Lær det grundlæggende om de forskellige typer brandvægge, forskellen mellem dem, og hvordan hver type kan beskytte dit netværk på forskellige måder.
en brandvæg er et grundlæggende, men vigtigt sikkerhedslag, der fungerer som en barriere mellem dit private netværk og omverdenen. Fra første generation, statsløse brandvægge til næste generations brandvægge, brandvægarkitekturer har udviklet sig enormt i løbet af de sidste fire årtier. I dag kan organisationer vælge mellem flere typer brandvægge-inklusive portveje på applikationsniveau (fuldmægtige brandvægge), statlige inspektions brandvægge og porte på kredsløbsniveau-og endda bruge flere typer samtidigt til en dyblags, omfattende sikkerhedsløsning.
hvad er en Brandvæg, og hvad bruges den til?
en brandvæg er et sikkerhedsværktøj, der overvåger indgående og/eller udgående netværkstrafik for at registrere og blokere ondsindede datapakker baseret på foruddefinerede regler, så kun legitim trafik kan komme ind i dit private netværk. Brandmure er typisk din første forsvarslinje mod ondsindede programmer, vira og angribere, der forsøger at gøre det til din organisations interne netværk og systemer.
ligesom en gennemgangsmetaldetektordør ved en bygnings hovedindgang inspicerer en fysisk brandvæg hver datapakke, inden den lukkes ind. Den kontrollerer for kilde-og destinationsadresserne, og baseret på foruddefinerede regler bestemmer den, om en datapakke skal passere eller ej. Når en datapakke er inde i din organisations intranet, kan en programmel yderligere filtrere trafikken for at tillade eller blokere adgang til bestemte porte og applikationer på et computersystem, hvilket giver bedre kontrol og sikkerhed mod insidertrusler.
en adgangskontrolliste kan definere specifikke IP-adresser (Internet Protocol), som man ikke kan stole på. Brandmuren vil droppe alle datapakker, der kommer fra disse IP ‘ er. Alternativt kan adgangskontrollisten angive IP ‘er, der er tillid til, og brandmuren tillader kun trafikken, der kommer fra de anførte IP’ er. Der er flere teknikker til opsætning af en brandvæg. Omfanget af sikkerhed, de giver, afhænger også generelt af typen af brandvæg, og hvordan den er konfigureret.
Hvad er de typer af brandvægge?
strukturelt kan brandvægge være programmel, udstyr eller en kombination af begge dele. Brandvægge installeres separat på individuelle enheder. De giver mere detaljeret kontrol, idet de kan give adgang til en applikation eller funktion, mens de blokerer for andre. Men de kan være dyre med hensyn til ressourcer, da de bruger CPU og RAM på de enheder, de er installeret på, og administratorer skal konfigurere og administrere dem individuelt for hver enhed. Derudover er alle enheder i et intranet muligvis ikke kompatible med et enkelt program, og der kan være behov for flere forskellige brandvægge.
brandvægge er på den anden side fysiske enheder, hver med sine egne computerressourcer. De fungerer som porte mellem interne netværk og internettet og holder datapakker og trafikanmodninger fra ikke-betroede kilder uden for det private netværk. Fysiske brandvægge er ret bekvemme for organisationer med mange enheder på samme netværk. Mens de blokerer ondsindet trafik i god tid, før den når nogen af slutpunkterne, giver de ikke sikkerhed mod insiderangreb. Derfor kan en kombination af både programmel og brandvægge give optimal sikkerhed til din organisations netværk.
brandvægge er også kategoriseret ud fra, hvordan de fungerer, og hver type kan konfigureres enten som et program eller en fysisk enhed. Baseret på deres driftsmetode er der fire forskellige typer brandvægge.
pakkefiltrering brandvægge
pakkefiltrering brandvægge er den ældste, mest basale type brandvægge. Opererer på netværkslaget, de kontrollerer simpelthen en datapakke for dens kilde-IP og destinations-IP, protokollen, Kildeporten og destinationsporten mod foruddefinerede regler for at afgøre, om pakken skal sendes eller kasseres. Pakkefiltrering brandvægge er i det væsentlige statsløse og overvåger hver pakke uafhængigt uden spor af den etablerede forbindelse eller de pakker, der tidligere har passeret denne forbindelse. Dette gør disse brandvægge meget begrænsede i deres evne til at beskytte mod avancerede trusler og angreb.
pakkefiltrering brandvægge er hurtige, billige og effektive. Men den sikkerhed, de giver, er meget grundlæggende. Da disse brandvægge ikke kan undersøge indholdet af datapakkerne, er de ikke i stand til at beskytte mod ondsindede datapakker, der kommer fra pålidelige IP-kilder. At være statsløs, de er også sårbare over for Kilde routing angreb og bittesmå fragment angreb. Men på trods af deres minimale funktionalitet, pakkefiltrering brandvægge banede vejen for moderne brandvægge, der tilbyder stærkere og dybere sikkerhed.
