Объяснение 8 типов брандмауэров
Все понимают основную функцию брандмауэра — защищать вашу сеть от вредоносных программ и несанкционированного доступа. Но точные особенности работы брандмауэров менее известны.
Что такое брандмауэр(firewall) ? Как работают различные типы брандмауэров? И, пожалуй, самое главное — какой тип брандмауэра лучше?
Брандмауэр 101
Проще(Simply) говоря, брандмауэр — это еще одна конечная точка сети. Что делает его особенным, так это его способность перехватывать и сканировать входящий трафик до того, как он попадет во внутреннюю сеть, блокируя доступ злоумышленников.
Проверка подлинности каждого соединения, сокрытие IP-адреса назначения от хакеров и даже сканирование содержимого каждого пакета данных — все это делают брандмауэры. Брандмауэр служит своего рода контрольно-пропускным пунктом, тщательно контролируя тип передаваемых данных.
Брандмауэры с фильтрацией пакетов
Межсетевые экраны с фильтрацией пакетов — это самая простая и наименее ресурсоемкая технология межсетевых экранов. Хотя в наши дни это не в моде, они были основным продуктом сетевой защиты на старых компьютерах.
Брандмауэр с фильтрацией пакетов работает на уровне пакетов, сканируя каждый входящий пакет от сетевого маршрутизатора. Но на самом деле он не сканирует содержимое пакетов данных, а только их заголовки. Это позволяет брандмауэру проверять метаданные, такие как адреса источника и получателя, номера портов и т. д.
Как вы могли подозревать, этот тип брандмауэра не очень эффективен. Все, что может сделать брандмауэр с фильтрацией пакетов, — это сократить ненужный сетевой трафик в соответствии со списком контроля доступа. Поскольку само содержимое пакета не проверяется, вредоносное ПО все равно может пройти.
Шлюзы на уровне цепи
Другим ресурсоэффективным способом проверки легитимности сетевых подключений является шлюз на уровне канала. Вместо проверки заголовков отдельных пакетов данных шлюз уровня канала проверяет сам сеанс.
Опять же, такой брандмауэр не проходит через содержимое передачи, что делает его уязвимым для множества вредоносных атак. При этом проверка соединений протокола управления передачей(Transmission Control Protocol) ( TCP ) на уровне сеансов модели OSI(OSI) требует очень мало ресурсов и может эффективно отключать нежелательные сетевые соединения.
Вот почему шлюзы на уровне каналов часто встраиваются в большинство решений сетевой безопасности, особенно в программные брандмауэры. Эти шлюзы также помогают маскировать IP-адрес пользователя, создавая виртуальные соединения для каждого сеанса.
Брандмауэры Stateful Inspection
И брандмауэр с фильтрацией пакетов,(Packet-Filtering Firewall) и шлюз уровня цепи(Circuit Level Gateway) являются реализациями брандмауэра без сохранения состояния. Это означает, что они работают по статическому набору правил, что ограничивает их эффективность. Каждый пакет (или сеанс) обрабатывается отдельно, что позволяет выполнять только самые простые проверки.
Брандмауэр Stateful Inspection(Inspection Firewall) , с другой стороны, отслеживает состояние соединения, а также детали каждого передаваемого через него пакета. Отслеживая рукопожатие TCP на протяжении всего соединения, брандмауэр с отслеживанием состояния может составить таблицу, содержащую IP-адреса и номера портов источника и получателя, и сопоставить входящие пакеты с этим динамическим набором правил.
Благодаря этому трудно проникнуть вредоносным пакетам данных через брандмауэр с контролем состояния. С другой стороны, этот тип брандмауэра требует больших затрат ресурсов, снижает производительность и дает хакерам возможность использовать распределенные атаки типа «отказ в обслуживании»(Denial-of-Service) ( DDoS ) против системы.
Прокси-брандмауэры
(Better)Прокси-брандмауэры , (Proxy Firewalls)более известные как шлюзы уровня приложений(Application Level Gateways) , работают на внешнем уровне модели OSI(OSI) — прикладном уровне. Как последний уровень, отделяющий пользователя от сети, этот уровень обеспечивает наиболее тщательную и дорогостоящую проверку пакетов данных за счет производительности.
Подобно шлюзам уровня цепи(Circuit-Level Gateways) , прокси-брандмауэры(Proxy Firewalls) работают, вмешиваясь между хостом и клиентом, скрывая внутренние IP-адреса портов назначения. Кроме того, шлюзы уровня приложений выполняют глубокую проверку пакетов, чтобы исключить возможность прохождения вредоносного трафика.
И хотя все эти меры значительно повышают безопасность сети, они также замедляют входящий трафик. Производительность сети(Network) снижается из-за ресурсоемких проверок, проводимых межсетевым экраном с отслеживанием состояния, подобным этому, что делает его плохо подходящим для приложений, чувствительных к производительности.
Брандмауэры NAT
Во многих вычислительных системах ключевым звеном кибербезопасности является обеспечение частной сети, скрывающей индивидуальные IP-адреса клиентских устройств как от хакеров, так и от поставщиков услуг. Как мы уже видели, этого можно добиться с помощью прокси(Proxy) -брандмауэра или шлюза уровня схемы.
Гораздо более простой способ сокрытия IP-адресов — использование межсетевого экрана преобразования (Firewall)сетевых адресов(Network Address Translation) ( NAT ) . Брандмауэрам NAT(NAT) не требуется много системных ресурсов для работы, что делает их связующим звеном между серверами и внутренней сетью.
