Kaikki ymmärtävät palomuurin perustehtävän – suojata verkkoasi haittaohjelmilta ja luvattomalta käytöltä. Mutta palomuurien toiminnan tarkat yksityiskohdat ovat vähemmän tunnettuja.

Mikä palomuuri^(firewall) oikein on ? Miten erityyppiset palomuurit toimivat? Ja ehkä tärkeintä – mikä palomuurityyppi on paras?

Palomuuri 101

Yksinkertaisesti^(Simply) sanottuna palomuuri on vain yksi verkon päätepiste. Siitä tekee erityisen sen kyky siepata ja skannata saapuva liikenne ennen kuin se saapuu sisäiseen verkkoon, mikä estää haitallisten toimijoiden pääsyn siihen.

Jokaisen yhteyden todennuksen varmistaminen, kohde-IP:n piilottaminen hakkereilta ja jopa jokaisen datapaketin sisällön tarkistaminen – palomuurit tekevät kaiken. Palomuuri toimii eräänlaisena tarkistuspisteenä, joka valvoo huolellisesti sisään päästettävää viestintätyyppiä.

Pakettisuodatuspalomuurit

Pakettisuodattavat palomuurit ovat yksinkertaisin ja vähiten resursseja vaativa palomuuritekniikka. Vaikka se ei ole suosiossa näinä päivinä, ne olivat verkkosuojauksen peruselementtejä vanhoissa tietokoneissa.

Pakettisuodatuspalomuuri toimii pakettitasolla ja skannaa jokaisen verkkoreitittimeltä tulevan paketin. Mutta se ei itse asiassa skannaa datapakettien sisältöä – vain niiden otsikoita. Tämän ansiosta palomuuri voi tarkistaa metatiedot, kuten lähde- ja kohdeosoitteet, porttinumerot jne.

Kuten saatat epäillä, tämäntyyppinen palomuuri ei ole kovin tehokas. Pakettisuodattava palomuuri voi vain vähentää tarpeetonta verkkoliikennettä pääsynhallintaluettelon mukaan. Koska itse paketin sisältöä ei tarkisteta, haittaohjelmat voivat silti päästä läpi.

Piiritason yhdyskäytävät

Toinen resurssitehokas tapa varmistaa verkkoyhteyksien laillisuus on piiritason yhdyskäytävä. Sen sijaan, että tarkastettaisiin yksittäisten datapakettien otsikot, piiritason yhdyskäytävä varmistaa itse istunnon.

Jälleen kerran, tällainen palomuuri ei mene läpi itse lähetyksen sisältöä, joten se on alttiina lukuisille haitallisille hyökkäyksille. Tästä huolimatta Transmission Control Protocol ( TCP ) -yhteyksien tarkistaminen ^(TCP)OSI -mallin istuntokerroksesta vie hyvin vähän resursseja ja voi tehokkaasti katkaista ei-toivotut verkkoyhteydet.

Tästä syystä piiritason yhdyskäytäviä on usein sisäänrakennettu useimpiin verkkoturvaratkaisuihin, erityisesti ohjelmistopalomuuriin. Nämä yhdyskäytävät auttavat myös peittämään käyttäjän IP-osoitteen luomalla virtuaalisia yhteyksiä jokaista istuntoa varten.

Tilalliset tarkastuspalomuurit

Sekä Packet-Filtering Firewall että Circuit Level Gateway ovat tilattomia palomuuritoteutuksia. Tämä tarkoittaa, että ne toimivat staattisten sääntöjen mukaan, mikä rajoittaa niiden tehokkuutta. Jokainen paketti (tai istunto) käsitellään erikseen, mikä mahdollistaa vain hyvin perustarkistuksen suorittamisen.

 Stateful Inspection Firewall puolestaan ​​seuraa yhteyden tilaa sekä jokaisen sen kautta lähetetyn paketin tietoja. Valvomalla TCP - kättelyä koko yhteyden ajan tilallinen tarkastuspalomuuri pystyy laatimaan taulukon, joka sisältää lähteen ja kohteen IP-osoitteet ja porttinumerot, ja sovittamaan saapuvat paketit tämän dynaamisen säännöstön kanssa.

Tämän ansiosta on vaikeaa hiipiä haitallisia datapaketteja tilallisen tarkastuspalomuurin ohi. Toisaalta tällaisella palomuurilla on korkeammat resurssikustannukset, mikä hidastaa suorituskykyä ja antaa hakkereille mahdollisuuden käyttää hajautettuja palvelunestohyökkäyksiä^{(Denial-of-Service)} ( DDoS ) järjestelmää vastaan.

