Każdy rozumie podstawową funkcję zapory sieciowej – ochronę sieci przed złośliwym oprogramowaniem i nieautoryzowanym dostępem. Jednak dokładna specyfika działania zapór sieciowych jest mniej znana.
Co to dokładnie jest zapora sieciowa? Jak działają różne typy zapór sieciowych? I co być może najważniejsze – jaki typ zapory ogniowej jest najlepszy?
Zapora sieciowa 101
Mówiąc najprościej, zapora sieciowa to po prostu kolejny punkt końcowy sieci. To, co czyni go wyjątkowym, to jego zdolność do przechwytywania i skanowania ruchu przychodzącego, zanim trafi on do sieci wewnętrznej, blokując dostęp złośliwym aktorom.
Weryfikacja uwierzytelnienia każdego połączenia, ukrywanie docelowego adresu IP przed hakerami, a nawet skanowanie zawartości każdego pakietu danych – wszystko robią zapory sieciowe. Zapora sieciowa pełni funkcję swego rodzaju punktu kontrolnego, dokładnie kontrolując rodzaj przepuszczanej komunikacji.
Zapory sieciowe filtrujące pakiety
Zapory sieciowe filtrujące pakiety to najprostsza i najmniej zasobochłonna technologia zapór sieciowych. Chociaż obecnie jest to niepopularne, były one podstawą ochrony sieci w starych komputerach.
Zapora filtrująca pakiety działa na poziomie pakietu, skanując każdy pakiet przychodzący z routera sieciowego. Ale tak naprawdę nie skanuje zawartości pakietów danych – tylko ich nagłówki. Umożliwia to zaporze firewall weryfikację metadanych, takich jak adresy źródłowe i docelowe, liczby Port itp.
Jak można podejrzewać, ten typ zapory sieciowej nie jest zbyt skuteczny. Jedyne, co może zrobić zapora filtrująca pakiety, to ograniczyć niepotrzebny ruch sieciowy zgodnie z listą kontroli dostępu. Ponieważ sama zawartość pakietu nie jest sprawdzana, złośliwe oprogramowanie nadal może się przedostać.
Bramy na poziomie obwodu
Innym oszczędzającym zasoby sposobem weryfikacji legalności połączeń sieciowych jest brama na poziomie obwodu. Zamiast sprawdzać nagłówki poszczególnych pakietów danych, brama na poziomie obwodu sama weryfikuje sesję.
Po raz kolejny taka zapora sieciowa nie przechodzi przez samą zawartość transmisji, przez co jest ona podatna na szereg złośliwych ataków. Biorąc to pod uwagę, weryfikacja połączeń protokołu TCP (Transmission Control Protocol) z warstwy sesji modelu OSI wymaga bardzo mało zasobów i może skutecznie zamykać niepożądane połączenia sieciowe..
Dlatego bramy na poziomie obwodu są często wbudowane w większość rozwiązań bezpieczeństwa sieci, zwłaszcza w zapory programowe. Bramy te pomagają również maskować adres IP użytkownika, tworząc wirtualne połączenia dla każdej sesji.
Zapory sieciowe z inspekcją stanową
Zarówno zapora filtrująca pakiety, jak i brama na poziomie obwodu to implementacje bezstanowej zapory ogniowej. Oznacza to, że działają na statycznym zestawie reguł, co ogranicza ich skuteczność. Każdy pakiet (lub sesja) jest traktowany osobno, co pozwala na przeprowadzenie jedynie bardzo podstawowych kontroli.
Z drugiej strony zapora sieciowa z inspekcją stanową śledzi stan połączenia wraz ze szczegółami każdego pakietu przesyłanego przez nie. Monitorując uzgadnianie protokołu TCP przez cały czas trwania połączenia, zapora sieciowa z inspekcją stanową jest w stanie skompilować tabelę zawierającą adresy IP i numery portów źródła i miejsca docelowego oraz dopasować przychodzące pakiety do tego dynamicznego zestawu reguł.
Dzięki temu trudno jest przemycić złośliwe pakiety danych przez zaporę sieciową z inspekcją stanową. Z drugiej strony tego rodzaju zapora sieciowa wiąże się z większymi kosztami zasobów, spowalnia wydajność i stwarza hakerom możliwość stosowania ataków typu Distributed Denial-of-Service (DDoS) na system.
Zapory sieciowe proxy
Zapory sieciowe proxy, lepiej znane jako bramy poziomu aplikacji, działają w przedniej warstwie modelu OSI – warstwie aplikacji. Jako ostatnia warstwa oddzielająca użytkownika od sieci, warstwa ta pozwala na najdokładniejsze i najkosztowniejsze sprawdzanie pakietów danych kosztem wydajności.
Podobnie jak bramy na poziomie obwodu, zapory proxy działają poprzez pośredniczenie między hostem a klientem, zaciemniając wewnętrzne adresy IP portów docelowych. Ponadto bramy na poziomie aplikacji przeprowadzają głęboką kontrolę pakietów, aby upewnić się, że żaden złośliwy ruch nie przedostanie się przez nie.
