som en metaldetektor i en lufthavn fungerer brandvægge som en vigtig portvagt, der beskytter et sårbart sted mod en snigende trussel. I den digitale verden er det sårbare sted dit private netværk og systemer, mens den lumske trussel kan være alt fra en destruktiv virus til en intern hacker. At forstå, hvilke typer brandvægge der forhindrer, hvilke trusler der er kritiske; du har trods alt brug for de rigtige værktøjer til jobbet.
i denne artikel dækker vi de grundlæggende ting, du har brug for at vide om brandvægge, når det kommer til at beskytte din virksomhed. Vi vil diskutere de forskellige typer af brandvægge, samt nogle af deres fordele og ulemper.
typer af brandmure: brandmure vs. brandmure
brandmure og deres funktion
brandmure er den første forsvarslinje til at beskytte dit private netværk mod indkommende trusler. De bestemmer, hvilke datapakker der er tilladt i dit intranet, og hvilke der afvises. Som vi snart vil opdage, er der mange måder at gøre dette på.
selvfølgelig kan ondsindede pakker gøre det forbi dette første fysiske beskyttelseslag. Så hvad sker der nu? Det er her, brandmurene kommer i spil.
Brandvæggenes rolle
mens brandvægge ikke bestemmer, hvilke datapakker der skal ind i dit intranet, har de mulighed for at forhindre adgang til specifikke applikationer og porte, når de er inde i dit netværk. Dette giver ikke kun mere finkornet beskyttelse, Det har den sekundære fordel at fange interne trusler.
for at vende tilbage til vores lufthavnsanalogi: hvis den oprindelige metaldetektor er brandmuren, er sikkerhedsvagterne, der er placeret i terminalerne, brandmurene.
nu hvor vi forstår forskellen mellem disse to kategorier, Lad os diskutere de forskellige typer brandvægge. I rækkefølge af stigende kompleksitet er de:
- pakkefiltrering brandvægge
- Stateful inspektion brandvægge
- Kredsløbsporte
- Applikationsporte (fuldmægtig Server brandvægge)
- næste generations brandvægge
i næste afsnit, vi tager en kort rundvisning i hver af disse. I slutningen af det skal du have en generel forståelse af, hvordan de fungerer, ud over nogle af deres fordele og ulemper.
Hvad er de forskellige typer brandvægge og deres funktioner?
afhængigt af hvem du spørger, Er der mellem tre og fem forskellige typer brandvægge i netværkssikkerhed. Af hensyn til grundighed dækker vi alle fem.
pakkefiltrering Brandvæg
gudfaren til moderne brandvægge, pakkefiltrering bruges stadig i dag. Selvom de ikke er egnet til mere avancerede sikkerhedstrusler, forbliver de et afgørende element i tidlig påvisning.
du hører ofte disse typer brandvægge kaldet “statsløse”. Det skyldes, at pakkefiltreringsteknologi i det væsentlige kun er en adgangskontrolliste, der beslutter at videregive eller forhindre indgående data udelukkende baseret på pakkenes IP-adresse.
i cybersikkerhed er en adgangskontrolliste (ACL) præcis, hvad du tror, det er. Det er den ordsprogede no-fly-liste, hvor specifikke IP-adresser er opført som upålidelige og dermed forhindret i at overføre datapakker til et privat netværk. Omvendt har ACL ‘ er også beføjelse til at give adgang til pålidelige IP-adresser.
grundlæggende indstiller og vedligeholder en ACL de regler, hvormed indgående pakker enten videresendes eller blokeres—det er det. Denne type brandvæg er effektiv mod mere rudimentære trusler og er både hurtig og overkommelig.
Bemærk dog, at pakkefiltrering af brandvægge faktisk ikke kender indholdet af en datapakke. Dette betyder, at en ondsindet pakke sendt fra en betroet IP ikke har noget problem med at glide forbi den dovne fængselsinspektør.
