Обяснени са 8 вида защитни стени
Всеки разбира основната функция на защитната стена – да защитава вашата мрежа от злонамерен софтуер и неоторизиран достъп. Но точните специфики на това как работят защитните стени са по-малко известни.
Какво точно е защитна стена(firewall) ? Как работят различните видове защитни стени? И може би най-важното – кой тип защитна стена е най-добра?
Защитна стена 101
Просто(Simply) казано, защитната стена е просто друга крайна точка на мрежата. Това, което го прави специален, е способността му да прихваща и сканира входящия трафик, преди да влезе във вътрешната мрежа, блокирайки достъпа на злонамерени участници.
Проверка на удостоверяването на всяка връзка, скриване на IP адреса на местоназначението от хакери и дори сканиране на съдържанието на всеки пакет данни – защитните стени правят всичко. Защитната стена служи като своеобразна контролна точка, като внимателно контролира вида на комуникацията, която се допуска.
Защитни стени за филтриране на пакети
Защитните стени за филтриране на пакети са най-простата и най-малко ресурсоемка защитна стена на пазара. Въпреки че в наши дни не е в полза, те бяха основната част от мрежовата защита в старите компютри.
Защитната стена за филтриране на пакети работи на ниво пакет, като сканира всеки входящ пакет от мрежовия рутер. Но всъщност не сканира съдържанието на пакетите данни – само техните заглавки. Това позволява на защитната стена да проверява метаданни като адреси на източник и местоназначение, номера на портове и т.н.
Както може да подозирате, този тип защитна стена не е много ефективна. Всичко, което защитната стена за филтриране на пакети може да направи, е да намали ненужния мрежов трафик според списъка за контрол на достъпа. Тъй като самото съдържание на пакета не се проверява, зловредният софтуер все още може да проникне.
Шлюзове на ниво верига
Друг ресурсно ефективен начин за проверка на легитимността на мрежовите връзки е шлюз на ниво верига. Вместо да проверява заглавките на отделни пакети данни, шлюз на ниво верига проверява самата сесия.
Още веднъж, защитна стена като тази не преминава през съдържанието на самото предаване, което я прави уязвима за множество злонамерени атаки. Като се има предвид това, проверката на връзките на протокола за управление на предаването(Transmission Control Protocol) ( TCP ) от слоя за сесии на OSI модела отнема много малко ресурси и може ефективно да изключи нежелани мрежови връзки.
Ето защо шлюзовете на ниво верига често са вградени в повечето решения за мрежова сигурност, особено в софтуерни защитни стени. Тези шлюзове също помагат за маскиране на IP адреса на потребителя, като създават виртуални връзки за всяка сесия.
Защитни стени за проверка на състоянието
И защитната стена за филтриране на пакети,(Packet-Filtering Firewall) и шлюзът на ниво верига(Circuit Level Gateway) са реализации на защитна стена без състояние. Това означава, че те работят върху статичен набор от правила, ограничавайки тяхната ефективност. Всеки пакет (или сесия) се третира отделно, което позволява извършването само на много основни проверки.
Защитната стена за проверка(Inspection Firewall) на състоянието, от друга страна, следи състоянието на връзката, заедно с подробностите за всеки пакет, предаван през нея. Чрез наблюдение на TCP ръкостискането през цялото времетраене на връзката, защитната стена за проверка на състоянието е в състояние да компилира таблица, съдържаща IP адресите и номерата на портовете на източника и дестинацията и да съпоставя входящите пакети с този динамичен набор от правила.
Благодарение на това е трудно да се промъкнат пакети от злонамерени данни покрай защитна стена за проверка на състоянието. От друга страна, този вид защитна стена има по-висока цена на ресурсите, забавя производителността и създава възможност за хакерите да използват атаки с разпределен отказ на услуга(Denial-of-Service) ( DDoS ) срещу системата.
Прокси защитни стени
По-(Better) известни като шлюзове на ниво приложение(Application Level Gateways) , прокси защитните стени(Proxy Firewalls) работят на предния слой на OSI модела – слоя на приложението. Като последен слой, отделящ потребителя от мрежата, този слой позволява най-задълбочената и скъпа проверка на пакетите с данни с цената на производителността.
Подобно на шлюзовете на ниво верига(Circuit-Level Gateways) , прокси защитните стени(Proxy Firewalls) работят, като посредничат между хоста и клиента, замъглявайки вътрешните IP адреси на портовете на местоназначението. В допълнение, шлюзовете на ниво приложение извършват дълбока проверка на пакети, за да гарантират, че не може да премине злонамерен трафик.
И докато всички тези мерки значително повишават сигурността на мрежата, те също така забавят входящия трафик. Мрежовата(Network) производителност се влошава поради ресурсоемките проверки, извършвани от защитна стена с поддържане на състоянието като тази, което я прави лошо подходяща за приложения, чувствителни към производителността.
NAT защитни стени
В много изчислителни настройки ключовото звено на киберсигурността е да се осигури частна мрежа, прикриваща индивидуалните IP адреси на клиентски устройства както от хакери, така и от доставчици на услуги. Както вече видяхме, това може да се постигне с помощта на прокси(Proxy) защитна стена или шлюз на ниво верига.
Много по-прост метод за скриване на IP адреси е използването на защитна стена за транслация на (Firewall)мрежови адреси(Network Address Translation) ( NAT ) . Защитните стени на NAT(NAT) не изискват много системни ресурси, за да функционират, което ги прави предпочитани между сървърите и вътрешната мрежа.
