Melyek a tűzfalak alapvető típusai?

Giorgio Bonuccelli
szerző: Giorgio Bonuccelli
November 4, 2020

Ismerje meg az alapokat a különböző típusú tűzfalak, a különbség közöttük, és hogyan egyes típusok védik a hálózatot különböző módon.

a tűzfal egy alapvető, de alapvető biztonsági réteg, amely akadályt képez a magánhálózat és a külvilág között. Az első generációs, hontalan tűzfalaktól a következő generációs tűzfalakig a tűzfal architektúrái óriási fejlődésen mentek keresztül az elmúlt négy évtizedben. Ma a szervezetek többféle tűzfal közül választhatnak—beleértve az alkalmazásszintű átjárókat (proxy tűzfalak), az állapotalapú ellenőrző tűzfalakat és az áramköri szintű átjárókat -, és akár több típust is használhatnak egyszerre egy mély rétegű, átfogó biztonsági megoldáshoz.

mi a tűzfal, és mire használható?

tűzfalak típusai a tűzfal egy biztonsági eszköz, amely figyeli a bejövő és/vagy kimenő hálózati forgalmat, hogy előre meghatározott szabályok alapján észlelje és blokkolja a rosszindulatú adatcsomagokat, így csak a törvényes forgalom léphet be a magánhálózatba. A hardverként, szoftverként vagy mindkettőként megvalósított tűzfalak általában az első védelmi vonal a rosszindulatú programok, vírusok és támadók ellen, amelyek megpróbálják elérni a szervezet belső hálózatát és rendszereit.

az épület főbejáratánál lévő fémdetektor ajtóhoz hasonlóan a fizikai vagy hardveres tűzfal minden adatcsomagot megvizsgál, mielőtt beengedné. Ellenőrzi a forrás-és célcímeket, és előre meghatározott szabályok alapján meghatározza, hogy az adatcsomagnak át kell-e haladnia vagy sem. Ha egy adatcsomag a szervezet intranetén belül van, a szoftveres tűzfal tovább szűrheti a forgalmat, hogy engedélyezze vagy blokkolja a hozzáférést a számítógépes rendszer bizonyos portjaihoz és alkalmazásaihoz, lehetővé téve a bennfentes fenyegetésekkel szembeni jobb irányítást és biztonságot.

a hozzáférés-vezérlési lista olyan internetprotokoll (IP) címeket határozhat meg, amelyekben nem lehet megbízni. A tűzfal eldobja az IP-kről érkező adatcsomagokat. Alternatív megoldásként a hozzáférés-vezérlési lista megbízható forrású IP-címeket is megadhat, a tűzfal pedig csak a felsorolt ip-címekről érkező forgalmat engedélyezi. Számos módszer létezik a tűzfal beállítására. Az általuk nyújtott biztonság mértéke általában a tűzfal típusától és konfigurációjától is függ.

milyen típusú tűzfalak vannak?

szerkezetileg a tűzfalak lehetnek szoftverek, hardverek vagy mindkettő kombinációja. A szoftver tűzfalakat külön-külön telepítik az egyes eszközökre. Szemcsésebb vezérlést biztosítanak, mivel lehetővé teszik az egyik alkalmazáshoz vagy Szolgáltatáshoz való hozzáférést, miközben másokat blokkolnak. Az erőforrások szempontjából azonban drágák lehetnek, mivel felhasználják a telepített eszközök CPU-ját és RAM-ját, és a rendszergazdáknak minden eszközhöz külön kell konfigurálniuk és kezelniük őket. Ezenkívül előfordulhat, hogy az intraneten belüli összes eszköz nem kompatibilis egyetlen szoftveres tűzfallal, és több különböző tűzfalra lehet szükség.

a hardveres tűzfalak viszont fizikai eszközök, amelyek mindegyike saját számítási erőforrásokkal rendelkezik. Átjáróként működnek a belső hálózatok és az internet között, megtartva az adatcsomagokat és a nem megbízható forrásokból származó forgalmi kéréseket a magánhálózaton kívül. A fizikai tűzfalak meglehetősen kényelmesek azoknak a szervezeteknek, amelyek ugyanazon a hálózaton sok eszközzel rendelkeznek. Bár jóval azelőtt blokkolják a rosszindulatú forgalmat, hogy az elérné bármelyik végpontot, nem nyújtanak biztonságot a bennfentes támadások ellen. Ezért mind a szoftver, mind a hardver tűzfalak kombinációja optimális biztonságot nyújthat a szervezet hálózatában.

