8 jenis firewall dijelaskan

Semua orang memahami fungsi asas firewall - untuk melindungi rangkaian anda dari perisian hasad dan akses yang tidak dibenarkan. Tetapi spesifik tepat bagaimana kerja firewall kurang dikenali.

Apa sebenarnya firewall? Bagaimana pelbagai jenis firewall berfungsi? Dan mungkin yang paling penting - jenis firewall yang terbaik?

Seperti yang anda mungkin mengesyaki, jenis firewall ini tidak begitu berkesan. Semua yang boleh dilakukan oleh firewall penapisan paket adalah mengurangkan trafik rangkaian yang tidak perlu mengikut senarai kawalan akses. Oleh kerana kandungan paket itu sendiri tidak diperiksa, perisian hasad masih boleh dilalui.

Gateway litar litar

Satu lagi cara yang cekap sumber untuk mengesahkan legitimasi sambungan rangkaian adalah gerbang peringkat litar. Daripada menyemak tajuk paket data individu, gerbang peringkat litar mengesahkan sesi itu sendiri.

Sekali lagi, firewall seperti ini tidak melalui kandungan penghantaran itu sendiri, menjadikannya terdedah kepada pelbagai serangan berniat jahat. Bahawa dikatakan, mengesahkan sambungan Protokol Kawalan Transmisi (TCP) dari lapisan sesi model OSI mengambil sumber yang sangat sedikit, dan dapat menutup sambungan rangkaian yang tidak diingini dengan berkesan.

Inilah sebabnya gerbang peringkat litar sering dibina dalam penyelesaian keselamatan rangkaian yang paling banyak, terutama firewall perisian. Gerbang ini juga membantu menutup alamat IP pengguna dengan membuat sambungan maya untuk setiap sesi.

Firewall Pemeriksaan Stateful

Kedua-dua gerbang firewall dan litar litar adalah pelaksanaan firewall tanpa statistik. Ini bermakna mereka beroperasi pada peraturan statik, mengehadkan keberkesanannya. Setiap paket (atau sesi) dirawat secara berasingan, yang membolehkan hanya pemeriksaan yang sangat asas untuk dijalankan.

Firewall Pemeriksaan Stateful, sebaliknya, menjejaki keadaan sambungan, bersama -sama dengan butiran setiap paket yang dihantar melalui itu. Dengan memantau jabat tangan TCP sepanjang tempoh sambungan, firewall pemeriksaan yang berkesudahan dapat menyusun jadual yang mengandungi alamat IP dan nombor port sumber dan destinasi dan memadankan paket yang masuk dengan peraturan dinamik ini.

Terima kasih kepada ini, sukar untuk menyelinap dalam paket data yang berniat jahat melewati firewall pemeriksaan yang berkesudahan. Di sisi lain, firewall semacam ini mempunyai kos sumber yang lebih berat, melambatkan prestasi dan mewujudkan peluang untuk penggodam menggunakan serangan penafian perkhidmatan (DDOS) yang diedarkan terhadap sistem.

Firewall proksi

Lebih baik dikenali sebagai gerbang peringkat aplikasi, firewall proksi beroperasi di lapisan depan model OSI - lapisan aplikasi. Oleh kerana lapisan akhir memisahkan pengguna dari rangkaian, lapisan ini membolehkan pemeriksaan data yang paling teliti dan mahal, dengan kos prestasi.

Sama dengan gerbang peringkat litar, firewall proksi berfungsi dengan memantapkan antara tuan rumah dan pelanggan, menghalang alamat IP dalaman pelabuhan destinasi. Di samping itu, gerbang peringkat aplikasi melakukan pemeriksaan paket yang mendalam untuk memastikan tiada trafik yang berniat jahat.

Dan sementara semua langkah ini dapat meningkatkan keselamatan rangkaian, ia juga melambatkan lalu lintas yang masuk. Prestasi Rangkaian mengambil hit kerana cek intensif sumber yang dijalankan oleh firewall negara seperti ini, menjadikannya miskin sesuai untuk aplikasi sensitif prestasi.

Nat Firewall

Dalam banyak persediaan pengkomputeran, lynchpin utama keselamatan siber adalah untuk memastikan rangkaian peribadi, menyembunyikan alamat IP individu peranti klien dari kedua -dua penggodam dan penyedia perkhidmatan. Seperti yang telah kita lihat, ini dapat dicapai dengan menggunakan firewall proksi atau gerbang peringkat litar.