Välityspalvelimen palomuurit

^(Better)Välityspalvelinpalomuurit^{(Proxy Firewalls)} , jotka tunnetaan paremmin sovellustason yhdyskäytävänä^{(Application Level Gateways)} , toimivat OSI -mallin etupuolella - sovelluskerroksessa. Viimeisenä käyttäjän verkosta erottavana kerroksena tämä kerros mahdollistaa tietopakettien perusteellisimman ja kalliimman tarkistuksen suorituskyvyn kustannuksella.

Samoin kuin piiritason yhdyskäytävät^{(Circuit-Level Gateways)} , välityspalvelinpalomuurit^{(Proxy Firewalls)} toimivat välittämällä isännän ja asiakkaan välillä ja hämärtäen kohdeporttien sisäiset IP-osoitteet. Lisäksi sovellustason yhdyskäytävät suorittavat syvän pakettitarkistuksen varmistaakseen, että haitallinen liikenne ei pääse läpi.

Ja vaikka kaikki nämä toimenpiteet lisäävät merkittävästi verkon turvallisuutta, se myös hidastaa saapuvaa liikennettä. Verkon^(Network) suorituskyky kärsii tämän kaltaisen tilallisen palomuurin suorittamien resurssivaltaisten tarkistusten vuoksi, mikä tekee siitä huonon sopivuuden suorituskykyherkille sovelluksille. 

NAT-palomuurit

Monissa tietokoneasennuksissa kyberturvallisuuden avainasemassa on varmistaa yksityinen verkko, joka piilottaa asiakaslaitteiden yksittäiset IP-osoitteet sekä hakkereilta että palveluntarjoajilta. Kuten olemme jo nähneet, tämä voidaan suorittaa käyttämällä välityspalvelinpalomuuria^(Proxy) tai piiritason yhdyskäytävää.

Paljon yksinkertaisempi tapa piilottaa IP - osoitteet on käyttää NAT ( Network Address Translation ) - palomuuria^(Firewall) . NAT -palomuurit eivät vaadi monia järjestelmäresursseja toimiakseen, joten ne ovat palvelinten ja sisäisen verkon välinen yhteys.

Verkkosovellusten palomuurit

Vain verkkopalomuurit^{(Network Firewalls)} , jotka toimivat sovellustasolla, pystyvät suorittamaan tietopakettien syvätarkistuksen, kuten välityspalvelinpalomuuri^{(Proxy Firewall)} tai vielä parempaa, Web Application Firewall ( WAF ).

Verkosta tai isännästä käsin toimiva WAF käy läpi kaiken eri verkkosovellusten lähettämän tiedon ja varmistaa, ettei haitallista koodia pääse läpi. Tämäntyyppinen palomuuriarkkitehtuuri on erikoistunut pakettien tarkastamiseen ja tarjoaa paremman suojan kuin pintatason palomuurit.

Pilvien palomuurit

Perinteiset palomuurit, sekä laitteistopalomuurit että ohjelmistot, eivät skaalaudu hyvin. Ne on asennettava järjestelmän tarpeita ajatellen, joko suuren liikenteen suorituskykyyn tai alhaiseen verkkoliikenteen turvallisuuteen keskittyen.

Mutta pilvipalomuurit^{(Cloud Firewalls)} ovat paljon joustavampia. Välityspalvelimena pilvestä otettu palomuurityyppi sieppaa verkkoliikennettä ennen kuin se tulee sisäiseen verkkoon, valtuuttaa jokaisen istunnon ja tarkistaa jokaisen datapaketin ennen sen sisäänpäästämistä.

Parasta on, että tällaisten palomuurien kapasiteettia voidaan skaalata ylös ja alas tarpeen mukaan, mukautuen saapuvan liikenteen eri tasoihin. Tarjotaan pilvipohjaisena palveluna, se ei vaadi laitteistoa ja sitä ylläpitää palveluntarjoaja itse.

Seuraavan sukupolven palomuurit

Seuraava sukupolvi voi olla harhaanjohtava termi. Kaikki teknologiaan perustuvat teollisuudenalat rakastavat tällaisia ​​muotisanoja, mutta mitä se oikeastaan ​​tarkoittaa? Minkä tyyppisten ominaisuuksien perusteella palomuuri voidaan katsoa seuraavan sukupolven omaksi?

Todellisuudessa tiukkaa määritelmää ei ole. Yleensä ratkaisuja, jotka yhdistävät erityyppiset palomuurit yhdeksi tehokkaaksi turvajärjestelmäksi, voidaan pitää seuraavan sukupolven palomuurina^{(Next-Generation Firewall)} ( NGFW ). Tällainen palomuuri pystyy tarkastamaan paketteja syvällä, samalla kun se torjuu DDoS -hyökkäykset ja tarjoaa monikerroksisen suojan hakkereita vastaan.

