Wszyscy rozumieją podstawową funkcję zapory — ochronę sieci przed złośliwym oprogramowaniem i nieautoryzowanym dostępem. Jednak dokładna specyfika działania zapór jest mniej znana.

Czym dokładnie jest zapora sieciowa^(firewall) ? Jak działają różne typy zapór sieciowych? A może najważniejsze – jaki rodzaj firewalla jest najlepszy?

Zapora sieciowa 101

Mówiąc^(Simply) najprościej, zapora jest po prostu kolejnym punktem końcowym sieci. To, co czyni go wyjątkowym, to jego zdolność do przechwytywania i skanowania ruchu przychodzącego, zanim dostanie się on do sieci wewnętrznej, blokując dostęp złośliwym podmiotom.

Weryfikacja uwierzytelniania każdego połączenia, ukrywanie docelowego adresu IP przed hakerami, a nawet skanowanie zawartości każdego pakietu danych – to wszystko robią zapory. Zapora sieciowa służy jako swego rodzaju punkt kontrolny, dokładnie kontrolujący rodzaj komunikacji, która jest dozwolona.

Zapory filtrujące pakiety

Zapory filtrujące pakiety to najprostsza i najmniej obciążająca zasoby technologia zapory na rynku. Chociaż w dzisiejszych czasach jest to niesprzyjające, były one podstawą ochrony sieci w starych komputerach.

Zapora filtrująca pakiety działa na poziomie pakietów, skanując każdy pakiet przychodzący z routera sieciowego. Ale w rzeczywistości nie skanuje zawartości pakietów danych – tylko ich nagłówki. Dzięki temu zapora może weryfikować metadane, takie jak adresy źródłowe i docelowe, numery portów itp.

Jak można się domyślać, ten rodzaj zapory nie jest zbyt skuteczny. Wszystko, co może zrobić zapora filtrująca pakiety, to ograniczyć niepotrzebny ruch sieciowy zgodnie z listą kontroli dostępu. Ponieważ sama zawartość pakietu nie jest sprawdzana, złośliwe oprogramowanie nadal może się przedostać.

Bramki na poziomie obwodu

Innym zasobooszczędnym sposobem weryfikacji legalności połączeń sieciowych jest brama na poziomie obwodu. Zamiast sprawdzania nagłówków poszczególnych pakietów danych, brama na poziomie obwodu weryfikuje samą sesję.

Po raz kolejny zapora taka jak ta nie przechodzi przez zawartość samej transmisji, narażając ją na szereg złośliwych ataków. Biorąc to pod uwagę, weryfikacja połączeń TCP ( Transmission Control Protocol ) z warstwy sesji modelu OSI zajmuje bardzo mało zasobów i może skutecznie zamykać niepożądane połączenia sieciowe.

Dlatego bramy na poziomie obwodu są często wbudowane w większość rozwiązań bezpieczeństwa sieci, zwłaszcza zapory programowe. Bramy te pomagają również maskować adres IP użytkownika, tworząc wirtualne połączenia dla każdej sesji.

Zapory ogniowe z inspekcją stanową

Zarówno zapora filtrująca pakiety^{(Packet-Filtering Firewall)} , jak i brama na poziomie obwodu^{(Circuit Level Gateway)} są implementacjami zapory bezstanowej. Oznacza to, że działają na statycznym zestawie reguł, co ogranicza ich skuteczność. Każdy pakiet (lub sesja) jest traktowany oddzielnie, co pozwala na przeprowadzenie tylko bardzo podstawowych kontroli.

 Z drugiej strony, Stateful Inspection Firewall śledzi stan połączenia wraz ze szczegółami każdego przesyłanego przez nie pakietu. Monitorując uzgadnianie TCP przez cały czas trwania połączenia, zapora z inspekcją stanową jest w stanie skompilować tabelę zawierającą adresy IP i numery portów źródła i miejsca docelowego oraz dopasować przychodzące pakiety do tego dynamicznego zestawu reguł.

Dzięki temu trudno jest przemycić złośliwe pakiety danych przez zaporę sieciową inspekcji stanowej. Z drugiej strony ten rodzaj zapory wiąże się z większymi kosztami zasobów, spowalniając wydajność i stwarzając hakerom możliwość wykorzystania ataków DDoS ( Distributed Denial-of-Service ) przeciwko systemowi.

