Все понимают основную функцию брандмауэра — защищать вашу сеть от вредоносных программ и несанкционированного доступа. Но точные особенности работы брандмауэров менее известны.

Что такое брандмауэр^(firewall) ? Как работают различные типы брандмауэров? И, пожалуй, самое главное — какой тип брандмауэра лучше?

Брандмауэр 101

Проще^(Simply) говоря, брандмауэр — это еще одна конечная точка сети. Что делает его особенным, так это его способность перехватывать и сканировать входящий трафик до того, как он попадет во внутреннюю сеть, блокируя доступ злоумышленников.

Проверка подлинности каждого соединения, сокрытие IP-адреса назначения от хакеров и даже сканирование содержимого каждого пакета данных — все это делают брандмауэры. Брандмауэр служит своего рода контрольно-пропускным пунктом, тщательно контролируя тип передаваемых данных.

Брандмауэры с фильтрацией пакетов

Межсетевые экраны с фильтрацией пакетов — это самая простая и наименее ресурсоемкая технология межсетевых экранов. Хотя в наши дни это не в моде, они были основным продуктом сетевой защиты на старых компьютерах.

Брандмауэр с фильтрацией пакетов работает на уровне пакетов, сканируя каждый входящий пакет от сетевого маршрутизатора. Но на самом деле он не сканирует содержимое пакетов данных, а только их заголовки. Это позволяет брандмауэру проверять метаданные, такие как адреса источника и получателя, номера портов и т. д.

Как вы могли подозревать, этот тип брандмауэра не очень эффективен. Все, что может сделать брандмауэр с фильтрацией пакетов, — это сократить ненужный сетевой трафик в соответствии со списком контроля доступа. Поскольку само содержимое пакета не проверяется, вредоносное ПО все равно может пройти.

Шлюзы на уровне цепи

Другим ресурсоэффективным способом проверки легитимности сетевых подключений является шлюз на уровне канала. Вместо проверки заголовков отдельных пакетов данных шлюз уровня канала проверяет сам сеанс.

Опять же, такой брандмауэр не проходит через содержимое передачи, что делает его уязвимым для множества вредоносных атак. При этом проверка соединений протокола управления передачей^{(Transmission Control Protocol)} ( TCP ) на уровне сеансов модели OSI^(OSI) требует очень мало ресурсов и может эффективно отключать нежелательные сетевые соединения.

Вот почему шлюзы на уровне каналов часто встраиваются в большинство решений сетевой безопасности, особенно в программные брандмауэры. Эти шлюзы также помогают маскировать IP-адрес пользователя, создавая виртуальные соединения для каждого сеанса.

Брандмауэры Stateful Inspection

И брандмауэр с фильтрацией пакетов,^{(Packet-Filtering Firewall)} и шлюз уровня цепи^{(Circuit Level Gateway)} являются реализациями брандмауэра без сохранения состояния. Это означает, что они работают по статическому набору правил, что ограничивает их эффективность. Каждый пакет (или сеанс) обрабатывается отдельно, что позволяет выполнять только самые простые проверки.

 Брандмауэр Stateful Inspection^{(Inspection Firewall)} , с другой стороны, отслеживает состояние соединения, а также детали каждого передаваемого через него пакета. Отслеживая рукопожатие TCP на протяжении всего соединения, брандмауэр с отслеживанием состояния может составить таблицу, содержащую IP-адреса и номера портов источника и получателя, и сопоставить входящие пакеты с этим динамическим набором правил.

Благодаря этому трудно проникнуть вредоносным пакетам данных через брандмауэр с контролем состояния. С другой стороны, этот тип брандмауэра требует больших затрат ресурсов, снижает производительность и дает хакерам возможность использовать распределенные атаки типа «отказ в обслуживании»^{(Denial-of-Service)} ( DDoS ) против системы.

