Объяснение 8 типов брандмауэров

Все понимают основную функцию брандмауэра — защищать вашу сеть от вредоносных программ и несанкционированного доступа. Но точные особенности работы брандмауэров менее известны.

Что такое брандмауэр? Как работают различные типы брандмауэров? И, пожалуй, самое главное — какой тип брандмауэра лучше?

Брандмауэр 101

Проще говоря, брандмауэр — это еще одна конечная точка сети. Что делает его особенным, так это его способность перехватывать и сканировать входящий трафик до того, как он попадет во внутреннюю сеть, блокируя доступ злоумышленников.

Проверка подлинности каждого соединения, сокрытие IP-адреса назначения от хакеров и даже сканирование содержимого каждого пакета данных — все это делают брандмауэры. Брандмауэр служит своего рода контрольно-пропускным пунктом, тщательно контролируя тип передаваемых данных.

Брандмауэры с фильтрацией пакетов

Межсетевые экраны с фильтрацией пакетов — это самая простая и наименее ресурсоемкая технология межсетевых экранов. Хотя в наши дни это не в моде, они были основным продуктом сетевой защиты на старых компьютерах.

Брандмауэр с фильтрацией пакетов работает на уровне пакетов, сканируя каждый входящий пакет от сетевого маршрутизатора. Но на самом деле он не сканирует содержимое пакетов данных, а только их заголовки. Это позволяет брандмауэру проверять метаданные, такие как адреса источника и получателя, номера портов и т. д.

Как вы могли подозревать, этот тип брандмауэра не очень эффективен. Все, что может сделать брандмауэр с фильтрацией пакетов, — это сократить ненужный сетевой трафик в соответствии со списком контроля доступа. Поскольку само содержимое пакета не проверяется, вредоносное ПО все равно может пройти.

Шлюзы на уровне цепи

Другим ресурсоэффективным способом проверки легитимности сетевых подключений является шлюз на уровне канала. Вместо проверки заголовков отдельных пакетов данных шлюз уровня канала проверяет сам сеанс.

Опять же, такой брандмауэр не просматривает содержимое самой передачи, что делает его уязвимым для множества вредоносных атак. При этом проверка соединений протокола управления передачей (TCP) на уровне сеансов модели OSI требует очень мало ресурсов и может эффективно отключать нежелательные сетевые соединения.

Вот почему шлюзы на уровне каналов часто встраиваются в большинство решений сетевой безопасности, особенно в программные брандмауэры. Эти шлюзы также помогают маскировать IP-адрес пользователя, создавая виртуальные соединения для каждого сеанса.

Брандмауэры Stateful Inspection

И брандмауэр с фильтрацией пакетов, и шлюз уровня цепи являются реализациями брандмауэра без сохранения состояния. Это означает, что они работают по статическому набору правил, что ограничивает их эффективность. Каждый пакет (или сеанс) обрабатывается отдельно, что позволяет выполнять только самые простые проверки.

Брандмауэр Stateful Inspection, с другой стороны, отслеживает состояние соединения, а также детали каждого передаваемого через него пакета. Отслеживая рукопожатие TCP на протяжении всего соединения, брандмауэр с отслеживанием состояния может составить таблицу, содержащую IP-адреса и номера портов источника и получателя, и сопоставить входящие пакеты с этим динамическим набором правил.

Благодаря этому трудно проникнуть в вредоносные пакеты данных через брандмауэр с контролем состояния. С другой стороны, этот тип брандмауэра требует больших затрат ресурсов, снижает производительность и дает хакерам возможность использовать распределенные атаки типа «отказ в обслуживании» (DDoS) против системы.

Прокси-брандмауэры

Прокси-брандмауэры, более известные как шлюзы уровня приложений, работают на внешнем уровне модели OSI — прикладном уровне. Как последний уровень, отделяющий пользователя от сети, этот уровень обеспечивает наиболее тщательную и дорогостоящую проверку пакетов данных за счет производительности.

Подобно шлюзам уровня цепи, прокси-брандмауэры работают, вмешиваясь между хостом и клиентом, скрывая внутренние IP-адреса портов назначения. Кроме того, шлюзы уровня приложений выполняют глубокую проверку пакетов, чтобы исключить возможность прохождения вредоносного трафика.