Useimmat seuraavan sukupolven palomuurit yhdistävät usein useita verkkoratkaisuja, kuten VPN^(VPNs) -verkkoja , tunkeutumisenestojärjestelmiä^{(Intrusion Prevention Systems)} ( IPS ) ja jopa virustorjuntaohjelman yhdeksi tehokkaaksi paketiksi. Ajatuksena on tarjota täydellinen ratkaisu, joka korjaa kaiken tyyppiset verkon haavoittuvuudet ja tarjoaa ehdottoman verkon turvallisuuden. Tätä varten jotkin NGFW^(NGFWs) :t voivat purkaa myös Secure Socket Layer ( SSL ) -viestinnän salauksen, jolloin ne voivat havaita myös salatut hyökkäykset.

Minkä tyyppinen ^(Type)palomuuri^(Firewall) on paras verkkosi^{(Your Network)} suojaamiseen ?

Palomuureissa on se, että erityyppiset palomuurit käyttävät erilaisia ​​lähestymistapoja verkon suojaamiseen^{(protect a network)} .

Yksinkertaisimmat palomuurit vain todentavat istunnot ja paketit tekemättä mitään sisällölle. Yhdyskäytävän^(Gateway) palomuureissa on kyse virtuaalisten yhteyksien luomisesta ja yksityisten IP-osoitteiden käytön estämisestä. Tilalliset^(Stateful) palomuurit seuraavat yhteyksiä TCP - kättelyjensä avulla ja muodostavat tiedoista tilataulukon.

Sitten on seuraavan sukupolven^{(Next-Generation)} palomuurit, jotka yhdistävät kaikki edellä mainitut prosessit syvälliseen pakettien tarkastukseen ja joukkoon muita verkon suojausominaisuuksia. On selvää, että NGFW tarjoaisi järjestelmällesi parhaan mahdollisen suojauksen, mutta se ei aina ole oikea vastaus.

Riippuen verkkosi monimutkaisuudesta ja käynnissä olevien sovellusten tyypistä, järjestelmäsi voivat olla parempia käyttämällä yksinkertaisempaa ratkaisua, joka sen sijaan suojaa yleisimmiltä hyökkäyksiltä. Paras idea voisi olla vain käyttää kolmannen osapuolen pilvipalomuuripalvelua^{(third-party Cloud firewall)} , jolloin palomuurin hienosäätö ja ylläpito siirretään palveluntarjoajalle.

8 Types of Firewalls Explained

Everyone understands the basic function of a firewаll – to protect your network from malware and unauthorized access. But the exаct specifics of how firewalls work arе lesser-known.

What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?

Firewall 101

Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.

Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.

Packet-Filtering Firewalls

Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.

A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.

As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.

Circuit Level Gateways

Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.

Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.

This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.

Stateful Inspection Firewalls

Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.

 A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.

Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.

Proxy Firewalls

Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.

Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.

And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications. 

NAT Firewalls

In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.

A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.

Web Application Firewalls

Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).

Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.

Cloud Firewalls

Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.

But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.

The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.

Next-Generation Firewalls

Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?

In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.

Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.

Which Type of Firewall is the Best to Protect Your Network?

The thing about firewalls is that different types of firewalls use different approaches to protect a network.

The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.

Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.

Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.

Related posts

• Internet- ja sosiaalisten verkostoitumissivustojen riippuvuus

• Ei voi muodostaa yhteyttä Xbox Liveen; Korjaa Xbox Live -verkkoongelma Windows 10:ssä

• Ilmaiset langattomat verkkotyökalut Windows 10:lle

• Cisco Packet Tracer Networking Simulation Tool ja sen ilmaiset vaihtoehdot

• Kuinka poistaa verkko käytöstä Windows Sandboxissa Windows 10:ssä

• Mitä tehdä vanhalla reitittimellä: 8 hienoa ideaa

• 5 tapaa suojata WiFi

• Verkon nollaus: Asenna verkkosovittimet ja verkkokomponentit uudelleen

• Mikä Localhost on ja kuinka voit käyttää sitä?

• Kuinka korjata "Sinulla ei ole oikeutta lähettää tälle vastaanottajalle"

• Windows 10:n käynnistäminen vikasietotilassa verkkoyhteyden avulla

• Mikä on DHCP-vuokra-aika ja kuinka sitä muutetaan

• 8 helppoa tapaa tehdä verkkoyhteyden vianmääritys

• Xbox-verkkoyhteyden käyttäminen Windows 10:ssä Xbox Live -yhteytesi tarkistamiseksi

• Paikallisen DNS-haun lisääminen isäntätiedostoon

• Kuinka arvioida yrityksen sivuston tai verkon kaistanleveysvaatimukset

• Kuinka löytää paras Wi-Fi-kanava Windowsissa, Macissa ja Linuxissa

• Peer to Peer Networking (P2P) ja tiedostojen jakaminen selitetty

• Tiettyjen kotiverkon laitteiden lisääminen sallittujen luetteloon hakkereiden estämiseksi

• Tukiasema vs. reititin: mitkä ovat erot?