Защитни стени на уеб приложения
Само мрежовите защитни стени(Network Firewalls) , които работят на слоя на приложението, са в състояние да извършват дълбоко сканиране на пакети данни, като защитна стена на прокси(Proxy Firewall) или още по-добре, защитна стена на уеб приложения(Web Application Firewall) ( WAF ).
Работейки от мрежата или от хоста, WAF преминава през всички данни, предавани от различни уеб приложения, като се уверява, че няма да проникне зловреден код. Този тип архитектура на защитна стена е специализирана в проверка на пакети и осигурява по-добра сигурност от защитните стени на повърхностно ниво.
Облачни защитни стени
Традиционните защитни стени, както хардуерните, така и софтуерните, не се мащабират добре. Те трябва да бъдат инсталирани, като се имат предвид нуждите на системата, като се фокусира върху производителност с висок трафик или ниска сигурност на мрежовия трафик.
Но облачните защитни стени(Cloud Firewalls) са много по-гъвкави. Разгърнат от облака като прокси сървър, този тип защитна стена прихваща мрежовия трафик, преди да влезе във вътрешната мрежа, оторизирайки всяка сесия и проверявайки всеки пакет данни, преди да го пусне.
Най-хубавото е, че такива защитни стени могат да се увеличават и намаляват по капацитет, ако е необходимо, като се настройват към различни нива на входящ трафик. Предлага се като облачна услуга, не изисква хардуер и се поддържа от самия доставчик на услуги.
Защитни стени от следващо поколение
Следващото поколение може да бъде подвеждащ термин. Всички базирани на технологии индустрии обичат да хвърлят модни думи като тази, но какво всъщност означава това? Какъв тип функции квалифицират защитната стена да се счита за следващо поколение?
Всъщност няма строго определение. Като цяло можете да считате решения, които комбинират различни типове защитни стени в една ефективна система за сигурност, като защитна стена от следващо поколение(Next-Generation Firewall) ( NGFW ). Такава защитна стена е в състояние да извършва дълбока проверка на пакети, като същевременно отхвърля DDoS атаките, осигурявайки многослойна защита срещу хакери.
Повечето защитни стени от следващо поколение често комбинират множество мрежови решения, като VPN(VPNs) , системи за предотвратяване на проникване(Intrusion Prevention Systems) ( IPS ) и дори антивирусна програма в един мощен пакет. Идеята е да се предложи цялостно решение, което адресира всички видове мрежови уязвимости, давайки абсолютна мрежова сигурност. За тази цел някои NGFW(NGFWs) могат също да декриптират комуникациите на Secure Socket Layer ( SSL ), което им позволява да забележат и криптирани атаки.
Кой тип (Type)защитна стена(Firewall) е най-добрата за защита на вашата мрежа(Your Network) ?
Нещото при защитните стени е, че различните типове защитни стени използват различни подходи за защита на мрежа(protect a network) .
Най-простите защитни стени просто удостоверяват сесиите и пакетите, без да правят нищо със съдържанието. Защитните стени на шлюза(Gateway) са свързани със създаването на виртуални връзки и предотвратяването на достъп до частни IP адреси. Защитните(Stateful) стени с данни за състоянието следят връзките чрез своите TCP ръкостискания, изграждайки таблица на състоянието с информацията.
След това има защитни стени от следващо поколение(Next-Generation) , които комбинират всички горепосочени процеси с дълбока проверка на пакети и множество други функции за защита на мрежата. Очевидно е да се каже, че NGFW ще осигури на вашата система възможно най-добрата сигурност, но това не винаги е правилният отговор.
В зависимост от сложността на вашата мрежа и типа на изпълняваните приложения, вашите системи може да са по-добре с по-просто решение, което предпазва от най-често срещаните атаки. Най-добрата идея може да е просто да използвате услуга за облачна защитна стена на трета страна(third-party Cloud firewall) , като разтоварите фината настройка и поддръжката на защитната стена на доставчика на услуги.
Related posts
Пристрастяване към интернет и социалните мрежи
Не мога да се свържа с Xbox Live; Коригирайте проблема с Xbox Live Networking в Windows 10
Безплатни инструменти за безжична мрежа за Windows 10
Инструмент за симулация на мрежа на Cisco Packet Tracer и неговите безплатни алтернативи
Как да деактивирате работата в мрежа в Windows Sandbox в Windows 10
Как да настроите NAS (мрежово съхранение)
Какво е защитна стена и каква е нейната цел?
Как да се свържете с отдалечен регистър в Windows 7 и 10
Как да използвате приложението People за управление на акаунти в социалните мрежи
Какво е Localhost и как можете да го използвате?
Как подобрената защита от проследяване на Firefox спира уебсайтовете да ви шпионират
Как да стартирате Windows 10 в безопасен режим с работа в мрежа
Как да намерите най-добрия Wi-Fi канал на Windows, Mac и Linux
Как да коригирате „Не може да се поднови IP адрес“ в Windows
Какво представлява облакът и как да извлечете максимума от него
Може ли да се свърже с безжичен рутер, но не и към интернет?
Обяснено е Peer to Peer Networking (P2P) и споделянето на файлове
Точка за достъп срещу рутер: какви са разликите?
Как работи автоматичното превключване на HDMI
Принудете Windows 7 да използва кабелна връзка през безжична връзка