Прокси-брандмауэры

^(Better)Прокси-брандмауэры , ^{(Proxy Firewalls)}более известные как шлюзы уровня приложений^{(Application Level Gateways)} , работают на внешнем уровне модели OSI^(OSI) — прикладном уровне. Как последний уровень, отделяющий пользователя от сети, этот уровень обеспечивает наиболее тщательную и дорогостоящую проверку пакетов данных за счет производительности.

Подобно шлюзам уровня цепи^{(Circuit-Level Gateways)} , прокси-брандмауэры^{(Proxy Firewalls)} работают, вмешиваясь между хостом и клиентом, скрывая внутренние IP-адреса портов назначения. Кроме того, шлюзы уровня приложений выполняют глубокую проверку пакетов, чтобы исключить возможность прохождения вредоносного трафика.

И хотя все эти меры значительно повышают безопасность сети, они также замедляют входящий трафик. Производительность сети^(Network) снижается из-за ресурсоемких проверок, проводимых межсетевым экраном с отслеживанием состояния, подобным этому, что делает его плохо подходящим для приложений, чувствительных к производительности. 

Брандмауэры NAT

Во многих вычислительных системах ключевым звеном кибербезопасности является обеспечение частной сети, скрывающей индивидуальные IP-адреса клиентских устройств как от хакеров, так и от поставщиков услуг. Как мы уже видели, этого можно добиться с помощью прокси^(Proxy) -брандмауэра или шлюза уровня схемы.

Гораздо более простой способ сокрытия IP-адресов — использование межсетевого экрана преобразования ^(Firewall)сетевых адресов^{(Network Address Translation)} ( NAT ) . Брандмауэрам NAT^(NAT) не требуется много системных ресурсов для работы, что делает их связующим звеном между серверами и внутренней сетью.

Брандмауэры веб-приложений

Только сетевые брандмауэры^{(Network Firewalls)} , работающие на уровне приложений, могут выполнять глубокое сканирование пакетов данных, например прокси-брандмауэр^{(Proxy Firewall)} или, что еще лучше, брандмауэр веб-приложений^{(Web Application Firewall)} ( WAF ).

Работая в сети или на хосте, WAF просматривает все данные, передаваемые различными веб-приложениями, гарантируя отсутствие вредоносного кода. Этот тип архитектуры брандмауэра специализируется на проверке пакетов и обеспечивает лучшую безопасность, чем брандмауэры поверхностного уровня.

Облачные брандмауэры

Традиционные брандмауэры, как аппаратные, так и программные, плохо масштабируются. Их необходимо устанавливать с учетом потребностей системы, ориентируясь либо на высокую производительность трафика, либо на низкую безопасность сетевого трафика.

Но облачные брандмауэры^{(Cloud Firewalls)} гораздо более гибкие. Развернутый из облака в качестве прокси-сервера, этот тип брандмауэра перехватывает сетевой трафик до того, как он попадет во внутреннюю сеть, авторизуя каждый сеанс и проверяя каждый пакет данных, прежде чем пропустить его.

Самое приятное то, что такие брандмауэры можно увеличивать и уменьшать по мере необходимости, приспосабливаясь к различным уровням входящего трафика. Предлагается как облачный сервис, не требует оборудования и поддерживается самим поставщиком услуг.

Межсетевые экраны нового поколения

Термин «следующее поколение» может ввести в заблуждение. Все технологические отрасли любят разбрасываться подобными модными словечками, но что это на самом деле означает? Какие функции позволяют брандмауэру считаться брандмауэром следующего поколения?

На самом деле строгого определения нет. Как правило, вы можете рассматривать решения, которые объединяют различные типы брандмауэров в единую эффективную систему безопасности, в качестве брандмауэра следующего поколения^{(Next-Generation Firewall)} ( NGFW ). Такой межсетевой экран способен выполнять глубокую проверку пакетов, а также отклонять DDoS -атаки, обеспечивая многоуровневую защиту от хакеров.

