Lær det grunnleggende om de ulike typene brannmurer, forskjellen mellom dem og hvordan hver type kan beskytte nettverket ditt på forskjellige måter.
en brannmur er et grunnleggende, men viktig lag av sikkerhet som fungerer som en barriere mellom ditt private nettverk og omverdenen. Fra første generasjon, statsløse brannmurer til neste generasjons brannmurer har brannmurarkitekturer utviklet seg enormt de siste fire tiårene. I dag kan organisasjoner velge mellom flere typer brannmurer-inkludert gatewayer på applikasjonsnivå (proxy-brannmurer), tilstandsrike inspeksjonsbrannmurer og gatewayer på kretsnivå—og til og med bruke flere typer samtidig for en omfattende sikkerhetsløsning med dype lag.
Hva Er En Brannmur, Og Hva Brukes Den til?
en brannmur er et sikkerhetsverktøy som overvåker innkommende og / eller utgående nettverkstrafikk for å oppdage og blokkere skadelige datapakker basert på forhåndsdefinerte regler, slik at bare legitim trafikk kan komme inn i ditt private nettverk. Implementert som maskinvare, programvare eller begge deler, er brannmurer vanligvis din første forsvarslinje mot skadelig programvare, virus og angripere som prøver å gjøre det til organisasjonens interne nettverk og systemer.
I likhet med en gjennomgående metalldetektordør ved en bygnings hovedinngang, inspiserer en fysisk eller maskinvarebrannmur hver datapakke før den slippes inn. Den sjekker for kilde-og destinasjonsadressene, og basert på forhåndsdefinerte regler, bestemmer den om en datapakke skal passere gjennom eller ikke. Når en datapakke er inne i organisasjonens intranett, kan en programvarebrannmur filtrere trafikken ytterligere for å tillate eller blokkere tilgang til bestemte porter og programmer på et datasystem, noe som gir bedre kontroll og sikkerhet mot insider-trusler.
en tilgangskontrollliste kan definere bestemte Ip-adresser (Internet Protocol) som ikke kan klareres. Brannmuren vil slippe datapakker som kommer fra Disse Ip-Ene. Alternativt kan tilgangskontrolllisten angi Ip-adresser med klarert kilde, og brannmuren tillater bare trafikken som kommer fra De oppførte Ip-Ene. Det finnes flere teknikker for å sette opp en brannmur. Omfanget av sikkerheten de gir, avhenger også generelt av typen brannmur og hvordan den er konfigurert.
Hva Er Typer Brannmurer?
Strukturelt kan brannmurer være programvare, maskinvare eller en kombinasjon av begge. Programvarebrannmurer installeres separat på individuelle enheter. De gir mer granulær kontroll, ved at de kan gi tilgang til ett program eller en funksjon mens de blokkerer andre. Men de kan være dyre når det gjelder ressurser, siden de bruker CPU og RAM på enhetene de er installert på, og administratorer må konfigurere og administrere dem individuelt for hver enhet. I tillegg kan det hende at alle enheter i et intranett ikke er kompatible med en enkelt programvarebrannmur, og det kan være nødvendig med flere forskjellige brannmurer.
Maskinvarebrannmurer, derimot, er fysiske enheter, hver med sine egne databehandlingsressurser. De fungerer som gateways mellom interne nettverk og internett, holde datapakker og trafikkforespørsler fra uklarerte kilder utenfor det private nettverket. Fysiske brannmurer er ganske praktiske for organisasjoner med mange enheter på samme nettverk. Selv om de blokkerer skadelig trafikk godt før den når noen av endepunktene, gir de ikke sikkerhet mot innsideangrep. Derfor kan en kombinasjon av både programvare-og maskinvarebrannmurer gi optimal sikkerhet til organisasjonens nettverk.
Brannmurer er også kategorisert basert på hvordan De fungerer, og hver type kan settes opp enten som en programvare eller en fysisk enhet. Basert på deres metode for drift, er det fire forskjellige typer brannmurer.
Pakkefiltreringsbrannmurer
Pakkefiltreringsbrannmurer er den eldste, mest grunnleggende typen brannmurer. Opererer på nettverkslaget, de bare sjekke en datapakke for sin kilde IP OG destinasjon IP, protokollen, kilde port og målport mot forhåndsdefinerte regler for å avgjøre om å passere eller forkaste pakken. Pakkefiltreringsbrannmurer er i hovedsak statsløse, overvåker hver pakke uavhengig uten spor av den etablerte forbindelsen eller pakkene som har passert gjennom den forbindelsen tidligere. Dette gjør disse brannmurene svært begrenset i deres evne til å beskytte mot avanserte trusler og angrep.
