Opi perusasiat eri palomuurit, ero niiden välillä ja miten kukin tyyppi voi suojata verkon eri tavoin.
palomuuri on perusturvakerros, joka toimii esteenä yksityisen verkon ja ulkomaailman välillä. Ensimmäisen sukupolven, valtiottomista palomuureista seuraavan sukupolven palomuureihin palomuuriarkkitehtuurit ovat kehittyneet valtavasti viimeisten neljän vuosikymmenen aikana. Nykyään organisaatiot voivat valita erityyppisten palomuurien välillä-mukaan lukien sovellustason yhdyskäytävät (proxy-palomuurit), tilalliset tarkastuspalomuurit ja piiritason yhdyskäytävät—ja jopa käyttää useita tyyppejä samanaikaisesti syväkerroksiseen, kattavaan turvallisuusratkaisuun.
mikä on palomuuri ja mihin sitä käytetään?
palomuuri on tietoturvatyökalu, joka valvoo saapuvaa ja/tai lähtevää verkkoliikennettä ja tunnistaa ja estää haitalliset datapaketit ennalta määriteltyjen sääntöjen perusteella, jolloin yksityisverkkoon pääsee vain laillista liikennettä. Laitteistona, ohjelmistona tai molempina toteutetut palomuurit ovat tyypillisesti ensimmäinen puolustuslinjasi haittaohjelmia, viruksia ja hyökkääjiä vastaan, jotka yrittävät päästä organisaation sisäverkkoon ja järjestelmiin.
samanlainen kuin rakennuksen pääsisäänkäynnin metallinpaljastimen ovi, fyysinen tai laitteiston palomuuri tarkastaa jokaisen tietopaketin ennen sen sisään päästämistä. Se tarkistaa lähde-ja kohdeosoitteet ja määrittää ennalta määriteltyjen sääntöjen perusteella, pitäisikö tietopaketin kulkea vai ei. Kun datapaketti on organisaation intranetin sisällä, palomuuriohjelmisto voi suodattaa liikennettä edelleen salliakseen tai estääkseen pääsyn tiettyihin tietokonejärjestelmän portteihin ja sovelluksiin, mikä mahdollistaa paremman valvonnan ja turvallisuuden sisäpiiriuhilta.
kulunvalvontaluettelossa voidaan määritellä tiettyjä IP-osoitteita, joihin ei voi luottaa. Palomuuri pudottaa IP-osoitteista tulevat datapaketit. Vaihtoehtoisesti kulunvalvontaluettelossa voidaan määrittää luotetun lähteen IP-osoitteita, ja palomuuri sallii vain luetelluista IP-osoitteista tulevan liikenteen. Palomuurin perustamiseen on useita tekniikoita. Niiden tarjoaman tietoturvan laajuus riippuu myös yleensä palomuurin tyypistä ja siitä, miten se on määritetty.
mitkä ovat Palomuurityypit?
rakenteellisesti palomuurit voivat olla ohjelmistoja, laitteistoja tai näiden yhdistelmiä. Ohjelmistopalomuurit asennetaan erikseen yksittäisiin laitteisiin. Ne tarjoavat enemmän rakeinen valvonta, että ne voivat sallia pääsyn yhden sovelluksen tai ominaisuuden samalla estää muita. Mutta ne voivat olla kalliita resurssien suhteen, koska ne käyttävät suorittimia ja RAM-muistia laitteissa, joihin ne on asennettu, ja järjestelmänvalvojien on määritettävä ja hallittava niitä erikseen kullekin laitteelle. Lisäksi kaikki intranetin laitteet eivät välttämättä ole yhteensopivia yhden palomuurin kanssa, ja useita erilaisia palomuureja saatetaan tarvita.
Laitteistopalomuurit taas ovat fyysisiä laitteita, joilla kullakin on omat laskentaresurssinsa. Ne toimivat portteina sisäisten verkkojen ja Internetin välillä ja pitävät datapaketteja ja liikennepyyntöjä yksityisverkon ulkopuolisista epäluotettavista lähteistä. Fyysiset palomuurit ovat melko käteviä organisaatioille, joilla on useita laitteita samassa verkossa. Vaikka ne estävät haitallisen liikenteen hyvissä ajoin ennen kuin se saavuttaa yhdenkään päätepisteen, ne eivät tarjoa turvaa sisäpiirihyökkäyksiä vastaan. Siksi sekä ohjelmistojen että laitteistojen palomuurien yhdistelmä voi tarjota optimaalisen turvallisuuden organisaatiosi verkkoon.
palomuurit luokitellaan myös niiden toimintatavan perusteella, ja jokainen tyyppi voidaan asettaa joko ohjelmistoksi tai fyysiseksi laitteeksi. Niiden toimintatavan perusteella palomuureja on neljää eri tyyppiä.