Большинство брандмауэров нового поколения часто объединяют несколько сетевых решений, таких как VPN^(VPNs) , системы предотвращения вторжений^{(Intrusion Prevention Systems)} ( IPS ) и даже антивирус в один мощный пакет. Идея состоит в том, чтобы предложить комплексное решение, устраняющее все типы сетевых уязвимостей и обеспечивающее абсолютную сетевую безопасность. С этой целью некоторые NGFW также^(NGFWs) могут расшифровывать сообщения Secure Socket Layer ( SSL ), что позволяет им также обнаруживать зашифрованные атаки.

Какой тип ^(Type)брандмауэра^(Firewall) лучше всего подходит для защиты вашей сети^{(Your Network)} ?

Особенность брандмауэров в том, что разные типы брандмауэров используют разные подходы к защите сети^{(protect a network)} .

Простейшие брандмауэры просто аутентифицируют сеансы и пакеты, ничего не делая с содержимым. Брандмауэры шлюза^(Gateway) предназначены для создания виртуальных соединений и предотвращения доступа к частным IP-адресам. Брандмауэры^(Stateful) с отслеживанием состояния отслеживают соединения посредством своих TCP - рукопожатий, создавая таблицу состояний с информацией.

Кроме того, существуют брандмауэры нового поколения^{(Next-Generation)} , которые сочетают в себе все вышеперечисленные процессы с глубокой проверкой пакетов и набором других функций защиты сети. Очевидно, что NGFW обеспечит вашей системе наилучшую возможную безопасность, но это не всегда правильный ответ.

В зависимости от сложности вашей сети и типа запущенных приложений ваши системы могут быть лучше с более простым решением, которое вместо этого защищает от наиболее распространенных атак. Лучшей идеей может быть просто использование стороннего^{(third-party Cloud firewall)} сервиса облачного брандмауэра, переложив тонкую настройку и обслуживание брандмауэра на поставщика услуг.

8 Types of Firewalls Explained

Everyone understands the basic functіon of a firewall – to protect yоur network from malware and unauthorized access. But the exact spеcifics of how firewalls work are lesser-known.

What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?

Firewall 101

Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.

Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.

Packet-Filtering Firewalls

Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.

A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.

As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.

Circuit Level Gateways

Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.

Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.

This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.

Stateful Inspection Firewalls

Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.

 A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.

Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.

Proxy Firewalls

Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.

Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.

And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications. 

NAT Firewalls

In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.

A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.

Web Application Firewalls

Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).

Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.

Cloud Firewalls

Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.

But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.

The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.

Next-Generation Firewalls

Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?

In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.

Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.

Which Type of Firewall is the Best to Protect Your Network?

The thing about firewalls is that different types of firewalls use different approaches to protect a network.

The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.

Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.

Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.

Related posts

• Internet and Social Networking Sites addiction

• Не может подключиться к Xbox Live; Fix Xbox Live Networking issue в Windows 10

• Бесплатный Wireless Networking Tools для Windows 10

• Cisco Packet Tracer Networking Simulation Tool и его бесплатные альтернативы

• Как отключить Networking в Windows Sandbox в Windows 10

• Что такое CDN и почему он необходим, если у вас есть домен?

• Как исправить «У вас нет разрешения на отправку этому получателю»

• Что такое Localhost и как его использовать?

• Что такое 192.168.0.1 и почему это IP-адрес по умолчанию для большинства маршрутизаторов?

• Исправить ошибку «Windows не удается подключиться к этой сети»

• Точка доступа и маршрутизатор: в чем разница?

• В 8 Best Social Networking Sites для Graphic Designers для демонстрации своих портфелей

• Обзор книги - Справочник по домашней сети «Все в одном» для чайников

• Как настроить NAS (сетевое хранилище)

• Reset Network Adapters Использование Network Reset feature в Windows 11

• Как внести в белый список определенные устройства в вашей домашней сети, чтобы остановить хакеров

• Как использовать приложение «Люди» для управления учетными записями в социальных сетях

• Peer до Peer Networking (P2P) и File Sharing объяснил

• Как расширенная защита от отслеживания в Firefox не позволяет веб-сайтам шпионить за вами

• Что такое время аренды DHCP и как его изменить