a tűzfalak a működésük alapján is kategorizálva vannak, és mindegyik típus beállítható szoftverként vagy fizikai eszközként. Működési módjuk alapján négy különböző típusú tűzfal létezik.

csomagszűrő tűzfalak

csomagszűrő tűzfalak a legrégebbi, legalapvetőbb típusú tűzfalak. A hálózati rétegen működve egyszerűen ellenőrzik az adatcsomagot a forrás IP-jére és a cél IP-jére, a protokollra, a forrásportra és a célportra az előre meghatározott szabályok alapján, hogy meghatározzák, átadják-e vagy elvetik-e a csomagot. A csomagszűrő tűzfalak lényegében hontalanok, az egyes csomagokat függetlenül figyelik, anélkül, hogy nyomon követnék a létrehozott kapcsolatot vagy azokat a csomagokat, amelyek korábban áthaladtak ezen a kapcsolaton. Ez teszi ezeket a tűzfalakat nagyon korlátozottá a fejlett fenyegetések és támadások elleni védelemben.

a csomagszűrő tűzfalak gyorsak, olcsók és hatékonyak. De az általuk nyújtott biztonság nagyon alapvető. Mivel ezek a tűzfalak nem tudják megvizsgálni az adatcsomagok tartalmát, képtelenek megvédeni a megbízható forrás IP-kről érkező rosszindulatú adatcsomagokat. Mivel hontalanok, sebezhetőek a forrásirányítási támadásokkal és az apró töredékes támadásokkal szemben is. Minimális funkcionalitásuk ellenére a csomagszűrő tűzfalak előkészítették az utat a modern tűzfalak számára, amelyek erősebb és mélyebb biztonságot nyújtanak.

áramköri szintű átjárók

a munkamenetrétegen dolgozva az áramköri szintű átjárók ellenőrzik a létrehozott átviteli vezérlő protokoll (TCP) kapcsolatokat, és nyomon követik az aktív munkameneteket. Nagyon hasonlítanak a csomagszűrő tűzfalakhoz, mivel egyetlen ellenőrzést végeznek és minimális erőforrásokat használnak. Ezek azonban az Open Systems Interconnection (OSI) modell magasabb rétegén működnek. Elsősorban meghatározzák a létrehozott kapcsolat biztonságát. Amikor egy belső eszköz kapcsolatot kezdeményez egy távoli gazdagéppel, az áramköri szintű átjárók virtuális kapcsolatot hoznak létre a belső eszköz nevében, hogy elrejtsék a belső felhasználó identitását és IP-címét.

az áramköri szintű átjárók költséghatékonyak, egyszerűek és alig befolyásolják a hálózat teljesítményét. Az adatcsomagok tartalmának ellenőrzésére való képtelenség azonban önmagában hiányos biztonsági megoldást jelent. A rosszindulatú programokat tartalmazó adatcsomag könnyen megkerülheti az áramköri szintű átjárót, ha törvényes TCP kézfogással rendelkezik. Ez az oka annak, hogy az áramköri szintű átjárók tetején gyakran konfigurálnak egy másik típusú tűzfalat a nagyobb védelem érdekében.

Állapotellenőrző tűzfalak

egy lépéssel az áramköri szintű átjárók előtt, az állapotellenőrző tűzfalak a létrehozott kapcsolatok ellenőrzése és nyomon követése mellett csomagellenőrzést is végeznek a jobb, átfogóbb biztonság érdekében. Úgy működnek, hogy létrehoznak egy állapottáblát a forrás IP-vel, a cél IP-vel, a forrás-porttal és a cél-porttal, miután létrejött a kapcsolat. Dinamikusan hozzák létre saját szabályaikat, hogy lehetővé tegyék a várható bejövő hálózati forgalmat, ahelyett, hogy ezen információk alapján kódolt szabálykészletre támaszkodnának. Kényelmesen eldobják azokat az adatcsomagokat, amelyek nem tartoznak ellenőrzött aktív kapcsolathoz.

