lär dig grunderna om de olika typerna av brandväggar, skillnaden mellan dem och hur varje typ kan skydda ditt nätverk på olika sätt.
en brandvägg är ett grundläggande men viktigt säkerhetslager som fungerar som en barriär mellan ditt privata nätverk och omvärlden. Från första generationens, statslösa brandväggar till nästa generations brandväggar har brandväggsarkitekturer utvecklats enormt under de senaste fyra decennierna. Idag kan organisationer välja mellan flera typer av brandväggar-inklusive gateways på applikationsnivå (proxy brandväggar), stateful inspection brandväggar och gateways på kretsnivå-och till och med använda flera typer samtidigt för en djupgående, omfattande säkerhetslösning.
Vad är en brandvägg och vad används den till?
en brandvägg är ett säkerhetsverktyg som övervakar inkommande och/eller utgående nätverkstrafik för att upptäcka och blockera skadliga datapaket baserat på fördefinierade regler, så att endast legitim trafik kan komma in i ditt privata nätverk. Implementerad som hårdvara, programvara eller båda är brandväggar vanligtvis din första försvarslinje mot skadlig kod, virus och angripare som försöker göra det till organisationens interna nätverk och system.
precis som en genomgående metalldetektordörr vid en byggnads huvudingång inspekterar en fysisk eller hårdvarubrandvägg varje datapaket innan den släpps in. Den kontrollerar käll-och destinationsadresserna, och baserat på fördefinierade regler bestämmer den om ett datapaket ska passera eller inte. När ett datapaket finns i organisationens intranät kan en brandvägg ytterligare filtrera trafiken för att tillåta eller blockera åtkomst till specifika portar och applikationer på ett datorsystem, vilket möjliggör bättre kontroll och säkerhet från insiderhot.
en åtkomstkontrolllista kan definiera specifika IP-adresser (Internet Protocol) som inte kan lita på. Brandväggen kommer att släppa alla datapaket som kommer från dessa IP-adresser. Alternativt kan åtkomstkontrolllistan ange IP-adresser för betrodd källa, och brandväggen tillåter bara trafiken från de listade IP-adresserna. Det finns flera tekniker för att ställa in en brandvägg. Omfattningen av säkerhet de tillhandahåller beror också i allmänhet på typen av brandvägg och hur den är konfigurerad.
vilka typer av brandväggar?
strukturellt kan brandväggar vara programvara, hårdvara eller en kombination av båda. Programvarubrandväggar installeras separat på enskilda enheter. De ger mer detaljerad kontroll, genom att de kan tillåta åtkomst för en applikation eller funktion medan de blockerar andra. Men de kan vara dyra när det gäller resurser eftersom de använder CPU och RAM för de enheter de är installerade på, och administratörer måste konfigurera och hantera dem individuellt för varje enhet. Dessutom kanske alla enheter i ett intranät inte är kompatibla med en enda brandvägg, och flera olika brandväggar kan krävas.
hårdvarubrandväggar är å andra sidan fysiska enheter, var och en med sina egna datorresurser. De fungerar som gateways mellan interna nätverk och internet och håller datapaket och trafikförfrågningar från otillförlitliga källor utanför det privata nätverket. Fysiska brandväggar är ganska praktiska för organisationer med många enheter i samma nätverk. Medan de blockerar skadlig trafik långt innan den når någon av slutpunkterna, ger de inte säkerhet mot insiderattacker. Därför kan en kombination av både mjukvaru-och hårdvarubrandväggar ge optimal säkerhet för organisationens nätverk.
brandväggar kategoriseras också baserat på hur de fungerar, och varje typ kan ställas in antingen som en programvara eller en fysisk enhet. Baserat på deras arbetssätt finns det fyra olika typer av brandväggar.
Paketfiltreringsbrandväggar
Paketfiltreringsbrandväggar är den äldsta, mest grundläggande typen av brandväggar. De arbetar i nätverkskiktet och kontrollerar helt enkelt ett datapaket för dess käll-IP och destinations-IP, protokollet, Källporten och destinationsporten mot fördefinierade regler för att avgöra om paketet ska skickas eller kasseras. Paketfiltreringsbrandväggar är i huvudsak statslösa och övervakar varje paket oberoende utan något spår av den etablerade anslutningen eller de paket som tidigare har passerat den anslutningen. Detta gör dessa brandväggar mycket begränsade i sin förmåga att skydda mot avancerade hot och attacker.