Zapory proxy

^(Better)Zapory proxy^{(Proxy Firewalls)} , lepiej znane jako bramy na poziomie aplikacji^{(Application Level Gateways)} , działają w warstwie czołowej modelu OSI — warstwie aplikacji. Jako ostatnia warstwa oddzielająca użytkownika od sieci, warstwa ta pozwala na jak najdokładniejsze i najdroższe sprawdzanie pakietów danych kosztem wydajności.

Podobnie jak bramy na poziomie obwodu^{(Circuit-Level Gateways)} , zapory proxy^{(Proxy Firewalls)} działają poprzez interakcję między hostem a klientem, zaciemniając wewnętrzne adresy IP portów docelowych. Ponadto bramy na poziomie aplikacji przeprowadzają głęboką inspekcję pakietów, aby zapewnić, że żaden złośliwy ruch nie zostanie przepuszczony.

I chociaż wszystkie te środki znacznie zwiększają bezpieczeństwo sieci, spowalniają również ruch przychodzący. Wydajność sieci^(Network) spada z powodu intensywnych kontroli zasobów przeprowadzanych przez taką zaporę stanową, co sprawia, że ​​jest ona kiepska dla aplikacji wrażliwych na wydajność. 

Zapory sieciowe NAT

W wielu konfiguracjach komputerowych kluczowym elementem cyberbezpieczeństwa jest zapewnienie sieci prywatnej, ukrywając indywidualne adresy IP urządzeń klienckich zarówno przed hakerami, jak i dostawcami usług. Jak już widzieliśmy, można to osiągnąć za pomocą zapory proxy lub bramy na poziomie obwodu.

O wiele prostszą metodą ukrywania adresów IP jest użycie zapory sieciowej ^(Firewall)NAT ( Network Address Translation ) . Zapory NAT^(NAT) nie wymagają do działania wielu zasobów systemowych, co czyni je przejściem między serwerami a siecią wewnętrzną.

Zapory sieciowe aplikacji internetowych

Tylko zapory sieciowe^{(Network Firewalls)} , które działają w warstwie aplikacji, są w stanie wykonać głębokie skanowanie pakietów danych, jak Proxy Firewall lub jeszcze lepiej, Web Application Firewall ( WAF ).

Działając z poziomu sieci lub hosta, WAF przechodzi przez wszystkie dane przesyłane przez różne aplikacje internetowe, upewniając się, że nie przedostanie się żaden złośliwy kod. Ten typ architektury zapory specjalizuje się w inspekcji pakietów i zapewnia lepsze zabezpieczenia niż zapory na poziomie powierzchni.

Zapory sieciowe w chmurze

Tradycyjne zapory, zarówno zapory sprzętowe, jak i programowe, nie są dobrze skalowalne. Muszą być instalowane z myślą o potrzebach systemu, skupiając się albo na wydajności przy dużym ruchu, albo na niskim bezpieczeństwie ruchu w sieci.

Ale zapory w chmurze^{(Cloud Firewalls)} są znacznie bardziej elastyczne. Wdrożony z chmury jako serwer proxy, ten typ zapory przechwytuje ruch sieciowy przed wejściem do sieci wewnętrznej, autoryzując każdą sesję i weryfikując każdy pakiet danych przed wpuszczeniem go.

Najlepsze jest to, że takie zapory mogą być skalowane w górę i w dół w zależności od potrzeb, dostosowując się do różnych poziomów ruchu przychodzącego. Oferowana jako usługa w chmurze, nie wymaga sprzętu i jest obsługiwana przez samego usługodawcę.

Zapory nowej generacji

Następna generacja może być mylącym terminem. Wszystkie branże oparte na technologii uwielbiają rzucać takie modne słowa, ale co to tak naprawdę oznacza? Jaki typ funkcji kwalifikuje zaporę ogniową do uznania za nową generację?

W rzeczywistości nie ma ścisłej definicji. Ogólnie rzecz biorąc, rozwiązania łączące różne typy zapór w jeden wydajny system bezpieczeństwa można uznać za zaporę nowej generacji^{(Next-Generation Firewall)} ( NGFW ). Taka zapora ogniowa jest w stanie przeprowadzić dogłębną inspekcję pakietów, jednocześnie odrzucając ataki DDoS , zapewniając wielowarstwową ochronę przed hakerami.