porte på Kredsløbsniveau
arbejde på sessionslaget verificerer porte på kredsløbsniveau etablerede TCP-forbindelser (Transmission Control Protocol) og holder styr på de aktive sessioner. De ligner meget pakkefiltrering af brandvægge, idet de udfører en enkelt kontrol og bruger minimale ressourcer. De fungerer dog på et højere lag af Open Systems Interconnection (OSI) – modellen. Primært bestemmer de sikkerheden for en etableret forbindelse. Når en intern enhed indleder en forbindelse med en ekstern vært, opretter porte på kredsløbsniveau en virtuel forbindelse på vegne af den interne enhed for at holde identiteten og IP-adressen på den interne bruger skjult.
kredsløbsporte er omkostningseffektive, forenklede og har næppe nogen indflydelse på et netværks ydeevne. Men deres manglende evne til at inspicere indholdet af datapakker gør dem til en ufuldstændig sikkerhedsløsning alene. En datapakke, der indeholder ondsindet program, kan nemt omgå en port på kredsløbsniveau, hvis den har et legitimt TCP-håndtryk. Derfor er en anden type brandvæg ofte konfigureret oven på porte på kredsløbsniveau for ekstra beskyttelse.
Stateful inspection brandvægge
et skridt foran kredsløbsporte, stateful inspection brandvægge, ud over at verificere og holde styr på etablerede forbindelser, udfører også pakkeinspektion for at give bedre og mere omfattende sikkerhed. De arbejder ved at oprette en tilstandstabel med kilde-IP, destination-IP, kildeport og destinationsport, når en forbindelse er etableret. De opretter deres egne regler dynamisk for at tillade forventet indgående netværkstrafik i stedet for at stole på et hardkodet sæt regler baseret på disse oplysninger. De slipper bekvemt datapakker, der ikke hører til en verificeret aktiv forbindelse.
Stateful inspektion brandvægge kontroller for legitime forbindelser samt kilde-og destinations-IP ‘ er for at bestemme, hvilke datapakker der kan passere igennem. Selvom disse ekstra kontroller giver avanceret sikkerhed, bruger de en masse systemressourcer og kan bremse trafikken betydeligt. Derfor er de tilbøjelige til DDoS (distributed denial-of-service-angreb).
portaler på applikationsniveau (fuldmægtige brandvægge)
portaler på applikationsniveau, også kendt som fuldmægtige brandvægge, implementeres på applikationslaget via en fuldmægtig enhed. I stedet for at en outsider får direkte adgang til dit interne netværk, oprettes forbindelsen via fuldmægtigen. Den eksterne klient sender en anmodning til fuldmægtigen. Efter at have verificeret ægtheden af anmodningen videresender fuldmægtigen den til en af de interne enheder eller servere på kundens vegne. Alternativt kan en intern enhed anmode om adgang til en hjemmeside, og fuldmægtigenheden videresender anmodningen, mens den skjuler identiteten og placeringen af de interne enheder og netværk.
i modsætning til pakkefiltrering af brandvægge udfører fuldmægtige brandvægge stateful og dyb pakkeinspektion for at analysere konteksten og indholdet af datapakker mod et sæt brugerdefinerede regler. Baseret på resultatet tillader eller kasserer de enten en pakke. De beskytter identiteten og placeringen af dine følsomme ressourcer ved at forhindre en direkte forbindelse mellem interne systemer og eksterne netværk. Det kan dog være lidt svært at konfigurere dem til at opnå optimal netværksbeskyttelse. Du skal også huske på afvejningen-en fuldmægtig brandvæg er i det væsentlige en ekstra barriere mellem værten og klienten, forårsager betydelige afmatninger.
Hvad er en næste generations Brandvæg?
næste generations brandvægge er beregnet til at overvinde begrænsningerne ved traditionelle brandvægge, mens de også tilbyder nogle ekstra sikkerhedsfunktioner. På trods af fleksible funktioner og arkitekturer er det, der gør en brandvæg virkelig næste generation, dens evne til at udføre dyb pakkeinspektion ud over port/protokol og pakkeinspektion på overfladeniveau. Selvom der ikke er nogen konkret, aftalt definition, er en næste generations brandvæg ifølge Gartner “en dybpakkeinspektion brandvæg, der bevæger sig ud over port/protokolinspektion og blokering for at tilføje inspektion på applikationsniveau, forebyggelse af indtrængen og bringe intelligens uden for brandvæggen.”
