Každý rozumie základnej funkcii brány firewall – chrániť vašu sieť pred škodlivým softvérom a neoprávneným prístupom. Ale presné špecifiká fungovania firewallov sú menej známe.

Čo je to vlastne firewall ? Ako fungujú rôzne typy firewallov? A čo je možno najdôležitejšie – ktorý typ firewallu je najlepší?

Firewall 101

Jednoducho^(Simply) povedané, firewall je len ďalší koncový bod siete. To, čo ho robí výnimočným, je jeho schopnosť zachytávať a skenovať prichádzajúci prenos predtým, ako vstúpi do internej siete, čím bráni škodlivým aktérom získať prístup.

Overenie autentifikácie každého pripojenia, skrytie cieľovej IP adresy pred hackermi a dokonca aj skenovanie obsahu každého dátového paketu – to všetko spravia brány firewall. Firewall slúži ako určitý kontrolný bod, ktorý starostlivo kontroluje typ komunikácie, ktorá je prepustená.

Firewally na filtrovanie paketov

Firewally na filtrovanie paketov sú najjednoduchšou a na zdroje najmenej náročnou firewallovou technológiou. Aj keď je to v dnešnej dobe mimo záujmu, boli základom ochrany siete v starých počítačoch.

Firewall na filtrovanie paketov funguje na úrovni paketov a skenuje každý prichádzajúci paket zo sieťového smerovača. V skutočnosti však neskenuje obsah dátových paketov – iba ich hlavičky. To umožňuje bráne firewall overiť metadáta, ako sú zdrojové a cieľové adresy, čísla portov atď.

Ako možno tušíte, tento typ brány firewall nie je príliš účinný. Jediné, čo firewall na filtrovanie paketov dokáže, je znížiť zbytočnú sieťovú prevádzku podľa zoznamu prístupových práv. Keďže samotný obsah paketu nie je kontrolovaný, malvér môže stále prenikať.

Brány na úrovni okruhu

Ďalším spôsobom, ktorý je efektívny z hľadiska zdrojov, ako overiť oprávnenosť sieťových pripojení, je brána na úrovni okruhu. Namiesto kontroly hlavičiek jednotlivých dátových paketov brána na úrovni okruhu overuje samotnú reláciu.

Firewall, ako je tento, opäť neprechádza cez obsah prenosu sám, takže je zraniteľný voči množstvu škodlivých útokov. Ako už bolo povedané, overenie pripojení Transmission Control Protocol ( TCP ) z vrstvy relácií modelu OSI vyžaduje veľmi málo zdrojov a môže účinne vypnúť nežiaduce sieťové pripojenia.

To je dôvod, prečo sú brány na úrovni okruhov často zabudované do väčšiny riešení zabezpečenia siete, najmä do softvérových firewallov. Tieto brány tiež pomáhajú maskovať IP adresu používateľa vytváraním virtuálnych pripojení pre každú reláciu.

Stavové kontrolné firewally

Firewall na filtrovanie paketov^{(Packet-Filtering Firewall)} aj brána na úrovni okruhu^{(Circuit Level Gateway)} sú implementácie brány firewall bez stavu. To znamená, že fungujú na základe statického súboru pravidiel, čo obmedzuje ich účinnosť. S každým paketom (alebo reláciou) sa zaobchádza oddelene, čo umožňuje vykonávať len veľmi základné kontroly.

 Na druhej strane Firewall Stateful Inspection Firewall sleduje stav pripojenia spolu s podrobnosťami o každom pakete prenášanom prostredníctvom neho. Monitorovaním TCP handshake počas trvania spojenia je stavový kontrolný firewall schopný zostaviť tabuľku obsahujúcu IP adresy a čísla portov zdroja a cieľa a porovnať prichádzajúce pakety s touto dynamickou sadou pravidiel.

Vďaka tomu je ťažké prepašovať škodlivé dátové pakety cez stavový kontrolný firewall. Na druhej strane, tento druh firewallu má vyššie náklady na zdroje, spomaľuje výkon a vytvára príležitosť pre hackerov použiť útoky DDoS ( Distributed Denial-of-Service ) proti systému.

Proxy firewally

Proxy ^(Better)Firewally^{(Proxy Firewalls)} , známejšie ako brány aplikačnej úrovne^{(Application Level Gateways)} , fungujú na prednej vrstve modelu OSI – aplikačnej vrstve. Ako posledná vrstva oddeľujúca užívateľa od siete umožňuje táto vrstva najdôkladnejšiu a najnákladnejšiu kontrolu dátových paketov za cenu výkonu.

