Все понимают основную функцию брандмауэра — защитить вашу сеть от вредоносных программ и несанкционированного доступа. Но точные особенности работы брандмауэров малоизвестны.
Что такое брандмауэр? Как работают различные типы брандмауэров? И, возможно, самое главное – какой тип межсетевого экрана лучше?
Брандмауэр 101
Проще говоря, брандмауэр — это еще одна конечная точка сети. Что делает его особенным, так это его способность перехватывать и сканировать входящий трафик до того, как он попадет во внутреннюю сеть, блокируя доступ злоумышленников.
Проверка аутентификации каждого соединения, сокрытие IP-адреса назначения от хакеров и даже сканирование содержимого каждого пакета данных — все это делают брандмауэры. Брандмауэр служит своего рода контрольно-пропускным пунктом, тщательно контролируя тип передаваемой информации.
Брандмауэры с фильтрацией пакетов
Брандмауэры с фильтрацией пакетов – это самая простая и наименее ресурсоемкая технология межсетевых экранов. Хотя в наши дни они вышли из моды, они были основным средством защиты сети на старых компьютерах.
Брандмауэр с фильтрацией пакетов работает на уровне пакетов, сканируя каждый входящий пакет от сетевого маршрутизатора. Но на самом деле он сканирует не содержимое пакетов данных, а только их заголовки. Это позволяет брандмауэру проверять метаданные, такие как адреса источника и назначения, номера порт и т. д.
Как вы могли догадаться, этот тип брандмауэра не очень эффективен. Все, что может сделать межсетевой экран с фильтрацией пакетов, — это сократить ненужный сетевой трафик в соответствии со списком управления доступом. Поскольку само содержимое пакета не проверяется, вредоносное ПО все равно может пройти.
Шлюзы уровня канала
Еще одним ресурсоэффективным способом проверки легитимности сетевых подключений является шлюз на уровне канала. Вместо проверки заголовков отдельных пакетов данных шлюз канального уровня проверяет сам сеанс.
И снова такой брандмауэр не проверяет содержимое самой передачи, что делает его уязвимым для множества вредоносных атак. При этом проверка соединений протокола управления передачей (TCP) на уровне сеансов модели OSI требует очень мало ресурсов и может эффективно отключать нежелательные сетевые соединения..
Вот почему шлюзы уровня цепи часто встроены в большинство решений сетевой безопасности, особенно в программные межсетевые экраны. Эти шлюзы также помогают маскировать IP-адрес пользователя, создавая виртуальные соединения для каждого сеанса.
Брандмауэры проверки состояния
Как межсетевой экран с фильтрацией пакетов, так и шлюз уровня канала являются реализациями межсетевого экрана без сохранения состояния. Это означает, что они действуют на основе статического набора правил, что ограничивает их эффективность. Каждый пакет (или сеанс) обрабатывается отдельно, что позволяет выполнять только самые базовые проверки.
Брандмауэр с проверкой состояния, с другой стороны, отслеживает состояние соединения, а также подробную информацию о каждом пакете, передаваемом через него. Контролируя TCP-квитирование на протяжении всего соединения, межсетевой экран с отслеживанием состояния может составить таблицу, содержащую IP-адреса и номера портов источника и пункта назначения, и сопоставить входящие пакеты с этим динамическим набором правил.
<с>8Благодаря этому вредоносным пакетам данных сложно проникнуть через межсетевой экран с проверкой состояния. С другой стороны, такой брандмауэр требует больше ресурсов, снижает производительность и дает хакерам возможность использовать атаки распределенного отказа в обслуживании (DDoS) против системы.
Прокси-брандмауэры
Прокси-брандмауэры, более известные как шлюзы уровня приложений, работают на переднем уровне модели OSI – уровне приложений. Будучи последним уровнем, отделяющим пользователя от сети, этот уровень позволяет осуществлять наиболее тщательную и дорогостоящую проверку пакетов данных за счет производительности.
Подобно шлюзам уровня канала, прокси-брандмауэры работают путем взаимодействия между хостом и клиентом, скрывая внутренние IP-адреса портов назначения. Кроме того, шлюзы уровня приложений выполняют глубокую проверку пакетов, чтобы гарантировать отсутствие прохождения вредоносного трафика.
