8 típusú tűzfal magyarázata
Mindenki ismeri a tűzfal alapvető funkcióját – hogy megvédje hálózatát a rosszindulatú programoktól és az illetéktelen hozzáféréstől. De a tűzfalak működésének pontos jellemzői kevésbé ismertek.
Mi is pontosan a tűzfal(firewall) ? Hogyan működnek a különböző típusú tűzfalak? És ami talán a legfontosabb – melyik típusú tűzfal a legjobb?
Tűzfal 101
Egyszerűen(Simply) fogalmazva, a tűzfal csak egy másik hálózati végpont. Különlegessége az a képessége, hogy elfogja és átvizsgálja a bejövő forgalmat, mielőtt az belépne a belső hálózatba, megakadályozva a rosszindulatú szereplők hozzáférését.
Az egyes kapcsolatok hitelesítésének ellenőrzése, a cél IP-címének elrejtése a hackerek elől, és még az egyes adatcsomagok tartalmának átvizsgálása is – a tűzfalak mindent megtesznek. A tűzfal egyfajta ellenőrzőpontként szolgál, gondosan ellenőrzi a beengedett kommunikáció típusát.
Csomagszűrő tűzfalak
A csomagszűrő tűzfalak a legegyszerűbb és legkevésbé erőforrásigényes tűzfaltechnológiák. Noha ez manapság nem kedvelt, a régi számítógépek hálózati védelmének alapvető eszközei voltak.
A csomagszűrő tűzfal csomagszinten működik, és minden egyes bejövő csomagot átvizsgál a hálózati útválasztóról. De valójában nem ellenőrzi az adatcsomagok tartalmát – csak a fejlécet. Ez lehetővé teszi a tűzfal számára, hogy ellenőrizze a metaadatokat, például a forrás- és célcímeket, portszámokat stb.
Amint azt sejtheti, ez a fajta tűzfal nem túl hatékony. Egy csomagszűrő tűzfal mindössze annyit tud tenni, hogy csökkenti a szükségtelen hálózati forgalmat a hozzáférés-vezérlési lista szerint. Mivel magát a csomag tartalmát nem ellenőrzik, a rosszindulatú programok továbbra is átjuthatnak.
Áramköri szintű átjárók
Egy másik erőforrás-hatékony módszer a hálózati kapcsolatok legitimitásának ellenőrzésére az áramköri szintű átjáró. Az egyes adatcsomagok fejléceinek ellenőrzése helyett egy áramköri szintű átjáró magát a munkamenetet ellenőrzi.
Ismét egy ilyen tűzfal nem megy át magának az átvitelnek a tartalmán, így sebezhetővé válik egy sor rosszindulatú támadásnak. Ennek ellenére a Transmission Control Protocol ( TCP ) kapcsolatok ellenőrzése az OSI -modell munkamenet-rétegéből nagyon kevés erőforrást igényel, és hatékonyan leállíthatja a nemkívánatos hálózati kapcsolatokat.
Ez az oka annak, hogy az áramköri szintű átjárókat gyakran beépítik a legtöbb hálózati biztonsági megoldásba, különösen a szoftveres tűzfalakba. Ezek az átjárók a felhasználó IP-címének elfedésében is segítenek virtuális kapcsolatok létrehozásával minden munkamenethez.
Állapotalapú ellenőrzési tűzfalak
Mind a Packet-Filtering Firewall , mind a Circuit Level Gateway állapot nélküli tűzfalmegvalósítások. Ez azt jelenti, hogy statikus szabályrendszer alapján működnek, ami korlátozza hatékonyságukat. Minden csomagot (vagy munkamenetet) külön kezelünk, ami csak nagyon alapvető ellenőrzések elvégzését teszi lehetővé.
A Stateful Inspection Firewall viszont nyomon követi a kapcsolat állapotát, valamint a rajta keresztül továbbított összes csomag részleteit. A TCP - kézfogás figyelésével a kapcsolat teljes időtartama alatt az állapotjelző tűzfal képes összeállítani egy táblázatot, amely tartalmazza a forrás és a cél IP-címeit és portszámait, és egyezteti a bejövő csomagokat ezzel a dinamikus szabálykészlettel.