Podobne ako brány na úrovni okruhu fungujú brány ^{(Circuit-Level Gateways)}Proxy Firewall^{(Proxy Firewalls)} tak , že zasahujú medzi hostiteľom a klientom a zahmlievajú interné adresy IP cieľových portov. Okrem toho brány na aplikačnej úrovni vykonávajú hĺbkovú kontrolu paketov, aby sa zabezpečilo, že sa cez ne nedostane žiadny škodlivý prenos.

A hoci všetky tieto opatrenia výrazne zvyšujú bezpečnosť siete, zároveň spomaľujú prichádzajúcu prevádzku. Výkon siete^(Network) je narušený kvôli kontrolám náročným na zdroje, ktoré vykonáva stavový firewall, ako je tento, takže nie je vhodný pre aplikácie citlivé na výkon. 

NAT Firewally

V mnohých výpočtových nastaveniach je kľúčovým pilierom kybernetickej bezpečnosti zabezpečenie súkromnej siete utajovaním individuálnych IP adries klientskych zariadení pred hackermi aj poskytovateľmi služieb. Ako sme už videli, dá sa to dosiahnuť pomocou brány firewall proxy alebo brány na úrovni okruhu.

Oveľa jednoduchšou metódou skrytia adries IP je použitie brány firewall pre ^(Firewall)preklad sieťových adries^{(Network Address Translation)} ( NAT ) . Firewally NAT^(NAT) nevyžadujú na fungovanie veľa systémových prostriedkov, čo z nich robí prechod medzi servermi a internou sieťou.

Firewally webových aplikácií

Iba sieťové brány firewall^{(Network Firewalls)} , ktoré fungujú na aplikačnej vrstve, sú schopné vykonávať hĺbkové skenovanie dátových paketov, ako je proxy brána firewall^{(Proxy Firewall)} alebo ešte lepšie brána webovej aplikácie^{(Web Application Firewall)} ( WAF ).

WAF , ktorý funguje v rámci siete alebo hostiteľa, prechádza všetkými údajmi prenášanými rôznymi webovými aplikáciami, čím zaisťuje, že sa dovnútra nedostane žiadny škodlivý kód. Tento typ architektúry firewallu sa špecializuje na kontrolu paketov a poskytuje lepšiu bezpečnosť ako povrchové firewally.

Cloud Firewally

Tradičné brány firewall, hardvérové ​​aj softvérové, sa neškálujú dobre. Musia byť inštalované s ohľadom na potreby systému, buď so zameraním na vysoký výkon alebo nízku bezpečnosť sieťovej prevádzky.

Cloud Firewally^{(Cloud Firewalls)} sú však oveľa flexibilnejšie. Tento typ brány firewall, nasadzovaný z cloudu ako proxy server, zachytáva sieťový prenos predtým, ako vstúpi do internej siete, autorizuje každú reláciu a overuje každý dátový paket predtým, ako ho vpustí dovnútra.

Najlepšie na tom je, že takéto brány firewall je možné podľa potreby zväčšovať a znižovať, čím sa prispôsobujú rôznym úrovniam prichádzajúcej prevádzky. Ponúka sa ako cloudová služba, nevyžaduje žiadny hardvér a spravuje ju samotný poskytovateľ služby.

Firewally novej generácie

Next-Generation môže byť zavádzajúci pojem. Všetky odvetvia založené na technológiách milujú hádzať módne slová, ako je tento, ale čo to v skutočnosti znamená? Aký typ funkcií oprávňuje firewall, aby bol považovaný za novú generáciu?

V skutočnosti neexistuje žiadna presná definícia. Vo všeobecnosti môžete považovať riešenia, ktoré kombinujú rôzne typy firewallov do jedného efektívneho bezpečnostného systému, za bránu novej generácie^{(Next-Generation Firewall)} ( NGFW ). Takýto firewall je schopný hĺbkovej kontroly paketov a zároveň potláča DDoS útoky a poskytuje viacvrstvovú obranu proti hackerom.