en næste generations brandvæg kombinerer funktionerne i andre typer brandvægge til en enkelt løsning uden at påvirke netværksydelsen. De er mere robuste og tilbyder bredere og dybere sikkerhed end nogen af deres forgængere. Ud over at udføre dyb pakkeinspektion for at opdage anomalier og ondsindede programmer, kommer NGF med applikationsbevidsthedsfunktion til intelligent trafik-og ressourceanalyse. Disse brandvægge er fuldt ud i stand til at blokere DDoS-angreb. De har Secure Sockets Layer (SSL) dekrypteringsfunktionalitet for at få fuldstændig synlighed på tværs af applikationer, der gør det muligt for dem også at identificere og blokere forsøg på databrud fra krypterede applikationer.
næste generations brandvægge kan identificere brugere og brugerroller, men deres forgængere var hovedsageligt afhængige af systemernes IP-adresser. Denne gennembrudsfunktion giver brugerne mulighed for at udnytte trådløse, bærbare enheder, samtidig med at de giver bredspektret sikkerhed på tværs af fleksible arbejdsmiljøer og medbringer dine egne politikker for enhed (BYOD). De kan også omfatte andre teknologier såsom anti-virus og intrusion-prevention systems (IPS) for at tilbyde en mere omfattende tilgang til sikkerhed.
næste generations brandvægge er velegnede til virksomheder, der skal overholde HIPAA-reglerne (Health Insurance Portability and Accountability Act) eller payment card industry (PCI) eller for dem, der ønsker flere sikkerhedsfunktioner integreret i en enkelt løsning. Men de kommer til et højere prispunkt end andre typer brandvægge, og afhængigt af den brandvæg, du vælger, skal din administrator muligvis konfigurere dem med andre sikkerhedssystemer.
hvilken type Brandvæg passer bedst til min organisation?
der er ingen løsning, der passer til alle, der kan opfylde de unikke sikkerhedskrav i hver organisation. Faktisk har hver af de forskellige typer brandvægge sine egne fordele og begrænsninger. Pakkefiltrering brandvægge er forenklet, men tilbyder begrænset sikkerhed, mens stateful inspektion og fuldmagt brandvægge kan kompromittere netværkets ydeevne. Næste generations brandvægge ser ud til at være en komplet pakke, men ikke alle organisationer har budgettet eller ressourcerne til at konfigurere og administrere dem med succes.
da angreb bliver mere sofistikerede, skal din organisations sikkerhedsforsvar indhente. En enkelt brandvæg, der beskytter omkredsen af dit interne netværk mod eksterne trusler, er ikke nok. Hvert aktiv inden for det private netværk har også brug for sin egen individuelle beskyttelse. Det er bedst at anvende en lagdelt tilgang til sikkerhed i stedet for at stole på funktionaliteten af en enkelt brandvæg. Og hvorfor endda slå sig ned på en, når du kan udnytte fordelene ved flere brandvægge i en arkitektur, der er optimeret specifikt til din organisations sikkerhedsbehov.
brug af Parallels RAS til at beskytte adgangen til dine Data
det er lige så skræmmende at opdage og afbøde cyberangreb i et stadigt udviklende trusselslandskab, som det er afgørende. Uanset hvor sofistikerede de er, kan brandvægge alene ikke tilbyde tilstrækkelig beskyttelse. Efterhånden som fleksible arbejdsmiljøer og forretningsmodeller fra hjemmet bliver almindelige, både arbejdsgivere og ansatte skal tage forestående trusler alvorligt. Medarbejdere, der forsøger at få adgang til interne ressourcer eksternt, skal gøre det via et virtuelt privat netværk (VPN) og bruge enheder, der er i overensstemmelse med organisationens politik.
Parallels Karst Remote Application Server (RAS) tilbyder en bred vifte af værktøjer og funktioner til at overvåge og sikre applikationer og data i et multi-cloud-miljø. Det giver avanceret adgangskontrol og detaljerede klientpolitikker for at tillade eller begrænse adgang baseret på MAC-adresse, medieadgangskontrol (Mac), klienttype, IP-adresse, specifik bruger eller brugerrolle.
Parallels Ras forbedret datasikkerhed beskytter også følsomme data og forhindrer uautoriseret adgang via kryptering og multifaktorautentificering ud over meget detaljerede tilladelsespolitikker. Med Parallels RAS kan dine medarbejdere skifte mellem enheder og få adgang til lokale data og applikationer fra ethvert sted, mens dine ressourcer forbliver sikkert inden for det interne netværk.
interesseret i at lære mere om, hvordan Parallels Ras forbedret datasikkerhed kan beskytte dine virksomhedsdata? Hent vores 30-dages prøveversion i dag!