8 palomuurityyppiä selitetty

Kaikki ymmärtävät palomuurin perustehtävän – suojata verkkoasi haittaohjelmilta ja luvattomalta käytöltä. Mutta palomuurien toiminnan tarkat yksityiskohdat ovat vähemmän tunnettuja.

Mikä palomuuri(firewall) oikein on ? Miten erityyppiset palomuurit toimivat? Ja ehkä tärkeintä – mikä palomuurityyppi on paras?

Palomuuri 101

Yksinkertaisesti(Simply) sanottuna palomuuri on vain yksi verkon päätepiste. Siitä tekee erityisen sen kyky siepata ja skannata saapuva liikenne ennen kuin se saapuu sisäiseen verkkoon, mikä estää haitallisten toimijoiden pääsyn siihen.

Jokaisen yhteyden todennuksen varmistaminen, kohde-IP:n piilottaminen hakkereilta ja jopa jokaisen datapaketin sisällön tarkistaminen – palomuurit tekevät kaiken. Palomuuri toimii eräänlaisena tarkistuspisteenä, joka valvoo huolellisesti sisään päästettävää viestintätyyppiä.

Pakettisuodatuspalomuurit

Pakettisuodattavat palomuurit ovat yksinkertaisin ja vähiten resursseja vaativa palomuuritekniikka. Vaikka se ei ole suosiossa näinä päivinä, ne olivat verkkosuojauksen peruselementtejä vanhoissa tietokoneissa.

Pakettisuodatuspalomuuri toimii pakettitasolla ja skannaa jokaisen verkkoreitittimeltä tulevan paketin. Mutta se ei itse asiassa skannaa datapakettien sisältöä – vain niiden otsikoita. Tämän ansiosta palomuuri voi tarkistaa metatiedot, kuten lähde- ja kohdeosoitteet, porttinumerot jne.

Kuten saatat epäillä, tämäntyyppinen palomuuri ei ole kovin tehokas. Pakettisuodattava palomuuri voi vain vähentää tarpeetonta verkkoliikennettä pääsynhallintaluettelon mukaan. Koska itse paketin sisältöä ei tarkisteta, haittaohjelmat voivat silti päästä läpi.

Piiritason yhdyskäytävät

Toinen resurssitehokas tapa varmistaa verkkoyhteyksien laillisuus on piiritason yhdyskäytävä. Sen sijaan, että tarkastettaisiin yksittäisten datapakettien otsikot, piiritason yhdyskäytävä varmistaa itse istunnon.

Jälleen kerran, tällainen palomuuri ei mene läpi itse lähetyksen sisältöä, joten se on alttiina lukuisille haitallisille hyökkäyksille. Tästä huolimatta Transmission Control Protocol ( TCP ) -yhteyksien tarkistaminen (TCP)OSI -mallin istuntokerroksesta vie hyvin vähän resursseja ja voi tehokkaasti katkaista ei-toivotut verkkoyhteydet.

Tästä syystä piiritason yhdyskäytäviä on usein sisäänrakennettu useimpiin verkkoturvaratkaisuihin, erityisesti ohjelmistopalomuuriin. Nämä yhdyskäytävät auttavat myös peittämään käyttäjän IP-osoitteen luomalla virtuaalisia yhteyksiä jokaista istuntoa varten.

Tilalliset tarkastuspalomuurit

Sekä Packet-Filtering Firewall että Circuit Level Gateway ovat tilattomia palomuuritoteutuksia. Tämä tarkoittaa, että ne toimivat staattisten sääntöjen mukaan, mikä rajoittaa niiden tehokkuutta. Jokainen paketti (tai istunto) käsitellään erikseen, mikä mahdollistaa vain hyvin perustarkistuksen suorittamisen.

 Stateful Inspection Firewall puolestaan ​​seuraa yhteyden tilaa sekä jokaisen sen kautta lähetetyn paketin tietoja. Valvomalla TCP - kättelyä koko yhteyden ajan tilallinen tarkastuspalomuuri pystyy laatimaan taulukon, joka sisältää lähteen ja kohteen IP-osoitteet ja porttinumerot, ja sovittamaan saapuvat paketit tämän dynaamisen säännöstön kanssa.