Väčšina brán firewall novej generácie často kombinuje viaceré sieťové riešenia, ako sú VPN^(VPNs) , systémy prevencie prienikov^{(Intrusion Prevention Systems)} ( IPS ) a dokonca aj antivírus do jedného výkonného balíka. Cieľom je ponúknuť kompletné riešenie, ktoré rieši všetky typy sieťových zraniteľností a poskytuje absolútnu bezpečnosť siete. Na tento účel môžu niektoré NGFW^(NGFWs) dešifrovať aj komunikáciu Secure Socket Layer ( SSL ), čo im umožňuje zaznamenať aj šifrované útoky.

Ktorý typ^(Type) brány firewall je najlepší na ochranu vašej siete^{(Your Network)} ?

Vec s firewallmi je, že rôzne typy firewallov používajú rôzne prístupy na ochranu siete^{(protect a network)} .

Najjednoduchšie brány firewall iba overujú relácie a pakety, pričom s obsahom nič nerobia. Brány^(Gateway) firewall sú o vytváraní virtuálnych pripojení a zabránení prístupu k súkromným IP adresám. Stavové^(Stateful) brány firewall sledujú pripojenia prostredníctvom nadviazania spojenia TCP a vytvárajú tabuľku stavov s informáciami.

Potom sú tu brány firewall novej generácie^{(Next-Generation)} , ktoré kombinujú všetky vyššie uvedené procesy s hĺbkovou kontrolou paketov a množstvom ďalších funkcií ochrany siete. Je zrejmé, že NGFW poskytne vášmu systému najlepšie možné zabezpečenie, ale to nie je vždy správna odpoveď.

V závislosti od zložitosti vašej siete a typu spustených aplikácií môžu byť vaše systémy na tom lepšie s jednoduchším riešením, ktoré namiesto toho chráni pred najbežnejšími útokmi. Najlepším nápadom by mohlo byť jednoducho použiť službu cloudového firewallu tretej strany^{(third-party Cloud firewall)} , čím by sa dolaďovanie a údržba firewallu preniesla na poskytovateľa služieb.

8 Types of Firewalls Explained

Everyone understands the basic function of a firewall – to protect your network from malwаre and υnauthorіzed access. But the exact specifiсs of how fіrewalls work are lesser-known.

What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?

Firewall 101

Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.

Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.

Packet-Filtering Firewalls

Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.

A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.

As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.

Circuit Level Gateways

Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.

Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.

This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.

Stateful Inspection Firewalls

Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.

 A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.

Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.

Proxy Firewalls

Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.

Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.

And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications. 

NAT Firewalls

In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.

A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.

Web Application Firewalls

Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).

Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.

Cloud Firewalls

Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.

But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.

The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.

Next-Generation Firewalls

Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?

In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.

Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.

Which Type of Firewall is the Best to Protect Your Network?

The thing about firewalls is that different types of firewalls use different approaches to protect a network.

The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.

Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.

Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.

Related posts

• Závislosť na internete a sociálnych sieťach

• Nedá sa pripojiť k službe Xbox Live; Opravte problém so sieťou Xbox Live v systéme Windows 10

• Bezplatné bezdrôtové sieťové nástroje pre Windows 10

• Cisco Packet Tracer Networking Simulation Tool a jeho bezplatné alternatívy

• Ako zakázať prácu v sieti v systéme Windows Sandbox v systéme Windows 10

• Čo je doba prenájmu DHCP a ako ju zmeniť

• Ako nájsť najlepší kanál Wi-Fi v systémoch Windows, Mac a Linux

• Prístupový bod vs. smerovač: Aké sú rozdiely?

• Čo robiť so starým routerom: 8 skvelých nápadov

• Čo je NAT, ako funguje a prečo sa používa?

• Ako opraviť „Nedá sa obnoviť IP adresa“ v systéme Windows

• HDG vysvetľuje: Čo je to počítačový port a na čo sa používa?

• Ako nastaviť NAS (Network Attached Storage)

• Ako simulovať pomalé internetové pripojenie na testovanie

• Recenzia knihy – Referenčná príručka domácej siete All-in-One pre hlúpych ľudí

• 8 najlepších stránok sociálnych sietí pre grafických dizajnérov na prezentáciu svojich portfólií

• Ako ovládať počítač so systémom Windows pomocou vzdialenej pracovnej plochy pre Mac

• Ako sa pripojiť k vzdialenému registru v systéme Windows 7 a 10

• Recenzia knihy - Head First Networking

• Ako opraviť stratu paketov a vedieť, kedy ide o problém