Это неправда, что самые существенные ограничения в использовании брандмауэров
Обновлено: 20.11.2024
Брандмауэры с фильтрацией пакетов работают на сетевом уровне (уровень 3) модели OSI. Брандмауэры с фильтрацией пакетов принимают решения об обработке на основе сетевых адресов, портов или протоколов.
Брандмауэры с фильтрацией пакетов работают очень быстро, потому что в принимаемых ими решениях не так уж много логики. Никакой внутренней проверки трафика они не проводят. Они также не хранят никакой информации о состоянии. Вы должны вручную открыть порты для всего трафика, который будет проходить через брандмауэр.
Брандмауэры с фильтрацией пакетов считаются не очень безопасными. Это связано с тем, что они будут перенаправлять любой трафик, проходящий через утвержденный порт. Таким образом, может быть отправлен вредоносный трафик, но пока он находится на приемлемом порту, он не будет заблокирован.
Диспетчерский контроль и сбор данных
Статический фильтр пакетов
Брандмауэры с фильтрацией пакетов относятся к старейшим архитектурам брандмауэров. Брандмауэр со статической фильтрацией пакетов работает только на сетевом уровне (уровень 3) модели OSI и не различает протоколы приложений. Брандмауэр этого типа решает, принимать или отклонять отдельные пакеты, основываясь на проверке полей в заголовках IP-адреса и протокола пакета. Статический пакетный фильтр не влияет на производительность в сколько-нибудь заметной степени, а его низкие требования к обработке сделали этот вариант привлекательным на раннем этапе по сравнению с другими брандмауэрами, которые снижали скорость отклика. Однако современные межсетевые экраны более высокого уровня также обеспечивают превосходную производительность. Кроме того, более быстрые сети лучше справляются с более высокими требованиями к обработке брандмауэра, работающего на более высоком уровне стека OSI.
Брандмауэр с фильтрацией пакетов фильтрует IP-пакеты на основе IP-адреса источника и получателя, а также порта источника и получателя. В пакетном фильтре могут отсутствовать средства ведения журнала, что делает его непрактичным для организации, имеющей требования соответствия и отчетности, которых они должны придерживаться. Кроме того, поскольку он проверяет только заголовки пакетов, злоумышленники могут обойти статический фильтр пакетов с помощью простых методов спуфинга, поскольку фильтр не может отличить настоящий адрес от поддельного. Другое ограничение заключается в том, что для более крупных установок статический фильтр пакетов становится громоздким, поскольку правила фильтрации пакетов проверяются в последовательном порядке, и при вводе правил в базу правил необходимо соблюдать осторожность. Другое неотъемлемое ограничение заключается в том, что статический фильтр пакетов не проверяет весь пакет, что позволяет злоумышленнику скрыть вредоносные команды внутри непроверенных заголовков или внутри самой полезной нагрузки. Наконец, статический фильтр пакетов не учитывает состояние, поэтому администратору необходимо настроить правила для обеих сторон диалога. Сегодня этот тип брандмауэра считается очень простым и ограниченным и даже может быть включен в операционные системы в качестве «дополнительного».
Защита внутренней сети от внешней сети и Интернета
Тим Спид, Хуанита Эллис, Internet Security, 2003 г.
5.1.2 Оценка правильного типа брандмауэра(ов) для вашего предприятия
Основной функцией брандмауэра является защита внутренних конфиденциальных данных от внешнего мира. Существует три основных типа брандмауэров, используемых для защиты внутренней сети предприятия, но любое устройство, которое из соображений безопасности контролирует трафик, проходящий через сеть, может считаться брандмауэром. Три основных типа брандмауэров используют разные методы для выполнения одной и той же задачи — защиты внутренней сети. Самый простой тип брандмауэра — это устройство фильтрации пакетов, также известное как экранирующий маршрутизатор. Брандмауэры с фильтрацией пакетов — это маршрутизаторы, работающие на нижних уровнях стека сетевых протоколов. На более высоком уровне находятся шлюзы прокси-серверов, которые выполняют прокси-сервисы для внутренних клиентов, регулируя входящий внешний сетевой трафик, а также отслеживая и обеспечивая контроль трафика исходящих внутренних пакетов. Третий тип брандмауэра, известный как шлюз на уровне канала, основан на методах проверки с отслеживанием состояния. «Проверка состояния» — это метод фильтрации, который требует компромисса между производительностью и безопасностью. Давайте рассмотрим три основных типа брандмауэров.