Pakkefiltreringsbrannmurer er raske, billige og effektive. Men sikkerheten de gir er veldig grunnleggende. Siden disse brannmurene ikke kan undersøke innholdet i datapakkene, er de ikke i stand til å beskytte mot skadelige datapakker som kommer fra Klarerte kilde-Ip-Er. Å være statsløse, de er også sårbare for kilde ruting angrep og små fragment angrep. Men til tross for deres minimale funksjonalitet banet pakkefiltreringsbrannmurer vei for moderne brannmurer som gir sterkere og dypere sikkerhet.
Gatewayer På Kretsnivå
gatewayer på kretsnivå kontrollerer etablerte tcp-tilkoblinger (Transmission Control Protocol) og holder oversikt over de aktive øktene. De er ganske lik pakke filtrering brannmurer i at de utfører en enkelt sjekk og utnytte minimale ressurser. Imidlertid fungerer De på et høyere lag Av OPEN Systems Interconnection (OSI) – modellen. Primært bestemmer de sikkerheten til en etablert forbindelse. Når en intern enhet starter en tilkobling med en ekstern vert, oppretter gatewayer på kretsnivå en virtuell tilkobling på vegne av den interne enheten for å holde identiteten og IP-adressen til den interne brukeren skjult.
Gatewayer På Kretsnivå er kostnadseffektive, forenklede og har knapt noen innvirkning på nettverksytelsen. Men deres manglende evne til å inspisere innholdet i datapakker gjør dem til en ufullstendig sikkerhetsløsning alene. En datapakke som inneholder malware kan omgå en krets-nivå gateway lett hvis den har en legitim TCP håndtrykk. Det er derfor en annen type brannmur er ofte konfigurert på toppen av krets-nivå gateways for ekstra beskyttelse.
Stateful inspection firewalls
et skritt foran kretsnivå gateways, stateful inspection firewalls, i tillegg til å verifisere og holde styr på etablerte tilkoblinger, utfører også pakkeinspeksjon for å gi bedre og mer omfattende sikkerhet. De arbeider ved å opprette en tilstand tabell med kilde IP, destinasjon IP, kilde port og målport når en tilkobling er etablert. De lager sine egne regler dynamisk for å tillate forventet innkommende nettverkstrafikk i stedet for å stole på et hardkodet sett med regler basert på denne informasjonen. De slipper enkelt datapakker som ikke tilhører en verifisert aktiv tilkobling.
Tilstandsfulle inspeksjonsbrannmurer sjekker etter legitime tilkoblinger samt kilde-Og destinasjons-Iper for å avgjøre hvilke datapakker som kan passere gjennom. Selv om disse ekstra kontrollene gir avansert sikkerhet, bruker de mye systemressurser og kan redusere trafikken betydelig. Derfor er De utsatt For DDoS (distributed denial-of-service angrep).
Gatewayer På Applikasjonsnivå (proxy-brannmurer)
Gatewayer på Applikasjonsnivå, også kjent som proxy-brannmurer, implementeres på applikasjonslaget via en proxy-enhet. I stedet for at en utenforstående får tilgang til det interne nettverket direkte, etableres forbindelsen via proxy-brannmuren. Den eksterne klienten sender en forespørsel til proxy-brannmuren. Etter å ha bekreftet ektheten av forespørselen, videresender proxy-brannmuren den til en av de interne enhetene eller serverne på klientens vegne. Alternativt kan en intern enhet be om tilgang til en nettside, og proxy-enheten vil videresende forespørselen mens du skjuler identiteten og plasseringen til de interne enhetene og nettverket.
i Motsetning til pakkefiltreringsbrannmurer utfører proxy-brannmurer tilstandsfull og dyp pakkeinspeksjon for å analysere konteksten og innholdet i datapakker mot et sett med brukerdefinerte regler. Basert på utfallet, de enten tillate eller forkaste en pakke. De beskytter identiteten og plasseringen av sensitive ressurser ved å hindre en direkte forbindelse mellom interne systemer og eksterne nettverk. Det kan imidlertid være litt vanskelig å konfigurere dem for å oppnå optimal nettverksbeskyttelse. Du må også huske på bytte—en proxy-brannmur er i hovedsak en ekstra barriere mellom verten og klienten, noe som forårsaker betydelige forsinkelser.
Hva Er En Neste Generasjons Brannmur?
