erityyppiset palomuurit & mitä käyttää verkkoturvallisuuteen

kuten metallinpaljastin lentokentällä, palomuurit toimivat välttämättömänä portinvartijana suojaamassa haavoittuvaa paikkaa salakavalalta uhalta. Digitaalisessa maailmassa, että haavoittuva paikka on yksityinen verkko ja järjestelmät, kun taas salakavala uhka voi olla mitä tahansa tuhoava virus sisäinen hakkeri. On tärkeää ymmärtää, millaiset palomuurit estävät millaiset uhkat. tarvitset kuitenkin oikeat työkalut työhön.

tässä artikkelissa käydään läpi perusasioita, jotka sinun tulee tietää palomuureista, kun on kyse yrityksesi suojaamisesta. Keskustelemme erityyppisistä palomuureista sekä joistakin niiden eduista ja haitoista.

Palomuurityypit: Laitteistopalomuurit vs. Ohjelmistopalomuurit

Laitteistopalomuurit ja niiden toiminta

Laitteistopalomuurit ovat ensimmäinen puolustuslinja, joka suojaa yksityisverkkoasi saapuvilta uhkilta. He päättävät, mitkä datapaketit sallitaan intranetiisi ja mitkä käännytetään pois. Kuten pian huomaamme, on monia tapoja tehdä tämä.

haittapaketit voivat tietenkin ohittaa tämän ensimmäisen fyysisen suojakerroksen. Mitä seuraavaksi tapahtuu? Tämä on, jos ohjelmisto palomuurit tulevat peliin.

Ohjelmistopalomuurien rooli

vaikka ohjelmistopalomuurit eivät päätä, mitkä tietopaketit tulevat intranetiisi, niillä on valta estää pääsy tiettyihin sovelluksiin ja portteihin verkon sisällä. Sen lisäksi, että se tarjoaa hienosyisemmän suojan, sillä on toissijainen etu saada kiinni sisäisiä uhkia.

palatakseni lentokenttävertaukseemme: jos alkuperäinen metallinpaljastin on laitteistopalomuuri, niin eri puolille terminaaleja sijoitetut turvamiehet ovat ohjelmistopalomuurit.

nyt kun ymmärrämme näiden kahden kategorian eron, puhutaan erilaisista palomuureista. Järjestyksessä nouseva monimutkaisuus, ne ovat:

  • Paketinsuodatuspalokunnat
  • Tilatarkastuspalokunnat
  • piiritason yhdyskäytävät
  • sovellustason yhdyskäytävät (välityspalvelimen palomuurit)
  • seuraavan sukupolven palomuurit

seuraavassa osassa me tee lyhyt kierros jokaiseen näistä. Loppuun mennessä, sinun pitäisi olla yleinen käsitys siitä, miten ne toimivat, lisäksi joitakin niiden etuja ja haittoja.

 erityyppiset palomuurit

mitkä ovat erityyppiset palomuurit ja niiden toiminnot?

riippuen keneltä kysyy, verkon tietoturvassa on kolmesta viiteen erilaista palomuuria. Perusteellisuuden vuoksi, me hoidamme kaikki viisi.

Pakettisuodatin palomuuri

nykyaikaisten palomuurien kummisetä, pakettisuodatus on vielä nykyäänkin laajalti käytössä. Vaikka ne eivät sovellu kehittyneempiin turvallisuusuhkiin, ne ovat edelleen keskeinen tekijä varhaisessa havaitsemisessa.

tällaisia palomuureja kutsutaan usein”valtiottomiksi”. Tämä johtuu siitä, että pakettisuodatustekniikka on pohjimmiltaan vain kulunvalvontaluettelo, joka päättää siirtää tai estää saapuvan tiedon pelkästään paketin IP-osoitteen perusteella.

kyberturvallisuudessa kulunvalvontalista (access control list, ACL) on juuri sellainen kuin luulet sen olevan. Se on kuuluisa lentokieltolista, jossa tietyt IP-osoitteet on listattu epäluotettaviksi ja siten estetty lähettämästä datapaketteja yksityisverkkoon. Vastaavasti ACL: llä on myös valtuudet myöntää pääsy luotettaviin IP-osoitteisiin.

käytännössä ACL asettaa ja ylläpitää sääntöjä, joilla saapuvat paketit joko välitetään eteenpäin tai estetään—siinä se. Tämäntyyppinen palomuuri on tehokas vastaan alkeellisempia uhkia ja on sekä nopea ja edullinen.