Брандмауэры с фильтрацией пакетов
Брандмауэры с фильтрацией пакетов позволяют фильтровать IP-адреса одним из двух основных способов:
Разрешение доступа к известным IP-адресам
Запрет доступа к IP-адресам и портам
Например, разрешив доступ к известным IP-адресам, вы можете разрешить доступ только к признанным, установленным IP-адресам или запретить доступ ко всем неизвестным или непризнанным IP-адресам.
Согласно отчету CERT, наиболее выгодно использовать методы фильтрации пакетов, чтобы разрешить только одобренный и известный сетевой трафик в максимально возможной степени.Использование фильтрации пакетов может быть очень экономичным средством добавления контроля трафика к уже существующей инфраструктуре маршрутизатора.
Фильтрация IP-пакетов тем или иным образом выполняется всеми брандмауэрами. Обычно это делается через маршрутизатор с фильтрацией пакетов. Маршрутизатор будет фильтровать или проверять пакеты, проходящие через интерфейсы маршрутизатора, работающие в рамках политики брандмауэра, установленной предприятием. Пакет — это часть информации, которая передается по сети. Маршрутизатор фильтрации пакетов проверяет путь, по которому проходит пакет, и тип информации, содержащейся в пакете. Если пакет проходит тесты политики брандмауэра, ему разрешается продолжить свой путь. Информация, которую ищет маршрутизатор фильтрации пакетов, включает (1) IP-адрес источника пакета и исходный порт TCP/UDP и (2) IP-адрес назначения и порт TCP/UDP назначения пакета.
Некоторые брандмауэры с фильтрацией пакетов могут фильтровать только IP-адреса, а не порт TCP/UDP источника, но наличие фильтрации TCP или UDP в качестве функции может обеспечить гораздо большую маневренность, поскольку трафик может быть ограничен для всех входящих подключений, кроме выбранные предприятием.
Брандмауэры с фильтрацией пакетов обычно работают либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на маршрутизаторах специального назначения. Оба имеют свои преимущества и недостатки. Основное преимущество компьютера общего назначения состоит в том, что он предлагает неограниченную функциональную расширяемость, тогда как недостатками являются средняя производительность, ограниченное количество интерфейсов и недостатки операционной системы. Преимуществами специализированного маршрутизатора являются большее количество интерфейсов и повышенная производительность, а недостатками — ограниченная функциональная расширяемость и более высокие требования к памяти.
Несмотря на то, что брандмауэры с фильтрацией пакетов менее дороги, чем другие типы, и поставщики улучшают свои предложения, они считаются менее желательными с точки зрения удобства обслуживания и настройки. Они полезны для контроля и ограничения полосы пропускания, но им не хватает других функций, таких как возможности ведения журнала. Если политика брандмауэра не ограничивает определенные типы пакетов, пакеты могут остаться незамеченными до тех пор, пока не произойдет инцидент. Предприятиям, использующим брандмауэры с фильтрацией пакетов, следует искать устройства, обеспечивающие подробное ведение журнала, упрощенную настройку и проверку политик брандмауэра.
Прокси-сервер или шлюз приложений
Прокси-серверы, также известные как прокси-сервер приложений или шлюз приложений, используют тот же метод, что и фильтр пакетов, поскольку они проверяют, куда направляется пакет, и тип информации, содержащейся в пакете. Однако прокси-сервер приложения не просто пропускает пакет к месту назначения; он доставляет пакет для вас.
Скрытие адресов всех внутренних компьютеров снижает риск получения хакерами информации о внутренних данных предприятия. В прошлом использование прокси-серверов приводило к снижению производительности и прозрачности доступа к другим сетям. Однако в новых моделях некоторые из этих проблем решены.