И хотя все эти меры значительно повышают безопасность сети, они также замедляют входящий трафик. Производительность сети снижается из-за ресурсоемких проверок, проводимых таким брандмауэром с отслеживанием состояния, что делает его плохо подходящим для приложений, чувствительных к производительности..
Брандмауэры NAT
Во многих вычислительных системах ключевым моментом кибербезопасности является обеспечение частной сети, скрывающей отдельные IP-адреса клиентских устройств как от хакеров, так и от поставщиков услуг. Как мы уже видели, это можно сделать с помощью прокси-брандмауэра или шлюза уровня канала.
Гораздо более простой метод сокрытия IP-адресов — использовать брандмауэр трансляции сетевых адресов (NAT). НАТ брандмауэрам не требуется много системных ресурсов для работы, что делает их связующим звеном между серверами и внутренней сетью.
Брандмауэры веб-приложений
Только сетевые брандмауэры, работающие на уровне приложений, способны выполнять глубокое сканирование пакетов данных, например, прокси-брандмауэр или, еще лучше, брандмауэр веб-приложений (WAF).
Работая внутри сети или хоста, WAF проверяет все данные, передаваемые различными веб-приложениями, гарантируя, что вредоносный код не пройдет. Этот тип архитектуры брандмауэра специализируется на проверке пакетов и обеспечивает более высокий уровень безопасности, чем брандмауэры поверхностного уровня.
Облачные брандмауэры
Традиционные брандмауэры, как аппаратные, так и программные, плохо масштабируются. Их необходимо устанавливать с учетом потребностей системы, уделяя внимание либо высокой производительности трафика, либо низкой безопасности сетевого трафика.
Но облачные брандмауэры гораздо более гибкие. Развертываемый из облака в качестве прокси-сервера, этот тип межсетевого экрана перехватывает сетевой трафик до того, как он попадет во внутреннюю сеть, авторизуя каждый сеанс и проверяя каждый пакет данных перед его пропуском.
Самое приятное то, что такие межсетевые экраны можно увеличивать и уменьшать по мере необходимости, приспосабливая их к различным уровням входящего трафика. Предлагается в виде облачной службы, не требует аппаратного обеспечения и обслуживается самим поставщиком услуг.
Брандмауэры нового поколения
Термин «следующее поколение» может ввести в заблуждение. Все технологические отрасли любят использовать подобные модные словечки, но что это на самом деле означает? Какие функции позволяют брандмауэру считаться следующим поколением?
На самом деле строгого определения не существует. Как правило, решения, объединяющие различные типы межсетевых экранов в единую эффективную систему безопасности, можно рассматривать как межсетевые экраны нового поколения (NGFW). Такой брандмауэр способен проводить глубокую проверку пакетов, а также отражать атаки DDoS-атаки, обеспечивая многоуровневую защиту от хакеров..
Большинство межсетевых экранов следующего поколения часто объединяют несколько сетевых решений, таких как VPN, системы предотвращения вторжений (IPS) и даже антивирус, в один мощный пакет. Идея состоит в том, чтобы предложить комплексное решение, которое устраняет все типы сетевых уязвимостей, обеспечивая абсолютную сетевую безопасность. С этой целью некоторые NGFW также могут расшифровывать соединения Secure Socket Layer (SSL), что позволяет им также обнаруживать зашифрованные атаки.
Какой тип брандмауэра лучше всего защищает вашу сеть?
Особенность брандмауэров заключается в том, что разные типы брандмауэров используют разные подходы к защитить сеть.
Простейшие брандмауэры просто аутентифицируют сеансы и пакеты, не делая ничего с их содержимым. Брандмауэры шлюзов предназначены для создания виртуальных соединений и предотвращения доступа к частным IP-адресам. Межсетевые экраны с отслеживанием состояния отслеживают соединения посредством TCP-квитирования, создавая таблицу состояний на основе этой информации.
Кроме того, существуют брандмауэры следующего поколения, которые сочетают в себе все вышеперечисленные процессы с глубокой проверкой пакетов и множеством других функций сетевой защиты. Очевидно, что NGFW обеспечит вашей системе максимальную безопасность, но это не всегда правильный ответ.
В зависимости от сложности вашей сети и типа запущенных приложений, вашим системам может быть лучше использовать более простое решение, защищающее от наиболее распространенных атак. Лучшей идеей может быть просто использовать службу third-party Cloud брандмауэр, переложив тонкую настройку и обслуживание брандмауэра на поставщика услуг.
.