Tämän ansiosta on vaikeaa hiipiä haitallisia datapaketteja tilallisen tarkastuspalomuurin ohi. Toisaalta tällaisella palomuurilla on korkeammat resurssikustannukset, mikä hidastaa suorituskykyä ja antaa hakkereille mahdollisuuden käyttää hajautettuja palvelunestohyökkäyksiä(Denial-of-Service) ( DDoS ) järjestelmää vastaan.

Välityspalvelimen palomuurit

(Better)Välityspalvelinpalomuurit(Proxy Firewalls) , jotka tunnetaan paremmin sovellustason yhdyskäytävänä(Application Level Gateways) , toimivat OSI -mallin etupuolella - sovelluskerroksessa. Viimeisenä käyttäjän verkosta erottavana kerroksena tämä kerros mahdollistaa tietopakettien perusteellisimman ja kalliimman tarkistuksen suorituskyvyn kustannuksella.

Samoin kuin piiritason yhdyskäytävät(Circuit-Level Gateways) , välityspalvelinpalomuurit(Proxy Firewalls) toimivat välittämällä isännän ja asiakkaan välillä ja hämärtäen kohdeporttien sisäiset IP-osoitteet. Lisäksi sovellustason yhdyskäytävät suorittavat syvän pakettitarkistuksen varmistaakseen, että haitallinen liikenne ei pääse läpi.

Ja vaikka kaikki nämä toimenpiteet lisäävät merkittävästi verkon turvallisuutta, se myös hidastaa saapuvaa liikennettä. Verkon(Network) suorituskyky kärsii tämän kaltaisen tilallisen palomuurin suorittamien resurssivaltaisten tarkistusten vuoksi, mikä tekee siitä huonon sopivuuden suorituskykyherkille sovelluksille. 

NAT-palomuurit

Monissa tietokoneasennuksissa kyberturvallisuuden avainasemassa on varmistaa yksityinen verkko, joka piilottaa asiakaslaitteiden yksittäiset IP-osoitteet sekä hakkereilta että palveluntarjoajilta. Kuten olemme jo nähneet, tämä voidaan suorittaa käyttämällä välityspalvelinpalomuuria(Proxy) tai piiritason yhdyskäytävää.

Paljon yksinkertaisempi tapa piilottaa IP - osoitteet on käyttää NAT ( Network Address Translation ) - palomuuria(Firewall) . NAT -palomuurit eivät vaadi monia järjestelmäresursseja toimiakseen, joten ne ovat palvelinten ja sisäisen verkon välinen yhteys.

Verkkosovellusten palomuurit

Vain verkkopalomuurit(Network Firewalls) , jotka toimivat sovellustasolla, pystyvät suorittamaan tietopakettien syvätarkistuksen, kuten välityspalvelinpalomuuri(Proxy Firewall) tai vielä parempaa, Web Application Firewall ( WAF ).

Verkosta tai isännästä käsin toimiva WAF käy läpi kaiken eri verkkosovellusten lähettämän tiedon ja varmistaa, ettei haitallista koodia pääse läpi. Tämäntyyppinen palomuuriarkkitehtuuri on erikoistunut pakettien tarkastamiseen ja tarjoaa paremman suojan kuin pintatason palomuurit.

Pilvien palomuurit

Perinteiset palomuurit, sekä laitteistopalomuurit että ohjelmistot, eivät skaalaudu hyvin. Ne on asennettava järjestelmän tarpeita ajatellen, joko suuren liikenteen suorituskykyyn tai alhaiseen verkkoliikenteen turvallisuuteen keskittyen.

Mutta pilvipalomuurit(Cloud Firewalls) ovat paljon joustavampia. Välityspalvelimena pilvestä otettu palomuurityyppi sieppaa verkkoliikennettä ennen kuin se tulee sisäiseen verkkoon, valtuuttaa jokaisen istunnon ja tarkistaa jokaisen datapaketin ennen sen sisäänpäästämistä.

