Svatko razumije osnovnu funkciju vatrozida - da zaštiti vašu mrežu od zlonamjernog softvera i neovlaštenog pristupa. No, točne specifičnosti rada vatrozida manje su poznate.

Što je zapravo vatrozid^(firewall) ? Kako funkcioniraju različite vrste vatrozida? I možda najvažnije – koja je vrsta vatrozida najbolja?

Vatrozid 101

Jednostavno^(Simply) rečeno, vatrozid je samo još jedna mrežna krajnja točka. Ono što ga čini posebnim je njegova sposobnost presretanja i skeniranja dolaznog prometa prije nego što uđe u internu mrežu, blokirajući zlonamjernim akterima pristup.

Provjera provjere autentičnosti svake veze, skrivanje odredišne ​​IP adrese od hakera, pa čak i skeniranje sadržaja svakog paketa podataka – vatrozidovi rade sve. Vatrozid služi kao svojevrsna kontrolna točka, pažljivo kontrolirajući vrstu komunikacije koja se propušta.

Vatrozidi za filtriranje paketa

Vatrozidi za filtriranje paketa najjednostavnija su tehnologija vatrozida s najmanje resursima. Iako ovih dana nije u modi, oni su bili glavna zaštita mreže na starim računalima.

Vatrozid za filtriranje paketa radi na razini paketa, skenirajući svaki dolazni paket s mrežnog usmjerivača. Ali zapravo ne skenira sadržaj paketa podataka – samo njihova zaglavlja. To omogućuje vatrozidu da provjeri metapodatke kao što su izvorne i odredišne ​​adrese, brojevi portova itd.

Kao što možete sumnjati, ova vrsta vatrozida nije baš učinkovita. Sve što vatrozid za filtriranje paketa može učiniti jest smanjiti nepotreban mrežni promet prema popisu kontrole pristupa. Budući da se sam sadržaj paketa ne provjerava, zlonamjerni softver i dalje može proći.

Pristupnici na razini kruga

Drugi resursno učinkovit način provjere legitimnosti mrežnih veza je pristupnik na razini kruga. Umjesto provjere zaglavlja pojedinačnih paketa podataka, pristupnik na razini kruga provjerava samu sesiju.

Još jednom, vatrozid poput ovog ne prolazi kroz sadržaj samog prijenosa, ostavljajući ga ranjivim na mnoštvo zlonamjernih napada. S obzirom na to, provjera veza protokola kontrole prijenosa^{(Transmission Control Protocol)} ( TCP ) iz sloja sesija OSI modela oduzima vrlo malo resursa i može učinkovito isključiti nepoželjne mrežne veze.

To je razlog zašto su pristupnici na razini kola često ugrađeni u većinu rješenja za sigurnost mreže, posebno u softverske vatrozide. Ovi pristupnici također pomažu u maskiranju IP adrese korisnika stvaranjem virtualnih veza za svaku sesiju.

Vatrozidi za inspekciju stanja

Vatrozid za filtriranje paketa^{(Packet-Filtering Firewall)} i pristupnik na razini kruga^{(Circuit Level Gateway)} implementacije su vatrozida bez stanja. To znači da rade na statičnom skupu pravila, ograničavajući njihovu učinkovitost. Svaki paket (ili sesija) se tretira zasebno, što omogućuje samo osnovne provjere.

 Vatrozid za inspekciju^{(Inspection Firewall)} stanja, s druge strane, prati stanje veze, zajedno s pojedinostima o svakom paketu koji se preko njega prenosi. Praćenjem TCP rukovanja tijekom trajanja veze, vatrozid za inspekciju stanja može sastaviti tablicu koja sadrži IP adrese i brojeve portova izvora i odredišta i uskladiti dolazne pakete s ovim dinamičkim skupom pravila.

Zahvaljujući tome, teško je ušuljati se u pakete zlonamjernih podataka mimo vatrozida za inspekciju stanja. S druge strane, ova vrsta vatrozida ima veću cijenu resursa, usporava performanse i stvara priliku za hakere da koriste distribuirane napade uskraćivanja usluge^{(Denial-of-Service)} ( DDoS ) na sustav.