Huomaa kuitenkin, että pakettisuodatuspalomuurit eivät varsinaisesti tunne datapaketin sisältöä. Tämä tarkoittaa, että luotetusta IP: stä lähetetyllä haitallisella paketilla ei ole mitään ongelmaa liukua laiskan vartijan ohi.

verkon tietoturvan palomuurityypit

piiritason Porttikäytävät

pakettisuodatuspalomuurien tapaan piiritason porttikäytävät tarjoavat karkean ja nopean menetelmän saapuvien datapakettien suodattamiseen. Toisin kuin pakettisuodatus, kuitenkin, piiri-tason yhdyskäytävät eivät ole huolissaan saapuvan paketin IP-osoite.

sen sijaan heidän tehtävänään on varmistaa siirtoprotokollan kädenpuristus (TCP). Onnistunut kädenpuristus ei tietenkään takaa sitä, ettei yksityisverkkoon pääse haitallista liikennettä.

toinen samankaltaisuus pakettisuodatuksen ja piiritason yhdyskäytävien välillä on se, että kumpikaan palomuurityyppi ei varsinaisesti analysoi saapuvan datapaketin sisältöä. Vaikka ne toimivat hyvin yhdessä muiden turvatoimien kanssa, pakettisuodatus ja piiritason yhdyskäytävät eivät yksin riitä suojaamaan sisäistä verkkoasi.

valmis oppimaan lisää?

  • sähköpostisi suojaaminen tietojenkalastelulta
  • palaa perusasioihin yrityksesi Kyberturvallisuuskäytäntöjen kanssa
  • päätepisteen suojaaminen-saaga
  • Cloud Security Considerations

Stateful Inspection Firewall

nyt kun tiedät mikä valtioton palomuuri on, voit luultavasti aistia tilallisen palomuurin tarjoamat edut.

toisin kuin pelkkä pakettisuodatus, stateful inspection ei ainoastaan todista IP-osoitteita, vaan itse asiassa tarkastaa saapuvat paketit piilouhkien varalta. Tämän tyyppinen palomuuri luo tilataulukon, joka sisältää:

  • lähde-IP
  • kohde-IP
  • Lähdeportti
  • kohdeportti
  • protokolla (mukaan lukien TCP, UDP ja ICMP)
  • ja paljon muuta.

sen sijaan, että tämä palomuurityyppi noudattaisi ennalta vahvistettuja sääntöjä, se osoittaa joustavuutta kokoamalla tilataulukon jokaisesta saapuvasta paketista. Tietenkin määrä käsittelytehoa tarvitaan suorittaa valtion tarkastus, voi vaikuttaa negatiivisesti nopeus verkkoliikenteen. Tämä tekee myös valtion palomuurit helppo kohde DDoS hyökkäyksiä.

erityyppiset palomuurit ja niiden toiminnot

sovellustason yhdyskäytävä (tai välityspalvelimen palomuuri)

neljästä perinteisestä palomuurityypistä juuri tämä tarjoaa yrityksille eniten verkkoturvallisuutta.

sovellustason yhdyskäytävät—joita kutsutaan vuorotellen välityspalvelimen palomuureiksi-suodattavat tehokkaasti viestejä asiakkaan ja palvelimen välisessä tietoliikennetason rajapinnassa, joka OSI-mallissa tunnetaan sovelluskerroksena. Sovellustason yhdyskäytävät luokitellaan korkean tason välityspalomuureiksi.

syy siihen, että välityspalvelimen palomuureja pidetään niin turvallisina, on se, että ne sijaitsevat välityspalvelimella toisin kuin pääpalvelin. Tämä estää kyberhyökkäyksiä ja haittaohjelmia pääsemästä suoraan sisäiseen verkkoosi.

lisäksi välityspalvelimella on oma yksilöllinen IP-osoitteensa, joten se kätkee pääpalvelimen IP: n. Tämä on vastakohta sekä pakettisuodatukselle että tilallisille palomuureille, joiden tehtävänä on yksinkertaisesti reitittää paketteja eikä hyväksyä ja luoda verkkoyhteyksiä.

yksityisen verkon tietoturvan konsolidoinnissa sovellustasolla on tietysti tiettyjä haittoja. Yleisimmin yhteyden nopeus ja suorituskyky voivat kärsiä liikenteen pullonkaulan sattuessa.

tämä tapahtuu kahdesta pääsyystä.

  1. Proxy-palomuurit rajoittavat verkkoliikenteen yhteen liityntäpisteeseen.
  2. ne luovat ainutlaatuisen yhteyden kaikille saapuville ja lähteville pyynnöille.

asian ydin on tämä: Algit tarjoavat perusteellisemman pakettitarkastuksen kuin muut perinteiset palomuurit. Lisäturvataktiikat tekevät ALGs: stä myös poikkeuksellisen monipuolisen—hyökkäysten havaitsemisesta ja virheiden havaitsemisesta validiteettitarkistuksiin ja deep-packet inspection (dpi) – tarkastukseen. Kyllä nopeus-ja suorituskykykysymyksiä voi tulla, mutta niitä voidaan lieventää muilla keinoilla.

Vastaa

Sähköpostiosoitettasi ei julkaista.