Pakettisuodatuspalomuurit
Pakettisuodatuspalomuurit ovat vanhin, perustyyppinen palomuuri. Toimivat verkkokerroksen, he yksinkertaisesti tarkistaa tietopaketin sen lähde IP ja määränpää IP, protokolla, lähde portti ja määränpää portti ennalta määriteltyjä sääntöjä vastaan määrittää, siirtää tai hylätä paketin. Pakettisuodatus palomuurit ovat olennaisesti valtiottomia, seuranta jokainen paketti itsenäisesti ilman mitään jälkeä perustettu yhteys tai paketteja, jotka ovat kulkeneet kyseisen yhteyden aiemmin. Tämän vuoksi näiden palomuurien kyky suojautua kehittyneiltä uhilta ja hyökkäyksiltä on hyvin rajallinen.
pakettien suodatus palomuurit ovat nopeita, halpoja ja tehokkaita. Mutta niiden tarjoama turvallisuus on hyvin perustavaa laatua. Koska nämä palomuurit eivät voi tutkia datapakettien sisältöä, ne eivät pysty suojaamaan luotetun lähteen IP-osoitteista tulevilta haitallisilta datapaketeilta. Koska ne ovat kansalaisuudettomia, ne ovat myös alttiita lähdereitityshyökkäyksille ja pikkuruisille sirpalehyökkäyksille. Minimaalisesta toiminnastaan huolimatta pakettisuodatuspalomuurit raivasivat tietä moderneille palomuureille, jotka tarjoavat vahvemman ja syvemmän turvallisuuden.
piiritason yhdyskäytävät
toimivat istuntokerroksessa, piiritason yhdyskäytävät todentavat vahvistetut Transmission Control Protocol (TCP)-yhteydet ja pitävät kirjaa aktiivisista istunnoista. Ne ovat melko samanlaisia paketti suodatus palomuurit, että ne suorittavat yhden tarkistuksen ja käyttää vähän resursseja. Ne toimivat kuitenkin avoimien järjestelmien Yhteenliitäntämallin (Open Systems Interconnection, OSI) korkeammalla tasolla. Ensisijaisesti ne määrittävät vakiintuneen yhteyden turvallisuuden. Kun sisäinen laite käynnistää yhteyden etäpalvelimeen, piiritason yhdyskäytävät luovat virtuaalisen yhteyden sisäisen laitteen puolesta pitääkseen sisäisen käyttäjän henkilöllisyyden ja IP-osoitteen piilossa.
piiritason yhdyskäytävät ovat kustannustehokkaita, yksinkertaisia, eikä niillä ole juurikaan vaikutusta verkon suorituskykyyn. Niiden kyvyttömyys tarkastaa tietopakettien sisältöä tekee niistä kuitenkin itse puutteellisen tietoturvaratkaisun. Haittaohjelmaa sisältävä datapaketti voi ohittaa piiritason yhdyskäytävän helposti, jos siinä on laillinen TCP-kädenpuristus. Siksi muunlainen palomuuri on usein määritetty päälle piiri-tason yhdyskäytävät lisäsuojaa.
Stateful inspection firewalls
a step each of circuit-level gateways, stateful inspection firewalls, in addition to verifying and keeping track of established connections, also perform packet inspection to provide better, more comparent security. Ne toimivat luomalla valtion taulukko lähde IP, kohde IP, lähde portti ja kohdeportti kun yhteys on perustettu. Ne luovat omat sääntönsä dynaamisesti salliakseen odotettavissa olevan tulevan verkkoliikenteen sen sijaan, että ne luottaisivat näihin tietoihin perustuviin koodattuihin sääntöihin. Ne pudottavat kätevästi datapaketteja, jotka eivät kuulu vahvistettuun aktiiviseen yhteyteen.