Większość zapór nowej generacji często łączy wiele rozwiązań sieciowych, takich jak VPN^(VPNs) , systemy zapobiegania włamaniom^{(Intrusion Prevention Systems)} ( IPS ), a nawet program antywirusowy w jeden potężny pakiet. Pomysł polega na zaoferowaniu kompletnego rozwiązania, które rozwiązuje wszystkie rodzaje luk w sieci, zapewniając absolutne bezpieczeństwo sieci. W tym celu niektóre sieci NGFW^(NGFWs) mogą również odszyfrować komunikację Secure Socket Layer ( SSL ), umożliwiając im również zauważenie zaszyfrowanych ataków.

Jaki typ^(Type) zapory najlepiej^(Firewall) chroni Twoją sieć^{(Your Network)} ?

Problem z zaporami polega na tym, że różne typy zapór stosują różne podejścia do ochrony sieci^{(protect a network)} .

Najprostsze zapory po prostu uwierzytelniają sesje i pakiety, nie robiąc nic z zawartością. Zapory bramowe^(Gateway) polegają na tworzeniu wirtualnych połączeń i zapobieganiu dostępowi do prywatnych adresów IP. Zapory stanowe^(Stateful) śledzą połączenia poprzez uzgadnianie TCP , tworząc tabelę stanów z informacjami.

Następnie istnieją zapory nowej generacji^{(Next-Generation)} , które łączą wszystkie powyższe procesy z głęboką inspekcją pakietów i szeregiem innych funkcji ochrony sieci. Oczywiste jest stwierdzenie, że NGFW zapewni Twojemu systemowi najlepsze możliwe zabezpieczenia, ale nie zawsze jest to właściwa odpowiedź.

W zależności od złożoności Twojej sieci i rodzaju uruchamianych aplikacji, Twoje systemy mogą być lepsze dzięki prostszemu rozwiązaniu, które zamiast tego chroni przed najczęstszymi atakami. Najlepszym pomysłem może być po prostu skorzystanie z usługi zapory w chmurze innej^{(third-party Cloud firewall)} firmy, przenosząc dostrajanie i konserwację zapory na dostawcę usług.

8 Types of Firewalls Explained

Εveryone understands the basic function of а firеwall – to protect your network from malware and unauthorized access. But the exact specifics of how firewalls work are lesser-known.

What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?

Firewall 101

Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.

Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.

Packet-Filtering Firewalls

Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.

A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.

As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.

Circuit Level Gateways

Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.

Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.

This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.

Stateful Inspection Firewalls

Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.

 A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.

Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.

Proxy Firewalls

Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.

Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.

And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications. 

NAT Firewalls

In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.

A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.

Web Application Firewalls

Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).

Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.

Cloud Firewalls

Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.

But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.

The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.

Next-Generation Firewalls

Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?

In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.

Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.

Which Type of Firewall is the Best to Protect Your Network?

The thing about firewalls is that different types of firewalls use different approaches to protect a network.

The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.

Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.

Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.

Related posts

• Uzależnienie od Internetu i serwisów społecznościowych

• Nie można połączyć się z usługą Xbox Live; Napraw problem z siecią Xbox Live w systemie Windows 10

• Darmowe narzędzia sieci bezprzewodowej dla systemu Windows 10

• Narzędzie do symulacji sieci Cisco Packet Tracer i jego bezpłatne alternatywy

• Jak wyłączyć sieć w Windows Sandbox w Windows 10?

• Jak korzystać z aplikacji Ludzie do zarządzania kontami sieci społecznościowych

• Czy można połączyć się z routerem bezprzewodowym, ale nie z Internetem?

• Recenzja książki — Bezprzewodowa sieć domowa dla opornych

• 8 łatwych do wykonania sposobów rozwiązywania problemów z połączeniem sieciowym

• Jak naprawić „Nie masz uprawnień do wysyłania do tego odbiorcy”

• Co to jest NAT, jak działa i dlaczego jest używany?

• Co to jest 192.168.0.1 i dlaczego jest to domyślny adres IP większości routerów?

• Jak działa automatyczne przełączanie HDMI

• Jak umieścić na białej liście określone urządzenia w sieci domowej, aby powstrzymać hakerów?

• Recenzja książki - Head First Networking

• HDG wyjaśnia: Co to jest zaparkowana domena i jakie są jej zalety?

• 8 najlepszych serwisów społecznościowych dla profesjonalistów biznesowych poza LinkedIn

• Jak naprawić „Nie można odnowić adresu IP” w systemie Windows

• Co zrobić ze starym routerem: 8 świetnych pomysłów

• Recenzja książki — komputer stacjonarny typu „wszystko w jednym” dla opornych