Parasta on, että tällaisten palomuurien kapasiteettia voidaan skaalata ylös ja alas tarpeen mukaan, mukautuen saapuvan liikenteen eri tasoihin. Tarjotaan pilvipohjaisena palveluna, se ei vaadi laitteistoa ja sitä ylläpitää palveluntarjoaja itse.

Seuraavan sukupolven palomuurit

Seuraava sukupolvi voi olla harhaanjohtava termi. Kaikki teknologiaan perustuvat teollisuudenalat rakastavat tällaisia ​​muotisanoja, mutta mitä se oikeastaan ​​tarkoittaa? Minkä tyyppisten ominaisuuksien perusteella palomuuri voidaan katsoa seuraavan sukupolven omaksi?

Todellisuudessa tiukkaa määritelmää ei ole. Yleensä ratkaisuja, jotka yhdistävät erityyppiset palomuurit yhdeksi tehokkaaksi turvajärjestelmäksi, voidaan pitää seuraavan sukupolven palomuurina(Next-Generation Firewall) ( NGFW ). Tällainen palomuuri pystyy tarkastamaan paketteja syvällä, samalla kun se torjuu DDoS -hyökkäykset ja tarjoaa monikerroksisen suojan hakkereita vastaan.

Useimmat seuraavan sukupolven palomuurit yhdistävät usein useita verkkoratkaisuja, kuten VPN(VPNs) -verkkoja , tunkeutumisenestojärjestelmiä(Intrusion Prevention Systems) ( IPS ) ja jopa virustorjuntaohjelman yhdeksi tehokkaaksi paketiksi. Ajatuksena on tarjota täydellinen ratkaisu, joka korjaa kaiken tyyppiset verkon haavoittuvuudet ja tarjoaa ehdottoman verkon turvallisuuden. Tätä varten jotkin NGFW(NGFWs) :t voivat purkaa myös Secure Socket Layer ( SSL ) -viestinnän salauksen, jolloin ne voivat havaita myös salatut hyökkäykset.

Minkä tyyppinen (Type)palomuuri(Firewall) on paras verkkosi(Your Network) suojaamiseen ?

Palomuureissa on se, että erityyppiset palomuurit käyttävät erilaisia ​​lähestymistapoja verkon suojaamiseen(protect a network) .

Yksinkertaisimmat palomuurit vain todentavat istunnot ja paketit tekemättä mitään sisällölle. Yhdyskäytävän(Gateway) palomuureissa on kyse virtuaalisten yhteyksien luomisesta ja yksityisten IP-osoitteiden käytön estämisestä. Tilalliset(Stateful) palomuurit seuraavat yhteyksiä TCP - kättelyjensä avulla ja muodostavat tiedoista tilataulukon.

Sitten on seuraavan sukupolven(Next-Generation) palomuurit, jotka yhdistävät kaikki edellä mainitut prosessit syvälliseen pakettien tarkastukseen ja joukkoon muita verkon suojausominaisuuksia. On selvää, että NGFW tarjoaisi järjestelmällesi parhaan mahdollisen suojauksen, mutta se ei aina ole oikea vastaus.

Riippuen verkkosi monimutkaisuudesta ja käynnissä olevien sovellusten tyypistä, järjestelmäsi voivat olla parempia käyttämällä yksinkertaisempaa ratkaisua, joka sen sijaan suojaa yleisimmiltä hyökkäyksiltä. Paras idea voisi olla vain käyttää kolmannen osapuolen pilvipalomuuripalvelua(third-party Cloud firewall) , jolloin palomuurin hienosäätö ja ylläpito siirretään palveluntarjoajalle.



About the author

Olen tietokoneammattilainen, jolla on kokemusta Microsoft Office -ohjelmistojen, kuten Excelin ja PowerPointin, kanssa työskentelystä. Minulla on myös kokemusta Chromesta, joka on Googlen omistama selain. Taitojani ovat erinomainen kirjallinen ja suullinen kommunikointi, ongelmanratkaisukyky ja kriittinen ajattelu.



Related posts