Шлюзы приложений устранили некоторые недостатки, связанные с устройствами фильтрации пакетов в отношении приложений, которые перенаправляют и фильтруют соединения для таких служб, как Telnet и FTP. Однако шлюзы приложений и устройства фильтрации пакетов не обязательно использовать независимо друг от друга. Совместное использование брандмауэров шлюза приложений и устройств фильтрации пакетов может обеспечить более высокий уровень безопасности и гибкости, чем использование любого из них по отдельности. Примером этого может служить веб-сайт, который использует брандмауэр с фильтрацией пакетов, чтобы блокировать все входящие соединения Telnet и FTP и направлять их к шлюзу приложений. С помощью шлюза приложений исходный IP-адрес входящих пакетов Telnet и FTP может быть аутентифицирован и зарегистрирован, и если информация, содержащаяся в пакетах, соответствует критериям приемлемости шлюза приложений, создается прокси-сервер и разрешается соединение между шлюз и выбранный внутренний хост. Шлюз приложений будет разрешать только те соединения, для которых создан прокси. Эта форма системы брандмауэра позволяет только тем службам, которые считаются заслуживающими доверия, проходить во внутренние системы предприятия и предотвращает прохождение ненадежных служб без мониторинга и контроля со стороны системных администраторов брандмауэра.
Преимущества шлюзов приложений многочисленны. Сокрытие исходного IP-адреса клиента от внешних систем обеспечивает дополнительную защиту от посторонних глаз хакеров, стремящихся извлечь информацию из ваших внутренних систем. Использование функций ведения журнала и аутентификации служит для идентификации и авторизации внешних служб, пытающихся войти в вашу внутреннюю сеть. Нежелательных и непрошенных гостей можно распознать и не допустить.Это также очень экономичный подход, поскольку любые сторонние устройства для аутентификации и ведения журнала должны располагаться только на шлюзе приложений. Шлюзы приложений также позволяют использовать более простые правила фильтрации. Вместо того, чтобы направлять трафик приложений в несколько разных систем, его нужно направлять только к шлюзу приложений; весь остальной трафик может быть отклонен.
Многие типы шлюзов приложений также поддерживают электронную почту и другие службы в дополнение к Telnet и FTP. Поскольку шлюзы приложений направляют множество форм трафика приложений, они позволяют применять политики безопасности, основанные не только на исходных и целевых IP-адресах и службах, но и на реальных данных, содержащихся в пакетах приложений.
В случае шлюза приложений, который собирает и маршрутизирует электронную почту между интрасетью, экстранетом и Интернетом, все внутренние пользователи будут отображаться в форме, основанной на имени шлюза приложений электронной почты, например, [ электронная почта защищена] Шлюз приложений электронной почты будет направлять почту из Экстранета или Интернета по внутренней сети. Внутренние пользователи могут отправлять почту извне либо непосредственно со своих хостов, либо через шлюз приложения электронной почты, который направляет почту на хост назначения. Шлюзы приложений также могут отслеживать и отсеивать пакеты электронной почты, содержащие вирусы и другие нежелательные формы коммерческой электронной почты, от проникновения во внутренние области вашего бизнеса.
Как и в случае брандмауэров с фильтрацией пакетов, шлюзы приложений обычно работают либо на компьютерах общего назначения, которые действуют как маршрутизаторы, либо на специальных прокси-серверах.
Устройства фильтрации пакетов в целом работают быстрее, чем шлюзы приложений, но, как правило, им не хватает безопасности, предлагаемой большинством прокси-сервисов.
Учитывая дополнительную сложность шлюзов приложений по сравнению с брандмауэрами с фильтрацией пакетов, при оценке потребностей вашего предприятия в брандмауэрах следует учитывать дополнительные вычислительные ресурсы и стоимость поддержки такой системы. Например, в зависимости от ваших требований хост может поддерживать от сотен до тысяч прокси-процессов для всех одновременных сеансов, используемых в вашей сети. Как и в случае с большинством бизнес-решений, чем выше требуемая производительность, тем выше затраты, которые будут понесены для достижения этой дополнительной производительности.