И хотя все эти меры значительно повышают безопасность сети, они также замедляют входящий трафик. Производительность сети снижается из-за ресурсоемких проверок, проводимых межсетевым экраном с отслеживанием состояния, подобным этому, что делает его плохо подходящим для приложений, чувствительных к производительности.

Брандмауэры NAT

Во многих вычислительных системах ключевым стержнем кибербезопасности является обеспечение частной сети, скрывающей индивидуальные IP-адреса клиентских устройств как от хакеров, так и от поставщиков услуг. Как мы уже видели, этого можно добиться с помощью прокси-брандмауэра или шлюза уровня схемы.

Гораздо более простой способ скрыть IP-адреса — использовать межсетевой экран преобразования сетевых адресов (NAT). Брандмауэрам NAT не требуется много системных ресурсов для работы, что делает их связующим звеном между серверами и внутренней сетью.

Брандмауэры веб-приложений

Только сетевые брандмауэры, работающие на уровне приложений, могут выполнять глубокое сканирование пакетов данных, например прокси-брандмауэр или, что еще лучше, брандмауэр веб-приложений (WAF).

Работая в сети или на хосте, WAF просматривает все данные, передаваемые различными веб-приложениями, гарантируя отсутствие вредоносного кода. Этот тип архитектуры брандмауэра специализируется на проверке пакетов и обеспечивает лучшую безопасность, чем брандмауэры поверхностного уровня.

Облачные брандмауэры

Традиционные брандмауэры, как аппаратные, так и программные, плохо масштабируются. Их необходимо устанавливать с учетом потребностей системы, ориентируясь либо на высокую производительность трафика, либо на низкую безопасность сетевого трафика.

Но облачные брандмауэры гораздо более гибкие. Развернутый из облака в качестве прокси-сервера, этот тип брандмауэра перехватывает сетевой трафик до того, как он попадет во внутреннюю сеть, авторизуя каждый сеанс и проверяя каждый пакет данных, прежде чем пропустить его.

Самое приятное то, что такие брандмауэры можно увеличивать и уменьшать по мере необходимости, приспосабливаясь к различным уровням входящего трафика. Предлагается как облачная служба, не требует оборудования и поддерживается самим поставщиком услуг.

Межсетевые экраны нового поколения

Термин «следующее поколение» может ввести в заблуждение. Все технологические отрасли любят разбрасываться подобными модными словечками, но что это на самом деле означает? Какие функции позволяют брандмауэру считаться брандмауэром следующего поколения?

На самом деле строгого определения нет. Как правило, вы можете рассматривать решения, которые объединяют различные типы брандмауэров в единую эффективную систему безопасности, в качестве брандмауэра следующего поколения (NGFW). Такой межсетевой экран способен выполнять глубокую проверку пакетов, а также отклонять DDoS-атаки, обеспечивая многоуровневую защиту от хакеров.

Большинство брандмауэров следующего поколения часто сочетают в себе несколько сетевых решений, таких как VPN, системы предотвращения вторжений (IPS) и даже антивирус в одном мощном пакете. Идея состоит в том, чтобы предложить комплексное решение, устраняющее все типы сетевых уязвимостей и обеспечивающее абсолютную сетевую безопасность. С этой целью некоторые NGFW также могут расшифровывать сообщения Secure Socket Layer (SSL), что позволяет им также обнаруживать зашифрованные атаки.

Какой тип брандмауэра лучше всего подходит для защиты вашей сети?

Особенность брандмауэров в том, что разные типы брандмауэров используют разные подходы к защите сети.

Простейшие брандмауэры просто аутентифицируют сеансы и пакеты, ничего не делая с содержимым. Брандмауэры шлюза предназначены для создания виртуальных соединений и предотвращения доступа к частным IP-адресам. Брандмауэры с отслеживанием состояния отслеживают соединения посредством своих TCP-рукопожатий, создавая таблицу состояний с информацией.

Кроме того, существуют брандмауэры нового поколения, которые сочетают в себе все вышеперечисленные процессы с глубокой проверкой пакетов и набором других функций защиты сети. Очевидно, что NGFW обеспечит вашей системе наилучшую возможную безопасность, но это не всегда правильный ответ.

В зависимости от сложности вашей сети и типа выполняемых приложений ваши системы могут быть лучше с более простым решением, которое вместо этого защищает от наиболее распространенных атак. Лучшей идеей может быть просто использование сторонней службы облачного брандмауэра, перекладывая тонкую настройку и обслуживание брандмауэра на поставщика услуг.