Брандмауэры веб-приложений
Только сетевые брандмауэры(Network Firewalls) , работающие на уровне приложений, могут выполнять глубокое сканирование пакетов данных, например прокси-брандмауэр(Proxy Firewall) или, что еще лучше, брандмауэр веб-приложений(Web Application Firewall) ( WAF ).
Работая в сети или на хосте, WAF просматривает все данные, передаваемые различными веб-приложениями, гарантируя отсутствие вредоносного кода. Этот тип архитектуры брандмауэра специализируется на проверке пакетов и обеспечивает лучшую безопасность, чем брандмауэры поверхностного уровня.
Облачные брандмауэры
Традиционные брандмауэры, как аппаратные, так и программные, плохо масштабируются. Их необходимо устанавливать с учетом потребностей системы, ориентируясь либо на высокую производительность трафика, либо на низкую безопасность сетевого трафика.
Но облачные брандмауэры(Cloud Firewalls) гораздо более гибкие. Развернутый из облака в качестве прокси-сервера, этот тип брандмауэра перехватывает сетевой трафик до того, как он попадет во внутреннюю сеть, авторизуя каждый сеанс и проверяя каждый пакет данных, прежде чем пропустить его.
Самое приятное то, что такие брандмауэры можно увеличивать и уменьшать по мере необходимости, приспосабливаясь к различным уровням входящего трафика. Предлагается как облачный сервис, не требует оборудования и поддерживается самим поставщиком услуг.
Межсетевые экраны нового поколения
Термин «следующее поколение» может ввести в заблуждение. Все технологические отрасли любят разбрасываться подобными модными словечками, но что это на самом деле означает? Какие функции позволяют брандмауэру считаться брандмауэром следующего поколения?
На самом деле строгого определения нет. Как правило, вы можете рассматривать решения, которые объединяют различные типы брандмауэров в единую эффективную систему безопасности, в качестве брандмауэра следующего поколения(Next-Generation Firewall) ( NGFW ). Такой межсетевой экран способен выполнять глубокую проверку пакетов, а также отклонять DDoS -атаки, обеспечивая многоуровневую защиту от хакеров.
Большинство брандмауэров нового поколения часто объединяют несколько сетевых решений, таких как VPN(VPNs) , системы предотвращения вторжений(Intrusion Prevention Systems) ( IPS ) и даже антивирус в один мощный пакет. Идея состоит в том, чтобы предложить комплексное решение, устраняющее все типы сетевых уязвимостей и обеспечивающее абсолютную сетевую безопасность. С этой целью некоторые NGFW также(NGFWs) могут расшифровывать сообщения Secure Socket Layer ( SSL ), что позволяет им также обнаруживать зашифрованные атаки.
Какой тип (Type)брандмауэра(Firewall) лучше всего подходит для защиты вашей сети(Your Network) ?
Особенность брандмауэров в том, что разные типы брандмауэров используют разные подходы к защите сети(protect a network) .
Простейшие брандмауэры просто аутентифицируют сеансы и пакеты, ничего не делая с содержимым. Брандмауэры шлюза(Gateway) предназначены для создания виртуальных соединений и предотвращения доступа к частным IP-адресам. Брандмауэры(Stateful) с отслеживанием состояния отслеживают соединения посредством своих TCP - рукопожатий, создавая таблицу состояний с информацией.
Кроме того, существуют брандмауэры нового поколения(Next-Generation) , которые сочетают в себе все вышеперечисленные процессы с глубокой проверкой пакетов и набором других функций защиты сети. Очевидно, что NGFW обеспечит вашей системе наилучшую возможную безопасность, но это не всегда правильный ответ.
В зависимости от сложности вашей сети и типа запущенных приложений ваши системы могут быть лучше с более простым решением, которое вместо этого защищает от наиболее распространенных атак. Лучшей идеей может быть просто использование стороннего(third-party Cloud firewall) сервиса облачного брандмауэра, переложив тонкую настройку и обслуживание брандмауэра на поставщика услуг.
Related posts
Internet and Social Networking Sites addiction
Не может подключиться к Xbox Live; Fix Xbox Live Networking issue в Windows 10
Бесплатный Wireless Networking Tools для Windows 10
Cisco Packet Tracer Networking Simulation Tool и его бесплатные альтернативы
Как отключить Networking в Windows Sandbox в Windows 10
Что такое CDN и почему он необходим, если у вас есть домен?
Как исправить «У вас нет разрешения на отправку этому получателю»
Что такое Localhost и как его использовать?
Что такое 192.168.0.1 и почему это IP-адрес по умолчанию для большинства маршрутизаторов?
Исправить ошибку «Windows не удается подключиться к этой сети»
Точка доступа и маршрутизатор: в чем разница?
В 8 Best Social Networking Sites для Graphic Designers для демонстрации своих портфелей
Обзор книги - Справочник по домашней сети «Все в одном» для чайников
Как настроить NAS (сетевое хранилище)
Reset Network Adapters Использование Network Reset feature в Windows 11
Как внести в белый список определенные устройства в вашей домашней сети, чтобы остановить хакеров
Как использовать приложение «Люди» для управления учетными записями в социальных сетях
Peer до Peer Networking (P2P) и File Sharing объяснил
Как расширенная защита от отслеживания в Firefox не позволяет веб-сайтам шпионить за вами
Что такое время аренды DHCP и как его изменить