Ennek köszönhetően nehéz a rosszindulatú adatcsomagok átjutása az állapotjelző tűzfalon túl. A másik oldalon az ilyen típusú tűzfal nagyobb erőforrás-költséggel jár, lelassítja a teljesítményt, és lehetőséget teremt a hackerek számára, hogy elosztott szolgáltatásmegtagadási(Denial-of-Service) ( DDoS ) támadásokat alkalmazzanak a rendszer ellen.
Proxy tűzfalak
Ismertebb(Better) nevén Application Level Gateway(Application Level Gateways) , a proxy tűzfalak az (Proxy Firewalls)OSI modell elülső rétegében – az alkalmazási rétegben – működnek . A felhasználót a hálózattól elválasztó utolsó rétegként ez a réteg teszi lehetővé az adatcsomagok legalaposabb és legdrágább ellenőrzését a teljesítmény árán.
Az áramköri szintű átjárókhoz(Circuit-Level Gateways) hasonlóan a proxy tűzfalak(Proxy Firewalls) is úgy működnek, hogy közbenjárnak a gazdagép és a kliens között, elhomályosítva a célportok belső IP-címeit. Ezenkívül az alkalmazásszintű átjárók mélyreható csomagellenőrzést végeznek annak biztosítására, hogy ne juthasson át rosszindulatú forgalom.
És bár mindezek az intézkedések jelentősen növelik a hálózat biztonságát, lelassítják a bejövő forgalmat is. A hálózati(Network) teljesítményt az állapotjelző tűzfal erőforrás-igényes ellenőrzései okozzák, így rosszul illeszkedik a teljesítmény-érzékeny alkalmazásokhoz.
NAT tűzfalak
Számos számítástechnikai beállításban a kiberbiztonság kulcsfontosságú eleme a privát hálózat biztosítása, elrejtve a klienseszközök egyedi IP-címeit a hackerek és a szolgáltatók elől. Amint azt már láttuk, ez proxy(Proxy) tűzfallal vagy áramköri szintű átjáróval valósítható meg .
Az IP-címek elrejtésének sokkal egyszerűbb módja a hálózati(Network Address Translation) címfordító ( NAT ) tűzfal(Firewall) használata . A NAT(NAT) -tűzfalak működéséhez nincs szükség sok rendszererőforrásra, így a kiszolgálók és a belső hálózat közötti összeköttetést jelentik.
Webes alkalmazások tűzfalai
Csak az alkalmazási rétegben működő hálózati tűzfalak(Network Firewalls) képesek az adatcsomagok mélyreható vizsgálatára, mint például a proxy tűzfal(Proxy Firewall) , vagy ami még jobb, a webalkalmazási tűzfal(Web Application Firewall) ( WAF ).
A hálózaton vagy a gazdagépen belül működő WAF átmegy a különféle webalkalmazások által továbbított összes adaton, ügyelve arra, hogy ne kerüljön át rosszindulatú kód. Az ilyen típusú tűzfalarchitektúra a csomagok vizsgálatára specializálódott, és jobb biztonságot nyújt, mint a felületi szintű tűzfalak.
Felhő tűzfalak
A hagyományos tűzfalak, mind a hardveres, mind a szoftveres tűzfalak nem skálázhatók jól. Ezeket a rendszer igényeit szem előtt tartva kell telepíteni, akár a nagy forgalmi teljesítményre, akár az alacsony hálózati forgalom biztonságára összpontosítva.
A felhőtűzfalak(Cloud Firewalls) azonban sokkal rugalmasabbak. A felhőből proxyszerverként telepített tűzfal ez a fajta tűzfal elfogja a hálózati forgalmat, mielőtt az belépne a belső hálózatba, engedélyezve minden munkamenetet, és ellenőrizve minden adatcsomagot, mielőtt beengedné azokat.
A legjobb az egészben az, hogy az ilyen tűzfalak kapacitása szükség szerint növelhető és csökkenthető, alkalmazkodva a bejövő forgalom különböző szintjeihez. Felhőalapú szolgáltatásként kínálják, nem igényel hardvert, és maga a szolgáltató karbantartja.
Következő generációs tűzfalak
A következő generáció félrevezető kifejezés lehet. Minden technológiai alapú iparág szereti az ehhez hasonló hívószavakat, de mit is jelent ez valójában? Milyen típusú szolgáltatások minősítik a tűzfalat következő generációsnak?