Kredsløbsporte
i lighed med pakkefiltrering af brandvægge tilbyder kredsløbsporte en grov og hurtig metode til at filtrere indgående datapakker. I modsætning til pakkefiltrering er porte på kredsløbsniveau imidlertid ikke bekymrede for den indgående pakkes IP-adresse.
snarere er deres job at verificere transmission protocol handshake (TCP). Selvfølgelig sikrer et vellykket håndtryk ikke fraværet af ondsindet trafik, der kommer ind i dit private netværk.
den anden lighed mellem pakkefiltrering og porte på kredsløbsniveau er, at ingen af typerne faktisk analyserer indholdet af en indgående datapakke. Selvom de fungerer godt sammen med andre sikkerhedsforanstaltninger, pakkefiltrering og porte på kredsløbsniveau alene er ikke nok til at beskytte dit interne netværk.
klar til at lære mere?
- beskyttelse af din indbakke mod Phishing-efterligning
- gå tilbage til det grundlæggende med din virksomheds cybersikkerhedspraksis
- beskyttelse af slutpunktet – en Saga
- overvejelser om Cloud-sikkerhed
Stateful inspektion Brandvæg
nu hvor du ved, hvad en statsløs brandvæg er, kan du sandsynligvis intuitere fordelene ved en stateful brandvæg.
i modsætning til simpel pakkefiltrering verificerer stateful inspection ikke kun IP-adresser, men inspicerer faktisk indgående pakker for skjulte trusler. Denne type brandvæg genererer en tilstandstabel, der indeholder:
- kilde IP
- Destination IP
- kildeport
- destinationsport
- protokol (inklusive TCP, UDP og ICMP)
- og meget mere.
i stedet for at følge et sæt forudbestemte regler demonstrerer denne type brandvæg fleksibilitet ved at udarbejde en tilstandstabel for hver indgående pakke. Selvfølgelig er mængden af processorkraft, der kræves for at køre en statfuld inspektion, kan påvirke hastigheden af netværkstrafikken negativt. Dette gør også stateful brandvægge til en siddende and til DDoS-angreb.
Applikationsniveauport (eller fuldmægtig Server Brandvæg)
af de fire traditionelle typer brandvægge er dette den, der tilbyder virksomheder mest netværkssikkerhed.
porte på applikationsniveau-skiftevis kaldet fuldmægtig server brandvægge—filtrer effektivt meddelelser på kommunikationsgrænsefladen mellem klienten og serveren, kendt som applikationslaget i OSI—modellen. Portaler på applikationsniveau klassificeres som brandvægge på højt niveau.
årsagen til, at fuldmægtige brandvægge betragtes som så sikre, er fordi de bor på en fuldmægtigserver i modsætning til hovedserveren. Dette forhindrer cyberangreb og skadelige programmer i at komme direkte ind i dit interne netværk.
derudover har en fuldmægtigserver sin egen unikke IP-adresse og skjuler derfor hovedserverens IP. Dette er i modsætning til både pakkefiltrering og stateful brandvægge, hvis job det er at blot rute pakker i stedet for at acceptere og etablere netværksforbindelser.
der er selvfølgelig visse ulemper ved at konsolidere din private netværkssikkerhed på applikationsniveau. Oftest kan forbindelseshastighed og ydeevne lide i tilfælde af en trafikflaskehals.
dette sker af to hovedårsager.
- fuldmægtige brandvægge begrænser netværkstrafik til et enkelt adgangspunkt.
- de opretter en unik forbindelse til alle indgående og udgående anmodninger.
bundlinjen er denne: ALGs tilbyder en mere grundig pakkeinspektion end andre traditionelle brandvægge. Yderligere sikkerhedstaktikker gør også ALGs usædvanligt alsidige-fra angrebsdetektering og fejldetektering til validitetskontrol og dybpakkeinspektion (dpi). Ja, problemer med hastighed og ydeevne kan opstå, men disse kan afhjælpes på andre måder.