Proxy vatrozidi

Poznatiji^(Better) kao pristupnici na razini aplikacije^{(Application Level Gateways)} , proxy vatrozidovi^{(Proxy Firewalls)} djeluju na prednjem sloju OSI modela – sloju aplikacije. Kao završni sloj koji odvaja korisnika od mreže, ovaj sloj omogućuje najtemeljitiju i najskuplju provjeru paketa podataka, po cijenu performansi.

Slično pristupnicima na razini kruga^{(Circuit-Level Gateways)} , proxy vatrozidi^{(Proxy Firewalls)} rade posredstvom između hosta i klijenta, prikrivajući interne IP adrese odredišnih portova. Osim toga, pristupnici na razini aplikacije obavljaju duboku inspekciju paketa kako bi osigurali da zlonamjerni promet ne može proći.

I dok sve ove mjere značajno povećavaju sigurnost mreže, također usporavaju dolazni promet. Mrežne^(Network) performanse su pogođene zbog provjera koje zahtijevaju velike resurse koje provodi vatrozid s uvidom u stanje poput ovog, što ga čini lošim za aplikacije osjetljive na performanse. 

NAT vatrozidi

U mnogim računalnim postavkama, ključna točka kibernetičke sigurnosti je osigurati privatnu mrežu, prikrivajući pojedinačne IP adrese klijentskih uređaja i od hakera i od davatelja usluga. Kao što smo već vidjeli, to se može postići korištenjem proxy vatrozida ili pristupnika na razini kruga.

Mnogo jednostavnija metoda skrivanja IP adresa je korištenje vatrozida za ^(Firewall)prevođenje mrežnih adresa^{(Network Address Translation)} ( NAT ) . NAT vatrozidi ne zahtijevaju mnogo resursa sustava za funkcioniranje, što ih čini glavnim mjestom između poslužitelja i interne mreže.

Vatrozidi web aplikacija

Samo mrežni vatrozidi^{(Network Firewalls)} koji rade na aplikacijskom sloju mogu izvesti duboko skeniranje paketa podataka, poput proxy vatrozida^{(Proxy Firewall)} , ili još bolje, vatrozida web aplikacija^{(Web Application Firewall)} ( WAF ).

Radeći unutar mreže ili hosta, WAF prolazi kroz sve podatke koje prenose razne web aplikacije, pazeći da zlonamjerni kod ne prođe. Ova vrsta arhitekture vatrozida specijalizirana je za inspekciju paketa i pruža bolju sigurnost od vatrozida na površini.

Vatrozidi u oblaku

Tradicionalni vatrozidi, kako hardverski tako i softverski, nisu dobro skalirani. Moraju se instalirati imajući na umu potrebe sustava, bilo usredotočujući se na performanse visokog prometa ili nisku sigurnost mrežnog prometa.

Ali Cloud Firewall^{(Cloud Firewalls)} su daleko fleksibilniji. Razmješten iz oblaka kao proxy poslužitelj, ovaj tip vatrozida presreće mrežni promet prije nego što uđe u internu mrežu, autorizirajući svaku sesiju i provjeravajući svaki paket podataka prije nego što ga pusti unutra.

Najbolji dio je što se takvi vatrozidovi mogu povećavati i smanjivati ​​u kapacitetu prema potrebi, prilagođavajući se različitim razinama dolaznog prometa. Nudi se kao usluga temeljena na oblaku, ne zahtijeva hardver i održava je sam davatelj usluga.

Vatrozidovi sljedeće generacije

Sljedeća generacija može biti pogrešan izraz. Sve industrije koje se temelje na tehnologiji vole bacati ovakve riječi, ali što to zapravo znači? Koja vrsta značajki kvalificira vatrozid da se smatra sljedećom generacijom?

Istina, ne postoji stroga definicija. Općenito, rješenja koja kombiniraju različite vrste vatrozida u jedan učinkovit sigurnosni sustav možete smatrati vatrozidom sljedeće generacije^{(Next-Generation Firewall)} ( NGFW ). Takav vatrozid sposoban je za dubinsku inspekciju paketa, a također odbija DDoS napade, pružajući višeslojnu obranu od hakera.