Valójában nincs szigorú meghatározás. Általában a különböző típusú tűzfalakat egyetlen hatékony biztonsági rendszerben egyesítő megoldások új generációs tűzfalnak(Next-Generation Firewall) ( NGFW ) tekinthetők. Egy ilyen tűzfal képes mély csomagellenőrzésre, miközben a DDoS támadásokat is kivédi, így többrétegű védelmet nyújt a hackerek ellen.
A legtöbb új generációs tűzfal gyakran több hálózati megoldást, például VPN(VPNs) -t , behatolásgátló rendszert(Intrusion Prevention Systems) ( IPS ) és még egy vírusirtót is kombinál egyetlen hatékony csomagban. Az ötlet az, hogy teljes körű megoldást kínáljunk, amely minden típusú hálózati sérülékenységet kiküszöböl, és abszolút hálózati biztonságot nyújt. Ennek érdekében egyes NGFW(NGFWs) -k képesek visszafejteni a Secure Socket Layer ( SSL ) kommunikációt is, így a titkosított támadásokat is észrevehetik.
Melyik típusú (Type)tűzfal(Firewall) a legjobb a hálózat(Your Network) védelmére ?
A tűzfalakkal kapcsolatban az a helyzet, hogy a különböző típusú tűzfalak eltérő megközelítést alkalmaznak a hálózat védelmére(protect a network) .
A legegyszerűbb tűzfalak csak hitelesítik a munkameneteket és a csomagokat, nem tesznek semmit a tartalommal. Az átjáró(Gateway) tűzfalai virtuális kapcsolatok létrehozásáról és a privát IP-címekhez való hozzáférés megakadályozásáról szólnak. Az állapotjelző tűzfalak a (Stateful)TCP -kézfogásaikon keresztül nyomon követik a kapcsolatokat , és állapottáblázatot készítenek az információkkal.
Aztán ott vannak a következő generációs(Next-Generation) tűzfalak, amelyek az összes fenti folyamatot a mélyreható csomagellenőrzéssel és egy sor egyéb hálózatvédelmi funkcióval kombinálják. Nyilvánvaló, hogy az NGFW a lehető legjobb biztonságot nyújtaná rendszerének, de ez nem mindig a helyes válasz.
A hálózat összetettségétől és a futtatott alkalmazások típusától függően rendszerei jobban járhatnak egy egyszerűbb megoldással, amely inkább a leggyakoribb támadások ellen véd. A legjobb ötlet egy harmadik féltől származó felhőtűzfal-(third-party Cloud firewall) szolgáltatás használata, amely a tűzfal finomhangolását és karbantartását a szolgáltatóra terheli.
Related posts
Internet és közösségi oldalak függőség
Nem lehet csatlakozni az Xbox Live-hoz; Javítsa ki az Xbox Live hálózati problémát a Windows 10 rendszerben
Ingyenes vezeték nélküli hálózati eszközök a Windows 10 rendszerhez
Cisco Packet Tracer Networking Simulation Tool és ingyenes alternatívái
A hálózatkezelés letiltása a Windows Sandboxban a Windows 10 rendszerben
8 egyszerű Raspberry Pi projekt kezdőknek
Mi az a 192.168.0.1, és miért ez a legtöbb útválasztó alapértelmezett IP-címe?
Mi a felhő és hogyan hozhatja ki belőle a legtöbbet
A HDG elmagyarázza: Mi a számítógépes port és mire használják?
Helyi DNS keresés hozzáadása a Hosts fájlhoz
Hogyan javítsuk ki a csomagvesztést és tudjuk, hogy mikor van probléma
A „Nincs jogosultsága a címzettnek küldeni” javítása
Mi az a NAT, hogyan működik és miért használják?
Adott eszközök engedélyezési listája az otthoni hálózaton a hackerek megállítása érdekében
NAS (Network Attached Storage) beállítása
Könyvajánló – Otthoni hálózatok minden-az-egyben íróasztali referenciája a figurákhoz
A HDG elmagyarázza: Mi a parkolt domain és mik az előnyei?
Access Point vs. Router: Mi a különbség?
A People alkalmazás használata közösségi hálózati fiókok kezelésére
A hálózati adapter nem működik? 12 dolog, amit érdemes kipróbálni