Stateful inspection palomuurit tarkastavat laillisia yhteyksiä sekä lähde-ja kohdepainoja määrittääkseen, mitkä tietopaketit voivat kulkea läpi. Vaikka nämä ylimääräiset tarkastukset tarjoavat edistynyttä turvallisuutta, ne kuluttavat paljon järjestelmän resursseja ja voivat hidastaa liikennettä huomattavasti. Siksi ne ovat alttiita palvelunestohyökkäyksille (distributed denial-of-service attacks).
sovellustason yhdyskäytävät (proxy-palomuurit)
sovellustason yhdyskäytävät, joita kutsutaan myös proxy-palomuureiksi, toteutetaan sovelluskerroksessa välityspalvelimen kautta. Sen sijaan, että ulkopuolinen pääsisi suoraan sisäiseen verkkoosi, yhteys luodaan proxy-palomuurin kautta. Ulkoinen asiakas lähettää pyynnön välityspalvelimen palomuuriin. Todennettuaan pyynnön aitouden proxy-palomuuri välittää sen jollekin sisäiselle laitteelle tai palvelimelle asiakkaan puolesta. Vaihtoehtoisesti sisäinen laite voi pyytää pääsyä verkkosivulle, ja välityslaite välittää pyynnön Salaten samalla sisäisten laitteiden ja verkon henkilöllisyyden ja sijainnin.
toisin kuin pakettisuodatuspalomuurit, proxy-palomuurit suorittavat tilallisen ja syvän pakettitarkastuksen analysoidakseen datapakettien asiayhteyttä ja sisältöä käyttäjän määrittämiä sääntöjä vastaan. Lopputuloksen perusteella he joko sallivat tai hylkäävät paketin. Ne suojaavat arkaluonteisten resurssien identiteettiä ja sijaintia estämällä suoran yhteyden sisäisten järjestelmien ja Ulkoisten verkkojen välillä. Kuitenkin, konfigurointi ne saavuttaa optimaalinen verkon suojaus voi olla hieman vaikeaa. Sinun täytyy myös pitää mielessä tradeoff-proxy palomuuri on lähinnä ylimääräinen este välillä isäntä ja asiakas, aiheuttaa huomattavia hidastuksia.
mikä on seuraavan sukupolven palomuuri?
seuraavan sukupolven palomuurit (Ngfws) on tarkoitettu ylittämään perinteisten palomuurien asettamat rajoitukset ja tarjoamaan myös joitakin lisäturvaominaisuuksia. Joustavista ominaisuuksista ja arkkitehtuureista huolimatta palomuurin tekee todella seuraavan sukupolven se, että se pystyy suorittamaan syvän paketin tarkastuksen portin/protokollan ja pintatason pakettitarkastuksen lisäksi. Vaikka ei ole konkreettista, sovittu-up määritelmä, mukaan Gartner, seuraavan sukupolven palomuuri on ” syvä paketti tarkastus palomuuri, joka siirtyy portin / protokollan tarkastus ja estää lisätä sovellus-tason tarkastus, tunkeutumisen ehkäisy ja tuo älykkyyttä ulkopuolelta palomuuri.”
seuraavan sukupolven palomuuri yhdistää muiden palomuurityyppien ominaisuudet yhdeksi ratkaisuksi vaikuttamatta verkon suorituskykyyn. Ne ovat vankempia ja tarjoavat laajemman ja syvemmän turvallisuuden kuin yksikään edeltäjistään. Lisäksi suorittaa syvä paketti tarkastus havaita poikkeavuuksia ja haittaohjelmia, NGFWs mukana sovellus tietoisuus ominaisuus älykkään liikenteen ja resurssien analysointiin. Nämä palomuurit ovat täysin kykeneviä estämään DDoS hyökkäykset. Niissä on SSL (Secure Sockets Layer) – salauksen purkutoiminto, jonka avulla ne voivat tunnistaa ja estää myös salattujen sovellusten tietomurtoyritykset.
seuraavan sukupolven palomuurit pystyvät tunnistamaan käyttäjät ja käyttäjäroolit, mutta niiden edeltäjät luottivat lähinnä järjestelmien IP-osoitteisiin. Tämä läpivientiominaisuus antaa käyttäjille mahdollisuuden hyödyntää langattomia, kannettavia laitteita samalla kun se tarjoaa laajakirjoisen tietoturvan joustavissa työympäristöissä ja tuo oman laitteesi (BYOD) käytännöt. Niihin voi sisältyä myös muita tekniikoita, kuten viruksentorjuntajärjestelmiä ja tunkeutumisen ehkäisyjärjestelmiä (IPS), jotka tarjoavat kattavamman lähestymistavan turvallisuuteen.