Шлюзы уровня цепи
Шлюз уровня канала аналогичен шлюзу приложений, за исключением того, что ему не нужно понимать тип передаваемой информации. Например, серверы SOCKS могут выступать в качестве шлюзов на уровне каналов. «SOCKS» — это протокол, который сервер использует для приема запросов от клиента во внутренней сети, чтобы он мог отправлять их через Интернет. SOCKS использует сокеты для мониторинга отдельных подключений.
Шлюзы на уровне канала выполняют проверку с отслеживанием состояния или динамическую фильтрацию пакетов для принятия решений о фильтрации. Хотя шлюзы цепного уровня иногда группируются со шлюзами приложений, они принадлежат к отдельной категории, поскольку они не выполняют никакой дополнительной оценки данных в пакете, кроме установления разрешенных соединений между внешним миром и внутренней сетью.
Проверка с отслеживанием состояния — это функция шлюза на уровне канала, которая обеспечивает более надежную проверку, чем предлагаемая устройствами фильтрации пакетов, поскольку для принятия решений по фильтрации используются как содержимое пакета, так и предыдущая история пакетов. Эта проверка является «дополнительной» функцией, поэтому устройство шлюза на уровне канала также служит маршрутизатором.
Эта дополнительная функция обеспечивает повышенную производительность по сравнению с прокси-серверами приложений за счет компромисса между критериями производительности и безопасности.
Шлюзы на уровне каналов предлагают расширенные возможности мониторинга безопасности по сравнению с брандмауэрами с фильтрацией пакетов, но по-прежнему полагаются на хорошо продуманную базовую структуру маршрутизации и, как и прокси-серверы приложений, могут быть настроены для определения расширенного решения о доступе. изготовление.
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .
Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .
Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .
Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .
Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .
Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
ЕС и США согласовывают структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предложат уступки в отношении слежки и новых данных.
Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.
Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .
Знакомство с брандмауэрами для дома и малого офиса
Использование брандмауэра в сочетании с другими защитными мерами может повысить вашу устойчивость к атакам.
Когда ваш компьютер доступен через подключение к Интернету или сеть Wi-Fi, он подвержен атаке. Однако вы можете ограничить внешний доступ к вашему компьютеру и информации на нем с помощью брандмауэра.
Что делают брандмауэры?
Брандмауэры обеспечивают защиту от внешних кибератак, защищая ваш компьютер или сеть от вредоносного или ненужного сетевого трафика. Брандмауэры также могут предотвратить доступ вредоносного программного обеспечения к компьютеру или сети через Интернет. Брандмауэры можно настроить так, чтобы они блокировали данные из определенных местоположений (например, сетевых адресов компьютеров), приложений или портов, пропуская при этом релевантные и необходимые данные. (Дополнительную информацию см. в разделе Общие сведения об атаках типа «отказ в обслуживании».)
Какой тип брандмауэра лучше?
К категориям брандмауэров относятся аппаратное и программное обеспечение. Хотя у обоих есть свои преимущества и недостатки, решение об использовании брандмауэра важнее, чем решение о том, какой тип вы используете.
- Оборудование. Эти физические устройства, обычно называемые сетевыми брандмауэрами, располагаются между вашим компьютером и Интернетом (или другим сетевым подключением). Многие поставщики и некоторые поставщики интернет-услуг (ISP) предлагают интегрированные маршрутизаторы для малых и домашних офисов, которые также включают функции брандмауэра. Аппаратные брандмауэры особенно полезны для защиты нескольких компьютеров и контроля сетевой активности, которая пытается пройти через них. Преимущество аппаратных брандмауэров заключается в том, что они обеспечивают дополнительную линию защиты от атак, достигающих настольных вычислительных систем. Недостатком является то, что это отдельные устройства, для настройки и обслуживания которых требуются обученные специалисты.