Neste generasjons brannmurer (NGFWs) er ment å overvinne begrensningene i tradisjonelle brannmurer, samtidig som de tilbyr noen ekstra sikkerhetsfunksjoner også. Til tross for fleksible funksjoner og arkitekturer, er det som gjør en brannmur virkelig neste generasjon evnen til å utføre dyp pakkeinspeksjon i tillegg til port / protokoll og overflatenivå pakkeinspeksjon. Selv om Det ikke er noen konkret, avtalt definisjon, ifølge Gartner, er en neste generasjons brannmur » en dyp-pakke inspeksjonsbrannmur som beveger seg utover port/protokollinspeksjon og blokkering for å legge til inspeksjon på applikasjonsnivå, inntrengingsforebygging og bringe intelligens fra utenfor brannmuren.»
en neste generasjons brannmur kombinerer funksjonene til andre typer brannmurer i en enkelt løsning uten å påvirke nettverksytelsen. De er mer robuste og tilbyr bredere og dypere sikkerhet enn noen av sine forgjengere. I tillegg til å utføre dyp pakkeinspeksjon for å oppdage anomalier og skadelig programvare, Kommer NGFWs med applikasjonsbevissthet for intelligent trafikk-og ressursanalyse. Disse brannmurene er fullt i stand til å blokkere DDoS-angrep. De har Secure Sockets Layer (SSL) dekrypteringsfunksjonalitet for å få fullstendig synlighet på tvers av applikasjoner, slik at de også kan identifisere og blokkere datainnbruddsforsøk fra krypterte applikasjoner.
neste generasjons brannmurer kan identifisere brukere og brukerroller, men deres forgjengere stod hovedsakelig på ip-adressene til systemer. Denne gjennombruddsfunksjonen gjør det mulig for brukere å utnytte trådløse, bærbare enheter samtidig som det gir bredspektret sikkerhet på tvers av fleksible arbeidsmiljøer og bring your own device (BYOD) – retningslinjer. De kan også inkludere andre teknologier som anti-virus og intrusion-prevention systems (IPS) for å tilby en mer omfattende tilnærming til sikkerhet.
Neste generasjons brannmurer er egnet for bedrifter som trenger Å overholde Health Insurance Portability and Accountability Act (HIPAA) eller payment card industry (PCI) regler eller for de som ønsker flere sikkerhetsfunksjoner integrert i en enkelt løsning. Men de kommer til et høyere prispunkt enn andre typer brannmurer, og avhengig av brannmuren du velger, må administratoren kanskje konfigurere dem med andre sikkerhetssystemer.
Hvilken Type Brannmur Passer Best For Organisasjonen min?
det er ingen løsning som passer alle størrelser som kan oppfylle de unike sikkerhetskravene til hver organisasjon. Faktisk har hver av de forskjellige typer brannmurer sine egne fordeler og begrensninger. Pakkefiltreringsbrannmurer er enkle, men gir begrenset sikkerhet, mens tilstandsinspeksjon og proxy-brannmurer kan kompromittere nettverksytelsen. Neste generasjons brannmurer ser ut til å være en komplett pakke, men ikke alle organisasjoner har budsjettet eller ressursene til å konfigurere og administrere dem med hell.
etter hvert som angrepene blir mer sofistikerte, må organisasjonens sikkerhetsforsvar ta igjen. En enkelt brannmur som beskytter omkretsen av det interne nettverket mot eksterne trusler, er ikke nok. Hver eiendel i det private nettverket trenger også sin egen individuelle beskyttelse. Det er best å vedta en lagdelt tilnærming mot sikkerhet i stedet for å stole på funksjonaliteten til en enkelt brannmur. Og hvorfor til og med slå deg til ro med en når du kan dra nytte av fordelene med flere brannmurer i en arkitektur som er optimalisert spesielt for organisasjonens sikkerhetsbehov.
Bruk Av Parallels RAS For Å Beskytte Tilgangen Til Dataene Dine
Det Er like skremmende som det er avgjørende Å Oppdage og begrense cyberangrep i et trussellandskap i stadig utvikling. Uansett hvor sofistikert de er, brannmurer alene kan ikke tilby nok beskyttelse. Etter hvert som fleksible arbeidsmiljøer og forretningsmodeller fra hjemmet blir vanlige, må arbeidsgivere og ansatte ta overhengende trusler alvorlig. Ansatte som prøver å få tilgang til interne ressurser eksternt, må gjøre det via et virtuelt privat nettverk (VPN) og bruke enheter som er i samsvar med organisasjonens policy.
Parallels® Remote Application Server (RAS) tilbyr et bredt spekter av verktøy og funksjoner for å overvåke og sikre applikasjoner og data i et multi-cloud miljø. Den gir avansert tilgangskontroll og granulære klientpolicyer for å tillate eller begrense tilgang basert på gateway, media access control (MAC) adresse, klienttype, IP-adresse, spesifikk bruker eller brukerrolle.
Parallels ras enhanced data security beskytter også sensitive data og forhindrer uautorisert tilgang gjennom kryptering og flerfaktorautentisering i tillegg til svært detaljerte tillatelsespolicyer. Med Parallels RAS kan dine ansatte bytte mellom enheter og få tilgang til lokale data og programmer fra hvor som helst, mens ressursene dine forblir sikkert i det interne nettverket.
interessert i å lære mer om Hvordan Parallels ras enhanced data security kan beskytte bedriftens data? Last ned vår 30-dagers prøveversjon i dag!