Vysvetlenie 8 typov brán firewall

Každý rozumie základnej funkcii brány firewall – chrániť vašu sieť pred škodlivým softvérom a neoprávneným prístupom. Ale presné špecifiká fungovania firewallov sú menej známe.

Čo je to vlastne firewall ? Ako fungujú rôzne typy firewallov? A čo je možno najdôležitejšie – ktorý typ firewallu je najlepší?

Firewall 101

Jednoducho(Simply) povedané, firewall je len ďalší koncový bod siete. To, čo ho robí výnimočným, je jeho schopnosť zachytávať a skenovať prichádzajúci prenos predtým, ako vstúpi do internej siete, čím bráni škodlivým aktérom získať prístup.

Overenie autentifikácie každého pripojenia, skrytie cieľovej IP adresy pred hackermi a dokonca aj skenovanie obsahu každého dátového paketu – to všetko spravia brány firewall. Firewall slúži ako určitý kontrolný bod, ktorý starostlivo kontroluje typ komunikácie, ktorá je prepustená.

Firewally na filtrovanie paketov

Firewally na filtrovanie paketov sú najjednoduchšou a na zdroje najmenej náročnou firewallovou technológiou. Aj keď je to v dnešnej dobe mimo záujmu, boli základom ochrany siete v starých počítačoch.

Firewall na filtrovanie paketov funguje na úrovni paketov a skenuje každý prichádzajúci paket zo sieťového smerovača. V skutočnosti však neskenuje obsah dátových paketov – iba ich hlavičky. To umožňuje bráne firewall overiť metadáta, ako sú zdrojové a cieľové adresy, čísla portov atď.

Ako možno tušíte, tento typ brány firewall nie je príliš účinný. Jediné, čo firewall na filtrovanie paketov dokáže, je znížiť zbytočnú sieťovú prevádzku podľa zoznamu prístupových práv. Keďže samotný obsah paketu nie je kontrolovaný, malvér môže stále prenikať.

Brány na úrovni okruhu

Ďalším spôsobom, ktorý je efektívny z hľadiska zdrojov, ako overiť oprávnenosť sieťových pripojení, je brána na úrovni okruhu. Namiesto kontroly hlavičiek jednotlivých dátových paketov brána na úrovni okruhu overuje samotnú reláciu.

Firewall, ako je tento, opäť neprechádza cez obsah prenosu sám, takže je zraniteľný voči množstvu škodlivých útokov. Ako už bolo povedané, overenie pripojení Transmission Control Protocol ( TCP ) z vrstvy relácií modelu OSI vyžaduje veľmi málo zdrojov a môže účinne vypnúť nežiaduce sieťové pripojenia.

To je dôvod, prečo sú brány na úrovni okruhov často zabudované do väčšiny riešení zabezpečenia siete, najmä do softvérových firewallov. Tieto brány tiež pomáhajú maskovať IP adresu používateľa vytváraním virtuálnych pripojení pre každú reláciu.

Stavové kontrolné firewally

Firewall na filtrovanie paketov(Packet-Filtering Firewall) aj brána na úrovni okruhu(Circuit Level Gateway) sú implementácie brány firewall bez stavu. To znamená, že fungujú na základe statického súboru pravidiel, čo obmedzuje ich účinnosť. S každým paketom (alebo reláciou) sa zaobchádza oddelene, čo umožňuje vykonávať len veľmi základné kontroly.

 Na druhej strane Firewall Stateful Inspection Firewall sleduje stav pripojenia spolu s podrobnosťami o každom pakete prenášanom prostredníctvom neho. Monitorovaním TCP handshake počas trvania spojenia je stavový kontrolný firewall schopný zostaviť tabuľku obsahujúcu IP adresy a čísla portov zdroja a cieľa a porovnať prichádzajúce pakety s touto dynamickou sadou pravidiel.

Vďaka tomu je ťažké prepašovať škodlivé dátové pakety cez stavový kontrolný firewall. Na druhej strane, tento druh firewallu má vyššie náklady na zdroje, spomaľuje výkon a vytvára príležitosť pre hackerov použiť útoky DDoS ( Distributed Denial-of-Service ) proti systému.

Proxy firewally

Proxy (Better)Firewally(Proxy Firewalls) , známejšie ako brány aplikačnej úrovne(Application Level Gateways) , fungujú na prednej vrstve modelu OSI – aplikačnej vrstve. Ako posledná vrstva oddeľujúca užívateľa od siete umožňuje táto vrstva najdôkladnejšiu a najnákladnejšiu kontrolu dátových paketov za cenu výkonu.

Podobne ako brány na úrovni okruhu fungujú brány (Circuit-Level Gateways)Proxy Firewall(Proxy Firewalls) tak , že zasahujú medzi hostiteľom a klientom a zahmlievajú interné adresy IP cieľových portov. Okrem toho brány na aplikačnej úrovni vykonávajú hĺbkovú kontrolu paketov, aby sa zabezpečilo, že sa cez ne nedostane žiadny škodlivý prenos.

A hoci všetky tieto opatrenia výrazne zvyšujú bezpečnosť siete, zároveň spomaľujú prichádzajúcu prevádzku. Výkon siete(Network) je narušený kvôli kontrolám náročným na zdroje, ktoré vykonáva stavový firewall, ako je tento, takže nie je vhodný pre aplikácie citlivé na výkon. 