seuraavan sukupolven palomuurit sopivat yrityksille, joiden on noudatettava Health Insurance Portability and Accountability Act (HIPAA)-tai payment card industry (PCI) – sääntöjä, tai yrityksille, jotka haluavat useita turvaominaisuuksia integroituna yhteen ratkaisuun. Mutta ne tulevat korkeampaan hintaan kuin muunlaiset palomuurit, ja valitsemastasi palomuurista riippuen ylläpitäjäsi saattaa joutua määrittämään ne muiden turvajärjestelmien kanssa.
mikä Palomuurityyppi sopii parhaiten Organisaatiooni?
ei ole olemassa yhden koon ratkaisua, joka täyttäisi jokaisen organisaation ainutlaatuiset turvallisuusvaatimukset. Itse asiassa jokaisella erityyppisellä palomuurilla on omat etunsa ja rajoituksensa. Pakettisuodatin palomuurit ovat yksinkertaisia, mutta tarjoavat rajoitetun turvallisuuden, kun taas tilallinen tarkastus-ja välityspalomuurit voivat vaarantaa verkon suorituskyvyn. Seuraavan sukupolven palomuurit näyttävät olevan täydellinen paketti, mutta kaikilla organisaatioilla ei ole budjettia tai resursseja konfiguroida ja hallita niitä onnistuneesti.
hyökkäysten kehittyessä organisaation turvallisuuspuolustuksen on saatava kiinni. Yksi palomuuri, joka suojaa sisäisen verkon kehää ulkoisilta uhilta, ei riitä. Jokainen yksityisverkossa oleva omaisuuserä tarvitsee myös oman yksilöllisen suojansa. On parasta omaksua kerroksellinen lähestymistapa turvallisuuteen sen sijaan, että luotetaan yhden palomuurin toimivuuteen. Ja miksi edes tyytyä yhteen, kun voit hyödyntää useiden palomuurien etuja organisaatiosi turvallisuustarpeisiin optimoidussa arkkitehtuurissa.
Parallels RAS: n käyttäminen tietojen suojaamiseen
kyberhyökkäysten havaitseminen ja lieventäminen alati kehittyvässä uhkatilanteessa on yhtä pelottavaa kuin ratkaisevaa. Olkootpa palomuurit kuinka kehittyneitä tahansa, ne eivät yksinään pysty tarjoamaan riittävää suojaa. Joustavien työympäristöjen ja kotoa käsin tehtävien liiketoimintamallien muuttuessa valtavirraksi työnantajien ja työntekijöiden on suhtauduttava uhkaaviin uhkiin vakavasti. Työntekijöiden, jotka yrittävät käyttää sisäisiä resursseja etänä, on tehtävä se virtuaalisen yksityisen verkon (VPN) kautta ja käytettävä laitteita, jotka ovat organisaation politiikan mukaisia.
Parallels® Remote Application Server (Ras) tarjoaa laajan valikoiman työkaluja ja ominaisuuksia sovellusten ja tietojen valvontaan ja suojaamiseen monipilvisessä ympäristössä. Se tarjoaa edistyneen kulunvalvonnan ja yksityiskohtaiset asiakaskäytännöt, jotka mahdollistavat tai rajoittavat pääsyä yhdyskäytävän, media access control (MAC) – osoitteen, asiakastyypin, IP-osoitteen, tietyn käyttäjän tai käyttäjän roolin perusteella.
Parallels Ras enhanced data security suojaa myös arkaluonteisia tietoja ja estää luvattoman pääsyn salauksen ja monivaiheisen todennuksen avulla erittäin rakeisten lupakäytäntöjen lisäksi. Parallels RAS: n avulla työntekijäsi voivat vaihtaa laitteiden välillä ja käyttää paikan päällä olevia tietoja ja sovelluksia mistä tahansa paikasta, kun resurssisi pysyvät turvallisesti sisäisessä verkossa.
Kiinnostaako lisätietoja siitä, miten Parallels Ras enhanced data security voi suojata yrityksesi tietoja? Lataa 30 päivän kokeiluversio tänään!