Većina vatrozida sljedeće generacije često će kombinirati višestruka mrežna rješenja, kao što su VPN^(VPNs) -ovi , sustavi za sprječavanje upada^{(Intrusion Prevention Systems)} ( IPS ), pa čak i antivirusni program u jedan moćan paket. Ideja je ponuditi cjelovito rješenje koje rješava sve vrste mrežnih ranjivosti, dajući apsolutnu sigurnost mreže. U tu svrhu, neki NGFW-ovi također^(NGFWs) mogu dešifrirati komunikaciju Secure Socket Layer ( SSL ), dopuštajući im da primjećuju i šifrirane napade.

Koja je vrsta ^(Type)vatrozida^(Firewall) najbolja za zaštitu vaše mreže^{(Your Network)} ?

Ono što se tiče vatrozida je da različite vrste vatrozida koriste različite pristupe za zaštitu mreže^{(protect a network)} .

Najjednostavniji vatrozidi samo provjeravaju autentičnost sesija i paketa, ne radeći ništa sa sadržajem. Vatrozidi pristupnika^(Gateway) su sve o stvaranju virtualnih veza i sprječavanju pristupa privatnim IP adresama. Vatrozidi^(Stateful) s podacima o stanju prate veze putem svojih TCP rukovanja, grade tablicu stanja s informacijama.

Zatim tu su vatrozidi sljedeće generacije^{(Next-Generation)} , koji kombiniraju sve gore navedene procese s dubokom inspekcijom paketa i mnoštvom drugih značajki zaštite mreže. Očito je reći da bi NGFW vašem sustavu pružio najbolju moguću sigurnost, ali to nije uvijek pravi odgovor.

Ovisno o složenosti vaše mreže i vrsti aplikacija koje se pokreću, vašim bi sustavima možda bolje bilo jednostavnije rješenje koje štiti od najčešćih napada. Najbolja ideja bi mogla biti samo korištenje usluge Cloud firewall usluge treće strane^{(third-party Cloud firewall)} , prebacujući fino podešavanje i održavanje vatrozida na davatelja usluga.

8 Types of Firewalls Explained

Everyonе understands the basic function of a firewall – to protect yоur nеtwork from malware and unauthorіzed access. But the exact specifics оf how firewalls work are lesѕer-knоwn.

What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?

Firewall 101

Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.

Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.

Packet-Filtering Firewalls

Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.

A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.

As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.

Circuit Level Gateways

Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.

Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.

This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.

Stateful Inspection Firewalls

Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.

 A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.

Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.

Proxy Firewalls

Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.

Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.

And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications. 

NAT Firewalls

In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.

A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.

Web Application Firewalls

Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).

Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.

Cloud Firewalls

Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.

But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.

The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.

Next-Generation Firewalls

Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?

In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.

Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.

Which Type of Firewall is the Best to Protect Your Network?

The thing about firewalls is that different types of firewalls use different approaches to protect a network.

The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.

Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.

Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.

Related posts

• Ovisnost o internetu i društvenim mrežama

• Ne mogu se spojiti na Xbox Live; Riješite problem s Xbox Live Networkingom u sustavu Windows 10

• Besplatni alati za bežično umrežavanje za Windows 10

• Alat za simulaciju mreže Cisco Packet Tracer i njegove besplatne alternative

• Kako onemogućiti umrežavanje u Windows Sandboxu u sustavu Windows 10

• Što je NAT, kako radi i zašto se koristi?

• Kako postaviti NAS (mrežna pohrana)

• Kako Firefoxova poboljšana zaštita od praćenja sprječava da vas web stranice špijuniraju

• Kako koristiti Xbox Networking u sustavu Windows 10, da provjerite svoju vezu s Xbox Liveom

• 8 jednostavnih Raspberry Pi projekata za početnike

• HDG objašnjava: Što je računalni priključak i za što se koriste?

• Što je CDN i zašto je jedan bitan ako posjedujete domenu?

• Recenzija knjige - Referenca za stolne višenamjenske mreže za kućno umrežavanje za lutke

• 8 jednostavnih načina za rješavanje problema s mrežnom vezom

• HDG objašnjava: Što je RFID i za što se može koristiti?

• Što je oblak i kako ga najbolje iskoristiti

• Recenzija knjige - Bežično kućno umrežavanje za lutke

• Kako popraviti "Nemate dopuštenje za slanje ovom primatelju"

• Kako izbjeći i riješiti DNS prekide

• Pristupna točka u odnosu na usmjerivač: koje su razlike?