- Программное обеспечение. Большинство операционных систем (ОС) включают встроенную функцию брандмауэра, которую следует включить для дополнительной защиты, даже если у вас есть внешний брандмауэр. Программное обеспечение брандмауэра также можно приобрести отдельно в местном компьютерном магазине, у поставщика программного обеспечения или у поставщика услуг Интернета. Если вы загружаете программное обеспечение брандмауэра из Интернета, убедитесь, что оно получено из надежного источника (например, от признанного поставщика программного обеспечения или поставщика услуг) и предлагается через безопасный сайт. (Дополнительную информацию см. в разделе Общие сведения о сертификатах веб-сайтов.) Преимущество программных брандмауэров заключается в их способности контролировать определенное сетевое поведение отдельных приложений в системе. Существенным недостатком программного брандмауэра является то, что он обычно располагается в той же защищаемой системе. Нахождение в одной системе может помешать брандмауэру обнаруживать и останавливать вредоносные действия. Другой возможный недостаток программных брандмауэров заключается в том, что если у вас есть брандмауэр для каждого компьютера в сети, вам нужно будет обновлять и управлять брандмауэром каждого компьютера по отдельности.
Как узнать, какие параметры конфигурации следует применить?
Большинство имеющихся в продаже брандмауэров, как аппаратных, так и программных, предварительно настроены и готовы к использованию. Поскольку каждый брандмауэр уникален, вам необходимо прочитать и понять документацию, прилагаемую к нему, чтобы определить, достаточно ли настроек брандмауэра по умолчанию для ваших нужд.Это особенно важно, потому что конфигурация «по умолчанию» обычно менее ограничительна, что может сделать ваш брандмауэр более уязвимым для компрометации. Оповещения о текущей вредоносной активности (например, оповещения CISA) иногда содержат информацию об ограничениях, которые вы можете реализовать через брандмауэр.
Хотя правильно настроенные брандмауэры могут эффективно блокировать некоторые атаки, не поддавайтесь ложному чувству безопасности. Брандмауэры не гарантируют, что ваш компьютер не будет атакован. Брандмауэры в первую очередь помогают защитить от вредоносного трафика, а не от вредоносных программ (например, вредоносных программ), и могут не защитить вас, если вы случайно установите или запустите вредоносное ПО на своем компьютере. Однако использование брандмауэра в сочетании с другими мерами защиты (например, антивирусным программным обеспечением и безопасными методами работы на компьютере) повысит вашу устойчивость к атакам. (Дополнительную информацию см. в разделе Хорошие привычки безопасности.)
Авторы
Этот продукт предоставляется в соответствии с настоящим Уведомлением и настоящей Политикой конфиденциальности и использования.
Эрик Досал, 26 ноября 2019 г.
Быстрые ссылки
- Что такое брандмауэр?
- Типы брандмауэров
- Брандмауэры с фильтрацией пакетов
- Шлюзы на уровне каналов
- Брандмауэры с контролем состояния
- Прокси-брандмауэры
- Межсетевые экраны нового поколения
- Программные брандмауэры
- Аппаратные брандмауэры
- Облачные брандмауэры
- Какой брандмауэр подходит для моей компании?
Одной из основных проблем, с которыми сталкиваются компании при попытке защитить свои конфиденциальные данные, является поиск правильных инструментов для работы. Даже для такого распространенного инструмента, как брандмауэр (иногда называемый сетевым брандмауэром), многие предприятия могут не иметь четкого представления о том, как найти правильный брандмауэр (или брандмауэры) для своих нужд, как настроить эти брандмауэры или почему такие брандмауэры может понадобиться.
Что такое брандмауэр?
Брандмауэр – это инструмент кибербезопасности, который используется для фильтрации трафика в сети. Брандмауэры можно использовать для отделения сетевых узлов от внешних источников трафика, внутренних источников трафика или даже определенных приложений. Брандмауэры могут быть программными, аппаратными или облачными. Каждый тип брандмауэра имеет свои уникальные преимущества и недостатки.
Основная цель брандмауэра – блокировать запросы вредоносного трафика и пакеты данных, пропуская при этом законный трафик.
8 типов брандмауэров
Типы брандмауэров можно разделить на несколько категорий в зависимости от их общей структуры и метода работы. Вот восемь типов брандмауэров:
- Брандмауэры с фильтрацией пакетов
- Шлюзы на уровне цепи
- Брандмауэры с контролем состояния
- Шлюзы уровня приложений (также известные как прокси-брандмауэры)
- Брандмауэры нового поколения
- Программные брандмауэры
- Аппаратные брандмауэры
- Облачные брандмауэры
Примечание. В последних трех пунктах перечислены методы предоставления функций брандмауэра, а не сами по себе типы архитектуры брандмауэра.
