Что такое брандмауэр? Как они работают и как они вписываются в безопасность предприятия

Сетевые брандмауэры были созданы в качестве основной защиты периметра для большинства организаций, но с момента ее создания технология породила много итераций: прокси, с сохранением состояния, веб-приложение, следующее поколение, которые описаны здесь.

Межсетевые экраны существуют уже три десятилетия, но они радикально развивались, чтобы включать функции, которые раньше продавались как отдельные устройства, и извлекать собранные извне данные, чтобы принимать более взвешенные решения о том, какой сетевой трафик разрешать и какой трафик блокировать.

Теперь только один из незаменимых элементов в экосистеме защиты сети, последние версии известны как корпоративные брандмауэры или брандмауэры следующего поколения (NGFW), чтобы указать, кто должен их использовать и что они постоянно добавляют функциональность.

Что такое брандмауэр?

Брандмауэр - это сетевое устройство, которое отслеживает входящие и исходящие пакеты в сетях и блокирует их или разрешает их в соответствии с правилами, установленными для определения того, какой трафик является допустимым, а какой - нет.

Наш новый игровой сайт жив! Gamestar охватывает игры, игровые гаджеты и снаряжение. Подпишитесь на нашу рассылку, и мы отправим наши лучшие предложения прямо на Ваш почтовый ящик. Узнайте больше здесь.

Существует несколько типов межсетевых экранов, которые развивались в течение многих лет, становясь все более сложными и принимая во внимание больше параметров при определении того, следует ли разрешить пропуск трафика. Брандмауэры начинались как фильтры пакетов, но новейшие делают намного больше.

Изначально размещенные на границах между доверенными и ненадежными сетями, теперь также развернуты межсетевые экраны для защиты внутренних сегментов сетей, таких как центры обработки данных, от других сегментов организаций & rsquo; сетей.

Они обычно развертываются как устройства, созданные отдельными поставщиками, но их также можно купить как виртуальные устройства & ndash; программное обеспечение, которое клиенты устанавливают на собственном оборудовании.

Брандмауэры на основе прокси

Эти брандмауэры действуют как шлюз между конечными пользователями, которые запрашивают данные, и источником этих данных. Хост-устройства подключаются к прокси-серверу, а прокси-сервер устанавливает отдельное соединение с источником данных. В ответ исходные устройства устанавливают соединения с прокси, а прокси устанавливают отдельное соединение с хост-устройством. Перед передачей пакетов по адресу назначения прокси-сервер может фильтровать их, чтобы применять политики и маскировать местоположение устройства получателя, а также для защиты устройства и сети получателя.

Преимущество брандмауэров на основе прокси-сервера заключается в том, что машины вне защищаемой сети могут собирать только ограниченную информацию о сети, поскольку они никогда не подключаются к ней напрямую.

Основным недостатком межсетевых экранов на основе прокси является то, что завершение входящих соединений и создание исходящих соединений, а также фильтрация вызывают задержки, которые могут снизить производительность. В свою очередь, это может исключить использование некоторых приложений через брандмауэр, поскольку время отклика становится слишком медленным.

Stateful firewall

Улучшение производительности по сравнению с брандмауэрами на основе прокси-серверов появилось в виде брандмауэров с сохранением состояния, которые отслеживают область информации о соединениях и делают ненужным брандмауэр для проверки каждого пакета. Это значительно уменьшает задержку, вносимую брандмауэром.

Поддерживая состояние соединений, эти брандмауэры могут, например, отказаться от проверки входящих пакетов, которые они идентифицируют как ответы на законные исходящие соединения, которые уже были проверены. Первоначальная проверка устанавливает, что соединение допустимо, и, сохраняя это состояние в своей памяти, брандмауэр может проходить через последующий трафик, являющийся частью этого же диалога, без проверки каждого пакета.

Брандмауэры веб-приложений

Брандмауэры веб-приложений логически размещаются между серверами, которые поддерживают веб-приложения, и Интернетом, защищая их от определенных атак HTML, таких как межсайтовый скриптинг, внедрение SQL и другие. Они могут быть аппаратными или облачными или могут быть встроены в приложения для определения того, должен ли каждый клиент, пытающийся получить доступ к серверу, иметь доступ.

Брандмауэры следующего поколения

Пакеты можно фильтровать, используя не только состояние соединений, а также адреса источника и назначения. Это где NGFWs вступают в игру. Они включают в себя правила, которые разрешено делать отдельным приложениям и пользователям, и объединяют данные, собранные с помощью других технологий, для принятия более обоснованных решений о том, какой трафик разрешать и какой трафик отбрасывать.

Например, некоторые из этих NGFW выполняют фильтрацию URL-адресов, могут прерывать соединения уровня защищенных сокетов (SSL) и безопасности транспортного уровня (TLS) и поддерживать программно-определяемые глобальные сети (SD-WAN), чтобы повысить эффективность того, как динамические решения SD-WAN о подключении применяются.

Поделиться:

Теги:

    Сделаем это вместе -
    У вашего бизнеса есть история

    Заказ обратного звонка

    Мы перезвоним вам в течение часа или в удобное для вас время