Paketfiltreringsbrandväggar är snabba, billiga och effektiva. Men den säkerhet de ger är mycket grundläggande. Eftersom dessa brandväggar inte kan undersöka innehållet i datapaketen kan de inte skydda mot skadliga datapaket som kommer från betrodda käll-IP-adresser. Eftersom de är statslösa är de också sårbara för källdirigeringsattacker och små fragmentattacker. Men trots sin minimala funktionalitet banade paketfiltreringsbrandväggar vägen för moderna brandväggar som erbjuder starkare och djupare säkerhet.
Gateways på kretsnivå
arbeta på sessionslager, Gateways på kretsnivå verifierar etablerade TCP-anslutningar (Transmission Control Protocol) och håller reda på de aktiva sessionerna. De är ganska lik paketfiltrering brandväggar genom att de utför en enda kontroll och utnyttja minimala resurser. De fungerar dock på ett högre lager av OSI-modellen (Open Systems Interconnection). I första hand bestämmer de säkerheten för en etablerad anslutning. När en intern enhet initierar en anslutning med en fjärrvärd, skapar Gateways på kretsnivå en virtuell anslutning på uppdrag av den interna enheten för att hålla identiteten och IP-adressen för den interna användaren dold.
Gateways på kretsnivå är kostnadseffektiva, förenklade och har knappt någon inverkan på nätverkets prestanda. Men deras oförmåga att inspektera innehållet i datapaket gör dem till en ofullständig säkerhetslösning på egen hand. Ett datapaket som innehåller skadlig kod kan enkelt kringgå en gateway på kretsnivå om den har ett legitimt TCP-handslag. Det är därför en annan typ av brandvägg ofta konfigureras ovanpå Gateways på kretsnivå för extra skydd.
Stateful inspection firewalls
ett steg före Gateways på kretsnivå, stateful inspection firewalls, förutom att verifiera och hålla reda på etablerade anslutningar, utför också paketinspektion för att ge bättre och mer omfattande säkerhet. De fungerar genom att skapa en statstabell med käll-IP, destinations-IP, källport och destinationsport när en anslutning har upprättats. De skapar sina egna regler dynamiskt för att tillåta förväntad inkommande nätverkstrafik istället för att förlita sig på en hårdkodad uppsättning regler baserade på denna information. De släpper bekvämt datapaket som inte hör till en verifierad aktiv anslutning.
Stateful inspection firewalls kontrollerar legitima anslutningar samt käll-och destinations-IP-adresser för att bestämma vilka datapaket som kan passera igenom. Även om dessa extra kontroller ger avancerad säkerhet, förbrukar de mycket systemresurser och kan sakta ner trafiken avsevärt. Därför är de benägna att DDoS (distributed denial-of-service attacks).
Gateways på applikationsnivå (proxybrandväggar)
Gateways på applikationsnivå, även kända som proxybrandväggar, implementeras i applikationslagret via en proxyenhet. Istället för att en utomstående kommer åt ditt interna nätverk direkt, upprättas anslutningen via proxy-brandväggen. Den externa klienten skickar en begäran till proxy-brandväggen. Efter att ha verifierat äktheten av begäran vidarebefordrar proxy-brandväggen den till en av de interna enheterna eller servrarna på klientens vägnar. Alternativt kan en intern enhet begära åtkomst till en webbsida, och proxyenheten vidarebefordrar begäran medan den döljer identiteten och platsen för de interna enheterna och nätverket.
till skillnad från paketfiltreringsbrandväggar utför proxybrandväggar statlig och djup paketinspektion för att analysera sammanhanget och innehållet i datapaket mot en uppsättning användardefinierade regler. Baserat på resultatet tillåter eller kasserar de antingen ett paket. De skyddar identiteten och platsen för dina känsliga resurser genom att förhindra en direkt koppling mellan interna system och externa nätverk. Att konfigurera dem för att uppnå optimalt nätverksskydd kan dock vara lite svårt. Du måste också komma ihåg avvägningen—en proxy-brandvägg är i huvudsak en extra barriär mellan värden och klienten, vilket orsakar betydande avmattningar.