Как работают эти брандмауэры? И какие из них лучше всего подходят для обеспечения кибербезопасности вашего бизнеса?
Вот несколько кратких пояснений:
Брандмауэры с фильтрацией пакетов
Как самый «базовый» и самый старый тип архитектуры брандмауэра, брандмауэры с фильтрацией пакетов в основном создают контрольную точку на маршрутизаторе трафика или коммутаторе. Брандмауэр выполняет простую проверку пакетов данных, проходящих через маршрутизатор, проверяя такую информацию, как IP-адрес получателя и отправителя, тип пакета, номер порта и другую поверхностную информацию, не открывая пакет для проверки его содержимого. р>
Если информационный пакет не проходит проверку, он отбрасывается.
Преимущество этих брандмауэров в том, что они не очень требовательны к ресурсам. Это означает, что они не оказывают большого влияния на производительность системы и относительно просты. Однако их относительно легко обойти по сравнению с брандмауэрами с более надежными возможностями проверки.
Шлюзы уровня схемы
В качестве еще одного упрощенного типа брандмауэра, предназначенного для быстрого и простого утверждения или отклонения трафика без использования значительных вычислительных ресурсов, шлюзы на уровне каналов работают путем проверки установления связи протокола управления передачей (TCP).Эта проверка рукопожатия TCP предназначена для того, чтобы убедиться, что сеанс, из которого исходит пакет, является законным.
Хотя эти брандмауэры чрезвычайно экономичны, они не проверяют сам пакет. Таким образом, если пакет содержал вредоносное ПО, но имел правильное рукопожатие TCP, он прошел бы насквозь. Вот почему шлюзов на уровне каналов недостаточно для защиты вашего бизнеса.
Брандмауэры с контролем состояния
Эти брандмауэры сочетают в себе как технологию проверки пакетов, так и проверку установления связи TCP, чтобы обеспечить более высокий уровень защиты, чем любая из двух предыдущих архитектур, которую можно было бы обеспечить по отдельности.
Однако эти брандмауэры также создают большую нагрузку на вычислительные ресурсы. Это может замедлить передачу законных пакетов по сравнению с другими решениями.
Прокси-брандмауэры (шлюзы уровня приложений/облачные брандмауэры)
Прокси-брандмауэры работают на уровне приложений для фильтрации входящего трафика между вашей сетью и источником трафика — отсюда и название «шлюз уровня приложений». Эти брандмауэры доставляются через облачное решение или другое прокси-устройство. Вместо прямого подключения трафика прокси-брандмауэр сначала устанавливает соединение с источником трафика и проверяет входящий пакет данных.
Эта проверка аналогична брандмауэру с проверкой состояния в том смысле, что она проверяет как пакет, так и протокол квитирования TCP. Однако прокси-брандмауэры также могут выполнять глубокую проверку пакетов, проверяя фактическое содержимое информационного пакета, чтобы убедиться, что он не содержит вредоносных программ.
После завершения проверки и утверждения пакета для подключения к месту назначения прокси-сервер отправляет его. Это создает дополнительный уровень разделения между «клиентом» (системой, в которой был отправлен пакет) и отдельными устройствами в вашей сети, скрывая их для обеспечения дополнительной анонимности и защиты вашей сети.
Если у прокси-брандмауэров и есть один недостаток, так это то, что они могут значительно замедлить работу из-за дополнительных шагов в процессе передачи пакетов данных.
Межсетевые экраны нового поколения
Многие из недавно выпущенных брандмауэров рекламируются как архитектуры «следующего поколения». Однако нет единого мнения о том, что делает брандмауэр действительно новым поколением.
Некоторые общие функции архитектур брандмауэров следующего поколения включают глубокую проверку пакетов (проверку фактического содержимого пакета данных), проверки установления связи TCP и проверку пакетов поверхностного уровня. Брандмауэры следующего поколения могут включать в себя и другие технологии, например системы предотвращения вторжений (IPS), которые автоматически блокируют атаки на вашу сеть.