Stateful inspection a tűzfalak ellenőrzik a törvényes kapcsolatokat, valamint a forrás-és cél IP-címeket, hogy meghatározzák, mely adatcsomagok haladhatnak át. Bár ezek az extra ellenőrzések fejlett biztonságot nyújtanak, sok rendszer erőforrást fogyasztanak, és jelentősen lelassíthatják a forgalmat. Ezért hajlamosak a DDoS-ra (distributed denial-of-service támadások).

alkalmazásszintű átjárók (proxy tűzfalak)

alkalmazásszintű átjárók, más néven proxy tűzfalak, az alkalmazásrétegen proxy eszközön keresztül valósulnak meg. Ahelyett, hogy egy kívülálló közvetlenül hozzáférne a belső hálózathoz, a kapcsolat a proxy tűzfalon keresztül jön létre. A külső ügyfél kérést küld a proxy tűzfalnak. A kérés hitelességének ellenőrzése után a proxy tűzfal továbbítja azt az ügyfél nevében az egyik belső eszközre vagy szerverre. Alternatív megoldásként egy belső eszköz kérhet hozzáférést egy weboldalhoz, és a proxy eszköz továbbítja a kérést, miközben elrejti a belső eszközök és a hálózat identitását és helyét.

a csomagszűrő tűzfalaktól eltérően a proxy tűzfalak állapotfelmérést és mély csomagellenőrzést végeznek, hogy elemezzék az adatcsomagok kontextusát és tartalmát a felhasználó által meghatározott szabályok alapján. Az eredmény alapján engedélyezik vagy eldobják a csomagot. Megvédik az érzékeny erőforrások identitását és helyét azáltal, hogy megakadályozzák a közvetlen kapcsolatot a belső rendszerek és a külső hálózatok között. Az optimális hálózati védelem elérése érdekében történő konfigurálás azonban kissé nehéz lehet. Figyelembe kell venni a kompromisszumot is—a proxy tűzfal lényegében egy extra akadály a gazdagép és az ügyfél között, ami jelentős lassulást okoz.

mi az a következő generációs tűzfal?

a következő generációs tűzfalak (NGFW-k) célja a hagyományos tűzfalak korlátainak leküzdése, miközben további biztonsági funkciókat is kínálnak. A rugalmas funkciók és architektúrák ellenére a tűzfal valóban újgenerációvá válik az a képesség, hogy a port/protokoll és a felszíni szintű csomagellenőrzés mellett mély csomagellenőrzést is képes végrehajtani. Bár nincs konkrét, elfogadott meghatározás, a Gartner szerint a következő generációs tűzfal ” egy mély csomagellenőrző tűzfal, amely túlmutat a port/protokoll ellenőrzésén és blokkolásán, hogy hozzáadja az alkalmazás szintű ellenőrzést, a behatolás megelőzését és az intelligenciát a tűzfalon kívülről.”

a következő generációs tűzfal egyetlen megoldásba egyesíti más típusú tűzfalak jellemzőit anélkül, hogy befolyásolná a hálózati teljesítményt. Ezek robusztusabbak, és szélesebb és mélyebb biztonságot nyújtanak, mint bármelyik elődjük. Az anomáliák és rosszindulatú programok felderítésére szolgáló mély csomagellenőrzés mellett az NGFWs alkalmazás-tudatossági funkcióval rendelkezik az intelligens forgalom-és erőforrás-elemzéshez. Ezek a tűzfalak teljes mértékben képesek blokkolni a DDoS támadásokat. A Secure Sockets Layer (SSL) dekódolási funkcióval rendelkeznek, hogy teljes láthatóságot szerezzenek az alkalmazások között, lehetővé téve számukra a titkosított alkalmazások adatsértési kísérleteinek azonosítását és blokkolását is.

a következő generációs tűzfalak képesek azonosítani a felhasználókat és a felhasználói szerepeket, de elődeik elsősorban a rendszerek IP-címeire támaszkodtak. Ez az áttörési funkció lehetővé teszi a felhasználók számára, hogy kihasználják a vezeték nélküli, hordozható eszközöket, miközben széles spektrumú biztonságot nyújtanak a rugalmas munkakörnyezetekben, és saját eszköz (BYOD) irányelveket hoznak létre. Más technológiákat is magukban foglalhatnak, mint például a vírusirtó és a Behatolásmegelőző rendszerek (IPS), hogy átfogóbb megközelítést kínáljanak a biztonság terén.