Kaedah yang lebih mudah menyembunyikan alamat IP adalah dengan menggunakan firewall terjemahan alamat rangkaian (NAT). Firewall NAT tidak memerlukan banyak sumber sistem untuk berfungsi, menjadikannya antara pelayan dan rangkaian dalaman.

Firewall Aplikasi Web

Hanya firewall rangkaian yang beroperasi di lapisan aplikasi dapat melakukan pengimbasan data yang mendalam, seperti firewall proksi, atau lebih baik lagi, firewall aplikasi web (WAF).

Beroperasi dari dalam rangkaian atau tuan rumah, WAF melalui semua data yang dihantar oleh pelbagai aplikasi web, pastikan tidak ada kod berniat jahat. Jenis seni bina firewall ini mengkhususkan diri dalam pemeriksaan paket dan memberikan keselamatan yang lebih baik daripada firewall peringkat permukaan.

Firewall awan

Firewall tradisional, kedua -dua firewall perkakasan serta perisian, tidak skala dengan baik. Mereka mesti dipasang dengan keperluan sistem dalam fikiran, sama ada memberi tumpuan kepada prestasi tinggi trafik atau keselamatan trafik rangkaian yang rendah.

Tetapi firewall awan jauh lebih fleksibel. Digunakan dari awan sebagai pelayan proksi, jenis firewall ini memintas trafik rangkaian sebelum memasuki rangkaian dalaman, membenarkan setiap sesi dan mengesahkan setiap paket data sebelum membiarkannya masuk.

Bahagian yang terbaik adalah bahawa firewall sedemikian dapat ditingkatkan dan turun dalam kapasiti yang diperlukan, menyesuaikan diri dengan tahap lalu lintas yang berlainan. Ditawarkan sebagai perkhidmatan berasaskan awan, ia tidak memerlukan perkakasan dan dikekalkan oleh penyedia perkhidmatan itu sendiri.

Firewall generasi akan datang

Generasi akan datang boleh menjadi istilah yang mengelirukan. Semua industri berasaskan teknologi suka membuang kata kunci seperti ini, tetapi apa maksudnya? Apakah jenis ciri yang memenuhi syarat firewall untuk dianggap gen seterusnya?

Sebenarnya, tidak ada definisi yang ketat. Umumnya, anda boleh mempertimbangkan penyelesaian yang menggabungkan pelbagai jenis firewall ke dalam sistem keselamatan yang cekap tunggal untuk menjadi firewall generasi akan datang (NGFW). Firewall seperti ini mampu pemeriksaan paket yang mendalam sementara juga mengangkat serangan DDOS, menyediakan pertahanan multilayer terhadap penggodam.

Kebanyakan firewall generasi akan datang sering akan menggabungkan pelbagai penyelesaian rangkaian, seperti VPN, sistem pencegahan pencerobohan (IPS), dan juga antivirus menjadi satu pakej yang kuat. Idea ini adalah untuk menawarkan penyelesaian lengkap yang menangani semua jenis kelemahan rangkaian, memberikan keselamatan rangkaian mutlak. Untuk tujuan ini, sesetengah NGFWS boleh menyahsulit Lapisan Lapisan Secure (SSL) juga, membolehkan mereka melihat serangan yang disulitkan juga.

Jenis firewall mana yang terbaik untuk melindungi rangkaian anda?

Perkara mengenai firewall adalah bahawa pelbagai jenis firewall menggunakan pendekatan yang berbeza untuk melindungi rangkaian.

Firewall yang paling mudah hanya mengesahkan sesi dan paket, tidak melakukan apa -apa dengan kandungannya. Firewall Gateway adalah mengenai mewujudkan sambungan maya dan mencegah akses ke alamat IP peribadi. Firewall yang berkesudahan menjejaki sambungan melalui jabat tangan TCP mereka, membina meja negeri dengan maklumat.

Kemudian ada firewall generasi akan datang, yang menggabungkan semua proses di atas dengan pemeriksaan paket yang mendalam dan ciri-ciri perlindungan rangkaian lain. Adalah jelas untuk mengatakan bahawa NGFW akan menyediakan sistem anda dengan keselamatan terbaik, tetapi itu tidak selalu jawapan yang betul.

Bergantung pada kerumitan rangkaian anda dan jenis aplikasi yang dijalankan, sistem anda mungkin lebih baik dengan penyelesaian yang lebih mudah yang melindungi serangan yang paling biasa. Idea terbaik mungkin hanya menggunakan perkhidmatan firewall awan pihak ketiga, mengimbangi penalaan halus dan pemeliharaan firewall kepada penyedia perkhidmatan.