Vad är nästa generations brandvägg?
nästa generations brandväggar (Ngfws) är avsedda att övervinna begränsningarna hos traditionella brandväggar samtidigt som de erbjuder några ytterligare säkerhetsfunktioner. Trots flexibla funktioner och arkitekturer är det som gör en brandvägg verkligen nästa generation dess förmåga att utföra djup paketinspektion utöver port/protokoll och ytnivåpaketinspektion. Även om det inte finns någon konkret, överenskommen definition, enligt Gartner, är en nästa generations brandvägg ” en djuppaketinspektionsbrandvägg som rör sig bortom port/protokollinspektion och blockering för att lägga till inspektionsnivå på applikationsnivå, förebyggande av intrång och föra intelligens utanför brandväggen.”
en nästa generations brandvägg kombinerar funktionerna i andra typer av brandväggar till en enda lösning utan att påverka nätverksprestanda. De är mer robusta och erbjuder bredare och djupare säkerhet än någon av sina föregångare. Förutom att utföra djup paketinspektion för att upptäcka avvikelser och skadlig kod, kommer NGFWs med applikationsmedvetenhetsfunktion för intelligent trafik och resursanalys. Dessa brandväggar är fullt kapabla att blockera DDoS-attacker. De har Secure Sockets Layer (SSL) dekrypteringsfunktionalitet för att få fullständig synlighet över applikationer som gör det möjligt för dem att identifiera och blockera dataintrångsförsök från krypterade applikationer också.
nästa generations brandväggar kan identifiera användare och användarroller, men deras föregångare förlitade sig främst på systemens IP-adresser. Denna genombrottsfunktion gör det möjligt för användare att utnyttja trådlösa, bärbara enheter samtidigt som de tillhandahåller bredspektrumssäkerhet i flexibla arbetsmiljöer och bring your own device (BYOD)-policyer. De kan också införliva annan teknik som antivirus-och intrångsförebyggande system (IPS) för att erbjuda en mer omfattande strategi för säkerhet.
nästa generations brandväggar är lämpliga för företag som behöver följa HIPAA-reglerna (Health Insurance Portability and Accountability Act) eller PCI-reglerna (payment card industry) eller för dem som vill ha flera säkerhetsfunktioner integrerade i en enda lösning. Men de kommer till en högre prispunkt än andra typer av brandväggar, och beroende på vilken brandvägg du väljer kan din administratör behöva konfigurera dem med andra säkerhetssystem.
vilken typ av brandvägg passar bäst för min organisation?
det finns ingen lösning som passar alla som kan uppfylla de unika säkerhetskraven för varje organisation. Faktum är att var och en av de olika typerna av brandväggar har sina egna fördelar och begränsningar. Paketfiltrering brandväggar är förenklade men erbjuder begränsad säkerhet, medan stateful inspektion och proxy brandväggar kan äventyra nätverksprestanda. Nästa generations brandväggar verkar vara ett komplett paket, men inte alla organisationer har budgeten eller resurserna för att konfigurera och hantera dem framgångsrikt.
när attacker blir mer sofistikerade måste din organisations säkerhetsförsvar komma ikapp. En enda brandvägg som skyddar omkretsen av ditt interna nätverk från externa hot räcker inte. Varje tillgång inom det privata nätverket behöver också sitt eget individuella skydd. Det är bäst att anta ett skiktat tillvägagångssätt mot säkerhet istället för att förlita sig på funktionaliteten hos en enda brandvägg. Och varför till och med nöja dig med en när du kan utnyttja fördelarna med flera brandväggar i en arkitektur optimerad specifikt för din organisations säkerhetsbehov.
använda Parallels RAS för att skydda åtkomst till dina Data
att upptäcka och mildra cyberattacker i ett ständigt utvecklande hotlandskap är lika skrämmande som det är avgörande. Oavsett hur sofistikerade de är kan brandväggar inte erbjuda tillräckligt med skydd. När flexibla arbetsmiljöer och affärsmodeller från hemmet blir vanliga måste arbetsgivare och anställda ta överhängande hot allvarligt. Anställda som försöker få tillgång till interna resurser på distans måste göra det via ett virtuellt privat nätverk (VPN) och använda enheter som överensstämmer med organisationens policy.
Parallels Bisexual Remote Application Server (RAS) erbjuder ett brett utbud av verktyg och funktioner för att övervaka och säkra applikationer och data i en multimolnmiljö. Det ger avancerad åtkomstkontroll och granulära klientpolicyer för att tillåta eller begränsa åtkomst baserat på gateway, MAC-adress (media access control), klienttyp, IP-adress, specifik användare eller användarroll.
Parallels RAS enhanced data security skyddar också känslig data och förhindrar obehörig åtkomst genom kryptering och multifaktorautentisering utöver mycket granulära behörighetspolicyer. Med Parallels RAS kan dina anställda växla mellan enheter och få tillgång till lokala data och applikationer från vilken plats som helst, samtidigt som dina resurser förblir säkert i det interna nätverket.
intresserad av att lära dig mer om hur Parallels RAS enhanced data security kan skydda dina företagsdata? Ladda ner vår 30-dagars testversion idag!