a következő generációs tűzfalak olyan vállalkozások számára alkalmasak, amelyeknek meg kell felelniük az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvénynek (HIPAA) vagy a payment card industry (PCI) szabályainak, vagy azoknak, akik több biztonsági funkciót szeretnének egyetlen megoldásba integrálni. De magasabb áron érkeznek, mint más típusú tűzfalak, és a választott tűzfaltól függően előfordulhat, hogy a rendszergazdának más biztonsági rendszerekkel kell konfigurálnia őket.

melyik típusú tűzfal felel meg legjobban a szervezetemnek?

nincs egy kaptafára minden megoldás, amely képes teljesíteni az egyedi biztonsági követelményeknek minden egyes szervezet. Valójában a különböző típusú tűzfalak mindegyikének megvannak a maga előnyei és korlátai. A csomagszűrő tűzfalak egyszerűek, de korlátozott biztonságot nyújtanak, míg az állapotfelmérés és a proxy tűzfalak veszélyeztethetik a hálózati teljesítményt. A következő generációs tűzfalak teljes csomagnak tűnnek, de nem minden szervezet rendelkezik költségvetéssel vagy erőforrásokkal a sikeres konfiguráláshoz és kezeléshez.

ahogy a támadások kifinomultabbá válnak, a szervezet biztonsági védelmének felzárkóznia kell. Nem elegendő egyetlen tűzfal, amely védi a belső hálózat kerületét a külső fenyegetésektől. A magánhálózaton belüli minden eszköznek saját egyéni védelemre is szüksége van. A legjobb, ha réteges megközelítést alkalmazunk a biztonság felé, ahelyett, hogy egyetlen tűzfal funkcionalitására támaszkodnánk. És miért is döntsön egyet, ha kihasználhatja a több tűzfal előnyeit egy kifejezetten a szervezet biztonsági igényeihez optimalizált architektúrában.

a Parallels RAS használata az adatokhoz való hozzáférés védelme érdekében

a kibertámadások észlelése és enyhítése egy folyamatosan változó fenyegetési környezetben ugyanolyan ijesztő, mint döntő fontosságú. Függetlenül attól, hogy mennyire kifinomultak, a tűzfalak önmagukban nem nyújtanak elegendő védelmet. Mivel a rugalmas munkakörnyezet és a munkahelyi üzleti modellek általánossá válnak, a munkáltatóknak és a munkavállalóknak egyaránt komolyan kell venniük a közelgő fenyegetéseket. A belső erőforrásokhoz távolról hozzáférni próbáló alkalmazottaknak ezt virtuális magánhálózaton (VPN) keresztül kell megtenniük, és olyan eszközöket kell használniuk, amelyek megfelelnek a szervezet irányelveinek.

Parallels! a Remote Application Server (Ras) eszközök és funkciók széles skáláját kínálja az alkalmazások és adatok felügyeletéhez és biztonságához többfelhős környezetben. Fejlett hozzáférés-vezérlést és részletes ügyfél-házirendeket biztosít a hozzáférés engedélyezéséhez vagy korlátozásához az átjáró, a media access control (MAC) cím, az ügyfél típusa, az IP-cím, az adott felhasználó vagy felhasználói szerep alapján.

a Parallels Ras enhanced data security az érzékeny adatokat is védi, és titkosítással és többtényezős hitelesítéssel megakadályozza az illetéktelen hozzáférést a rendkívül részletes engedélyezési házirendek mellett. A Parallels RAS segítségével alkalmazottai bárhonnan válthatnak az eszközök között, és hozzáférhetnek a helyszíni adatokhoz és alkalmazásokhoz, miközben erőforrásai biztonságosan a belső hálózaton belül maradnak.

szeretne többet megtudni arról, hogy a Parallels Ras enhanced data security hogyan védheti meg vállalati adatait? Töltse le 30 napos próbaverziónkat még ma!

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

Previous post Antechinus durranással megy ki ” a természet jellemzői (ABC tudomány)
Next post Hogyan lehet ellenőrizni, hogy mely alkalmazások nyílnak meg az Android indításakor