Chociaż wszystkie te środki znacznie zwiększają bezpieczeństwo sieci, spowalniają także ruch przychodzący. Wydajność sieci spada ze względu na kontrole wymagające dużej ilości zasobów przeprowadzane przez taką zaporę stanową, co sprawia, że nie nadaje się ona do zastosowań wrażliwych na wydajność..
Zapory sieciowe NAT
W wielu konfiguracjach komputerowych kluczowym filarem cyberbezpieczeństwa jest zapewnienie sieci prywatnej, ukrywającej indywidualne adresy IP urządzeń klienckich zarówno przed hakerami, jak i dostawcami usług. Jak już widzieliśmy, można to osiągnąć za pomocą zapory proxy lub bramy na poziomie obwodu.
Znacznie prostszą metodą ukrywania adresów IP jest użycie zapory sieciowej z translacją adresów sieciowych (NAT). NAT zapory ogniowe nie wymagają do działania wielu zasobów systemowych, dzięki czemu stanowią pośrednictwo między serwerami a siecią wewnętrzną.
Zapory sieciowe aplikacji internetowych
Tylko zapory sieciowe działające w warstwie aplikacji są w stanie przeprowadzić głębokie skanowanie pakietów danych, tak jak zapora proxy lub jeszcze lepiej zapora aplikacji sieci Web (WAF).
Działając z poziomu sieci lub hosta, protokół WAF przegląda wszystkie dane przesyłane przez różne aplikacje internetowe, upewniając się, że nie przedostanie się do nich żaden złośliwy kod. Ten typ architektury zapory sieciowej specjalizuje się w inspekcji pakietów i zapewnia lepsze bezpieczeństwo niż zapory powierzchniowe.
Zapory sieciowe w chmurze
Tradycyjne zapory ogniowe, zarówno sprzętowe, jak i programowe, nie są dobrze skalowalne. Muszą być instalowane z uwzględnieniem potrzeb systemu, koncentrując się na wydajności dużego ruchu lub niskim bezpieczeństwie ruchu sieciowego.
Ale zapory sieciowe Cloud są znacznie bardziej elastyczne. Wdrażany z chmury jako serwer proxy, ten typ zapory sieciowej przechwytuje ruch sieciowy zanim wejdzie on do sieci wewnętrznej, autoryzując każdą sesję i weryfikując każdy pakiet danych przed jego wpuszczeniem.
Najlepsze jest to, że wydajność takich zapór sieciowych można zwiększać i zmniejszać w miarę potrzeb, dostosowując się do różnych poziomów ruchu przychodzącego. Oferowana jako usługa oparta na chmurze, nie wymaga sprzętu i jest utrzymywana przez samego usługodawcę.
Zapory sieciowe nowej generacji
Następna generacja może być mylącym terminem. Wszystkie branże oparte na technologii uwielbiają rzucać takimi modnymi hasłami, ale co to tak naprawdę oznacza? Jaki typ funkcji kwalifikuje zaporę ogniową do uznania za zaporę nowej generacji?
Tak naprawdę nie ma ścisłej definicji. Ogólnie rzecz biorąc, można rozważyć rozwiązania łączące różne typy zapór sieciowych w jeden wydajny system bezpieczeństwa, czyli zaporę sieciową nowej generacji (NGFW). Taka zapora sieciowa umożliwia głęboką inspekcję pakietów, a jednocześnie odpiera ataki DDoS, zapewniając wielowarstwową ochronę przed hakerami..
Większość zapór nowej generacji często łączy wiele rozwiązań sieciowych, takich jak VPN, systemy zapobiegania włamaniom (IPS), a nawet program antywirusowy, w jeden potężny pakiet. Ideą jest zaoferowanie kompletnego rozwiązania, które usuwa wszystkie rodzaje luk w zabezpieczeniach sieci, zapewniając absolutne bezpieczeństwo sieci. W tym celu niektóre NGFW mogą również odszyfrować komunikację Secure Socket Layer (SSL), dzięki czemu mogą wykryć również zaszyfrowane ataki.
Jaki typ zapory sieciowej najlepiej chroni Twoją sieć?
Chodzi o to, że różne typy zapór sieciowych stosują różne podejścia do chronić sieć.
Najprostsze zapory ogniowe po prostu uwierzytelniają sesje i pakiety, nie robiąc nic z zawartością. Zapory bramowe służą do tworzenia połączeń wirtualnych i zapobiegania dostępowi do prywatnych adresów IP. Zapory stanowe śledzą połączenia poprzez uzgadnianie protokołu TCP, tworząc tabelę stanów zawierającą informacje.
Dostępne są także zapory ogniowe nowej generacji, które łączą wszystkie powyższe procesy z głęboką inspekcją pakietów i szeregiem innych funkcji ochrony sieci. Oczywiste jest stwierdzenie, że NGFW zapewni Twojemu systemowi najlepsze możliwe bezpieczeństwo, ale nie zawsze jest to właściwa odpowiedź.
W zależności od złożoności Twojej sieci i rodzaju uruchamianych aplikacji, Twoje systemy mogą być lepsze dzięki prostszemu rozwiązaniu, które zamiast tego chroni przed najczęstszymi atakami. Najlepszym pomysłem może być po prostu skorzystanie z usługi third-party Cloud zapora sieciowa i przeniesienie dostrajania i konserwacji zapory ogniowej na dostawcę usług.
.