Проблема в том, что не существует единого определения брандмауэра следующего поколения, поэтому важно проверить, какими конкретными возможностями обладает такой брандмауэр, прежде чем инвестировать в него.
Программные брандмауэры
К программным брандмауэрам относятся любые типы брандмауэров, которые устанавливаются на локальное устройство, а не на отдельное оборудование (или облачный сервер). Большим преимуществом программного брандмауэра является то, что он очень полезен для создания глубокоэшелонированной защиты путем изоляции отдельных конечных точек сети друг от друга.
Однако поддержка отдельных программных брандмауэров на разных устройствах может быть сложной и трудоемкой. Кроме того, не каждое устройство в сети может быть совместимо с одним программным брандмауэром, что может означать необходимость использования нескольких разных программных брандмауэров для защиты каждого объекта.
Аппаратные брандмауэры
Аппаратные брандмауэры используют физическое устройство, которое действует аналогично маршрутизатору трафика и перехватывает пакеты данных и запросы трафика до того, как они будут подключены к сетевым серверам. Брандмауэры на основе физических устройств, подобные этому, превосходно защищают периметр, гарантируя перехват вредоносного трафика извне сети до того, как конечные точки сети компании подвергнутся риску.
Однако основным недостатком аппаратных брандмауэров является то, что внутренние атаки часто легко их обходят. Кроме того, фактические возможности аппаратного брандмауэра могут различаться в зависимости от производителя — например, некоторые могут иметь более ограниченные возможности для обработки одновременных подключений, чем другие.
Облачные брандмауэры
Всякий раз, когда для доставки брандмауэра используется облачное решение, его можно назвать облачным брандмауэром или брандмауэром как услугой (FaaS). Облачные брандмауэры многими считаются синонимами прокси-брандмауэров, поскольку облачный сервер часто используется в настройке прокси-брандмауэра (хотя прокси-сервер не обязательно должен находиться в облаке, это часто бывает).
Большое преимущество облачных брандмауэров заключается в том, что их очень легко масштабировать в рамках вашей организации. По мере роста ваших потребностей вы можете добавлять дополнительные мощности к облачному серверу для фильтрации больших объемов трафика. Облачные брандмауэры, как и аппаратные брандмауэры, превосходно защищают периметр.
Какая архитектура межсетевого экрана подходит для вашей компании?
Итак, какая архитектура брандмауэра подходит для вашего бизнеса?
- Простая фильтрация пакетов или шлюз на уровне канала, который обеспечивает базовую защиту с минимальным влиянием на производительность?
- Архитектура проверки с отслеживанием состояния, которая сочетает в себе возможности двух предыдущих вариантов, но оказывает большее влияние на производительность? Или
- Прокси-сервер или брандмауэр нового поколения, который предлагает гораздо более надежную защиту в обмен на дополнительные расходы и еще большее влияние на производительность?
Настоящий вопрос: «Почему вы используете только один?»
Ни один уровень защиты, каким бы надежным он ни был, никогда не будет достаточным для защиты вашего бизнеса. Чтобы обеспечить лучшую защиту, ваши сети должны иметь несколько уровней брандмауэров, как по периметру, так и для разделения различных активов в вашей сети. Например, у вас может быть аппаратный или облачный брандмауэр по периметру вашей сети, а затем отдельные программные брандмауэры на каждом из ваших сетевых ресурсов.
Наличие дополнительных брандмауэров помогает сделать вашу сеть более сложной для взлома, создавая дополнительную многоуровневую защиту, которая изолирует различные активы, из-за чего злоумышленникам приходится выполнять дополнительную работу, чтобы получить доступ ко всей вашей наиболее конфиденциальной информации.
Конкретные брандмауэры, которые вы захотите использовать, будут зависеть от возможностей вашей сети, соответствующих требований соответствия для вашей отрасли и ресурсов, которые у вас есть для управления этими брандмауэрами.