NAT Firewally

V mnohých výpočtových nastaveniach je kľúčovým pilierom kybernetickej bezpečnosti zabezpečenie súkromnej siete utajovaním individuálnych IP adries klientskych zariadení pred hackermi aj poskytovateľmi služieb. Ako sme už videli, dá sa to dosiahnuť pomocou brány firewall proxy alebo brány na úrovni okruhu.

Oveľa jednoduchšou metódou skrytia adries IP je použitie brány firewall pre (Firewall)preklad sieťových adries(Network Address Translation) ( NAT ) . Firewally NAT(NAT) nevyžadujú na fungovanie veľa systémových prostriedkov, čo z nich robí prechod medzi servermi a internou sieťou.

Firewally webových aplikácií

Iba sieťové brány firewall(Network Firewalls) , ktoré fungujú na aplikačnej vrstve, sú schopné vykonávať hĺbkové skenovanie dátových paketov, ako je proxy brána firewall(Proxy Firewall) alebo ešte lepšie brána webovej aplikácie(Web Application Firewall) ( WAF ).

WAF , ktorý funguje v rámci siete alebo hostiteľa, prechádza všetkými údajmi prenášanými rôznymi webovými aplikáciami, čím zaisťuje, že sa dovnútra nedostane žiadny škodlivý kód. Tento typ architektúry firewallu sa špecializuje na kontrolu paketov a poskytuje lepšiu bezpečnosť ako povrchové firewally.

Cloud Firewally

Tradičné brány firewall, hardvérové ​​aj softvérové, sa neškálujú dobre. Musia byť inštalované s ohľadom na potreby systému, buď so zameraním na vysoký výkon alebo nízku bezpečnosť sieťovej prevádzky.

Cloud Firewally(Cloud Firewalls) sú však oveľa flexibilnejšie. Tento typ brány firewall, nasadzovaný z cloudu ako proxy server, zachytáva sieťový prenos predtým, ako vstúpi do internej siete, autorizuje každú reláciu a overuje každý dátový paket predtým, ako ho vpustí dovnútra.

Najlepšie na tom je, že takéto brány firewall je možné podľa potreby zväčšovať a znižovať, čím sa prispôsobujú rôznym úrovniam prichádzajúcej prevádzky. Ponúka sa ako cloudová služba, nevyžaduje žiadny hardvér a spravuje ju samotný poskytovateľ služby.

Firewally novej generácie

Next-Generation môže byť zavádzajúci pojem. Všetky odvetvia založené na technológiách milujú hádzať módne slová, ako je tento, ale čo to v skutočnosti znamená? Aký typ funkcií oprávňuje firewall, aby bol považovaný za novú generáciu?

V skutočnosti neexistuje žiadna presná definícia. Vo všeobecnosti môžete považovať riešenia, ktoré kombinujú rôzne typy firewallov do jedného efektívneho bezpečnostného systému, za bránu novej generácie(Next-Generation Firewall) ( NGFW ). Takýto firewall je schopný hĺbkovej kontroly paketov a zároveň potláča DDoS útoky a poskytuje viacvrstvovú obranu proti hackerom.

Väčšina brán firewall novej generácie často kombinuje viaceré sieťové riešenia, ako sú VPN(VPNs) , systémy prevencie prienikov(Intrusion Prevention Systems) ( IPS ) a dokonca aj antivírus do jedného výkonného balíka. Cieľom je ponúknuť kompletné riešenie, ktoré rieši všetky typy sieťových zraniteľností a poskytuje absolútnu bezpečnosť siete. Na tento účel môžu niektoré NGFW(NGFWs) dešifrovať aj komunikáciu Secure Socket Layer ( SSL ), čo im umožňuje zaznamenať aj šifrované útoky.

Ktorý typ(Type) brány firewall je najlepší na ochranu vašej siete(Your Network) ?

Vec s firewallmi je, že rôzne typy firewallov používajú rôzne prístupy na ochranu siete(protect a network) .

Najjednoduchšie brány firewall iba overujú relácie a pakety, pričom s obsahom nič nerobia. Brány(Gateway) firewall sú o vytváraní virtuálnych pripojení a zabránení prístupu k súkromným IP adresám. Stavové(Stateful) brány firewall sledujú pripojenia prostredníctvom nadviazania spojenia TCP a vytvárajú tabuľku stavov s informáciami.

Potom sú tu brány firewall novej generácie(Next-Generation) , ktoré kombinujú všetky vyššie uvedené procesy s hĺbkovou kontrolou paketov a množstvom ďalších funkcií ochrany siete. Je zrejmé, že NGFW poskytne vášmu systému najlepšie možné zabezpečenie, ale to nie je vždy správna odpoveď.

V závislosti od zložitosti vašej siete a typu spustených aplikácií môžu byť vaše systémy na tom lepšie s jednoduchším riešením, ktoré namiesto toho chráni pred najbežnejšími útokmi. Najlepším nápadom by mohlo byť jednoducho použiť službu cloudového firewallu tretej strany(third-party Cloud firewall) , čím by sa dolaďovanie a údržba firewallu preniesla na poskytovateľa služieb.



About the author

Som počítačový vedec s viac ako 10-ročnými skúsenosťami s vývojom a údržbou softvéru pre smartfóny a Windows 11/10. Od začiatku roku 2014 som tiež zapojený do prehliadača Google Chrome ako hlavný inžinier. V tejto úlohe som pomohol vytvoriť niektoré z najpopulárnejších prehliadačov na platforme. Okrem toho už niekoľko rokov pracujem na herných motoroch a momentálne som postgraduálny študent, ktorý pracuje na projekte, ktorý by časom mohol priniesť virtuálnu realitu na váš desktop.



Related posts