szolgáltatás használata, amely a tűzfal finomhangolását és karbantartását a szolgáltatóra terheli.
.