Нужна помощь в поиске идеальной архитектуры брандмауэра для нужд вашего бизнеса? Рассмотрите возможность начала с аудита и оценки политики безопасности. Это может помочь вам определить все активы в вашей сети, которые нуждаются в защите, чтобы вы могли лучше оптимизировать реализацию брандмауэра.
Или свяжитесь с Compuquip Cybersecurity, чтобы получить дополнительную помощь в совершенствовании стратегии кибербезопасности вашей компании.
Звучит как идеальное решение, верно? Что ж, после их дальнейшего изучения недостатков может быть больше, чем преимуществ — в зависимости от имеющегося бюджета.
Они могут генерировать ложноположительные и ложноотрицательные результаты
Давайте рассмотрим два наиболее серьезных из них. При проверке трафика, как я упоминал ранее, WAF оценивают пакеты по набору предопределенных шаблонов, чтобы определить, что с ними делать. Давайте возьмем приведенный ниже пример, взятый из отличного выступления о брандмауэрах веб-приложений:
если ($ipaddr == $internal_ipaddr)
В этом шаблоне WAF проверяет, является ли запрошенный в приложении путь /admin, а также IP-адрес клиента, отправляющего запрос. Если запрос направлен к /admin и, как ни странно, если IP-адрес клиента находится во внутренней сети, то запрос будет заблокирован. Однако если IP-адрес клиента находится за пределами сети, запрос будет пропущен.
Здесь мы видим пример правила, которое будет генерировать ложный отрицательный результат. Это правило, при котором вредоносный запрос не был правильно обнаружен и, следовательно, от него не была должным образом защищена. Кроме того, бывают ложные срабатывания, когда действительно законный запрос помечается WAF как вредоносный и, следовательно, блокируется.
Можно легко обойти
А как насчет возможности обойти защиту, которую предлагает WAF? Помните, что большинство WAF используют программное обеспечение, которое, в свою очередь, может иметь уязвимости, которыми можно злоупотреблять. WAF обычно делают то, что называется отказом открытия или закрытия в случае слишком большого трафика.
При открытии сбоя WAF возвращается только к мониторингу или в меньшей степени, эффективно пропуская весь трафик. При неудачном закрытии все наоборот. Весь трафик блокируется. В любом случае, реализовав DoS- или DDoS-атаку, вы можете взломать WAF или заставить его полностью запретить доступ к приложению.
Кроме того, существует ряд других способов обойти или злоупотребить ими или правилами, которые они реализуют. Как насчет того, чтобы подделать источник запроса, отправив заголовок X-Forwarded-For.
Но предположим, что есть правило, которое проверяет поле, но оно чувствительно к регистру. Вы можете отправить пользовательский запрос, используя смешанный регистр, и обойти правило, позволив запросу пройти к защищенному приложению, возможно, нарушив его. Это всего лишь несколько идей. Существует множество других.
Нет защиты от эксплойтов нулевого дня
Хотя WAF могут защитить от известных уязвимостей, они не могут защитить от эксплойтов нулевого дня. Эксплойт нулевого дня — это уязвимость в приложении, которая неизвестна поставщику приложения, но известна злоумышленнику.Злоумышленник может затем использовать его для использования приложения, не предоставляя поставщику возможности быстро защититься от него. Учитывая это, WAF никак не может защитить от подобных атак.
Стоимость полного решения
Несмотря на то, что WAF гораздо лучше адаптированы к приложениям, это не означает, что они «просто работают» прямо из коробки. Как и стандартные брандмауэры, их необходимо настраивать и обслуживать.
В некотором смысле для их правильной настройки требуется даже больше усилий, чем для стандартного брандмауэра, поскольку для правильной защиты приложения требуется знание приложения.
На практике WAF требует, чтобы специалисты по безопасности и приложениям были настроены и максимально эффективно использовались. Если у вас нет собственного опыта, вам придется отдать работу на аутсорсинг. Учитывая это, это недешевое решение.
Профессионалы, имеющие опыт работы в этих областях, стоят недешево, и на то есть веские причины. Учитывая активы, которые защищает их работа, вы не хотите, чтобы любитель возился.
Читайте также: