8 типов брандмауэров: узнайте, какой из них лучше всего подходит для вашей сети

Вы только что настроили свою сеть и теперь готовы добавить к ней некоторую безопасность. Первое, что приходит на ум, — сюрприз, сюрприз — брандмауэр. Хороший звонок. Но какой тип брандмауэра ? На момент написания этой статьи я бы сказал, что у вас есть 8 основных типов брандмауэров на выбор.

Прежде чем я перейду к каждому из этих 8 типов брандмауэров, позвольте мне дать краткий обзор того, что такое брандмауэры.

Что такое брандмауэр?

Брандмауэр — это инструмент сетевой безопасности, фильтрующий входящий и исходящий трафик. Для этого он использует набор правил или условий. Раньше они располагались по периметру сети. Они защищают сеть вашей организации от внешних угроз.

Сегодня организации используют брандмауэры в других областях своей сети. Это также обеспечивает дополнительные уровни безопасности. Например, брандмауэр не позволяет вашим сотрудникам получить доступ к вашей финансовой или кадровой системе.

Эти возможности позволяют брандмауэрам блокировать нежелательный трафик в вашей сети. Они также предотвращают установление несанкционированных исходящих соединений. Как они это делают? Ну, это зависит от типа брандмауэра, хотя у них есть некоторые сходства в том, как они работают. Говоря о том, «как они работают», давайте поговорим об этом сейчас.

Как работают брандмауэры?

Брандмауэры разрешают или запрещают сетевой трафик на основе определенных правил или условий. В зависимости от типа межсетевого экрана эти условия действуют на определенных уровнях концептуальных моделей TCP/IP или OSI. Например, брандмауэры с фильтрацией пакетов работают на сетевом уровне, а брандмауэры приложений работают на уровне приложений.

Базовые брандмауэры могут проверять один или два уровня. Они также обычно сосредоточены на более низких уровнях, например, на сетевом и транспортном уровнях. Более того, чем совершеннее брандмауэр, тем больше слоев он может проверять и фильтровать. Если вам нужны более детальные проверки, выберите более продвинутый тип брандмауэра.

Теперь давайте рассмотрим 8 типов брандмауэров.

8 типов брандмауэров

1. Брандмауэры с фильтрацией пакетов

Это самый простой тип брандмауэра. Он отфильтровывает трафик на основе набора правил — так называемых «наборов правил» брандмауэра, — которые применяются к сетевому уровню. В некоторых случаях это также относится к транспортному уровню. Однако этот брандмауэр проверяет только заголовок пакета.

Кроме того, этот брандмауэр позволяет создавать правила. Например, вы можете заблокировать входящий трафик с неутвержденных IP-адресов. Вы также можете разрешить прохождение только одному транспортному уровню.

Преимущества

• Быстрее
• Меньше влияет на производительность сети
• Является более доступным

Недостатки

• Не проверяет полезную нагрузку пакета. Вредоносная полезная нагрузка может пройти незамеченной
• Отсутствует осведомленность о состоянии соединения. Следовательно, они не могут определить, действительно ли соединение авторизовано. В результате это делает их уязвимыми для спуфинговых атак.
• Имеет утомительные списки контроля доступа (ACL)

Несмотря на то, что они обеспечивают достойную защиту, межсетевые экраны с фильтрацией пакетов неэффективны против изощренных угроз. Следовательно, вы должны использовать брандмауэр с фильтрацией пакетов для сетей с умеренно ценными активами. Вы также можете использовать его в качестве первой линии обороны в многоуровневой стратегии защиты.

2. Шлюзы на уровне цепи

Еще одним базовым брандмауэром является межсетевой экран шлюза на уровне канала. Этот брандмауэр в основном работает на сеансовом уровне. Этот уровень имеет дело с рукопожатиями TCP. Он также обрабатывает другие механизмы, связанные с установлением, управлением и завершением соединения. Во-первых, брандмауэр проверяет сообщения, задействованные в этих механизмах. Затем он сравнивает их с предопределенными правилами сеанса. Это позволяет ему определить, является ли сеанс законным или нет.

Например, предположим, что сеанс действителен только в том случае, если он инициирован распознанным устройством. В этом случае брандмауэр блокирует любой сеанс, инициированный неизвестными устройствами.

Преимущества

• Быстрее
• Является более доступным
• Меньше влияет на производительность сети

Недостатки

• Не знает об угрозах, скрывающихся в полезной нагрузке пакета
• Работает только на одном уровне — сеансовом уровне.

Обычно вы развертываете брандмауэр шлюза на уровне канала, когда у вас ограниченный бюджет. Хотя он не самый лучший, он все же немного лучше, чем брандмауэр с фильтрацией пакетов.

3. Брандмауэры с контролем состояния

Брандмауэр с контролем состояния также работает на сетевом и транспортном уровнях. Он проверяет пакеты, а затем проверяет, удовлетворяют ли они набору правил брандмауэра. Если они это сделают, они могут пройти.

Кроме того, межсетевой экран может записывать информацию о каждом пакете в «таблицу состояний». Из этой таблицы брандмауэр может определить, соответствует ли пакет ожидаемому состоянию. Если это не так, брандмауэр блокирует этот пакет. Брандмауэр с отслеживанием состояния также может определить, является ли входящий пакет частью открытого в данный момент соединения. Если это так, этот пакет автоматически становится безопасным.

Преимущества

• Имеет лучший контекст, чем брандмауэры с фильтрацией пакетов при определении того, что блокировать
• Снижает подверженность потенциальным угрозам, таким как сканеры портов. Это потому, что он открывает и закрывает порты в зависимости от состояния подключения.
• Создает подробные журналы, которые могут помочь в цифровой криминалистике

Недостатки

• Является более ресурсоемким, чем межсетевые экраны с фильтрацией пакетов.
• Стоит дороже, чем межсетевые экраны с фильтрацией пакетов
• Сталкивается с атаками TCP Flood или другими DDoS-атаками, которые используют характеристики «отслеживания состояния»

Как правило, этот брандмауэр предлагает больше, чем просто фильтрацию пакетов. Это также жизнеспособный вариант, когда вы ищете что-то менее дорогое, чем прокси-брандмауэр (см. Ниже).

4. Прокси-брандмауэры (также известные как шлюзы уровня приложений)

Прокси-брандмауэры работают на самом высоком уровне моделей OSI и TCP/IP — на уровне приложений. Они также могут проверять содержимое пакета, а не только заголовки. Это глубокая проверка пакетов (DPI).

Прокси-брандмауэры также могут препятствовать прямому соединению двух взаимодействующих хостов/устройств. В то же время это заставляет каждое устройство думать, что оно устанавливает прямое соединение с другим.

Когда два хоста/устройства подключаются через прокси-брандмауэр, брандмауэр устанавливает два соединения. В основном брандмауэр стоит между обоими устройствами. Это означает, что внешние клиенты не могут видеть IP-адреса ваших серверов. По сути, прокси-брандмауэр может скрывать внутренние IP-адреса от внешних клиентов.

Преимущества

• Обеспечивает безопасность, которая может дополнить то, что обеспечивают большинство типов брандмауэров.
• Проверяет содержимое и заголовки пакетов
• Скрывает внутренние IP-адреса. Не позволяет злоумышленникам собирать ценную информацию о вашей внутренней сети.

Недостатки

• Может увеличить задержку, так как она более тщательна при проверке пакета.
• Стоит дороже, чем даже межсетевые экраны с контролем состояния
• Поддерживает ограниченное количество сетевых протоколов

Сокрытие внутренних IP-адресов очень полезно с точки зрения безопасности. Фактически, он добавляет совершенно другой элемент к безопасности брандмауэра. Тем не менее, прокси-брандмауэры не могут поддерживать определенные сетевые протоколы. По этой причине я бы рекомендовал вам использовать другой тип брандмауэра в дополнение к нему.

5. Брандмауэры следующего поколения

На вершине иерархии межсетевых экранов находятся межсетевые экраны нового поколения (NGFW). Помимо фильтрации пакетов и проверки состояния, NGFW также имеют дополнительные функции. Сюда входят DPI, система обнаружения/предотвращения вторжений (IDS/IPS) и защита от вредоносных программ.

В NGFW IDS/IPS анализирует информацию о пакетах и их поведение. Для этого они используют различные методы обнаружения угроз. Среди них сопоставление с образцом, обнаружение на основе протокола, обнаружение на основе эвристики и обнаружение на основе аномалий. Я не буду вдаваться в подробности, но эти методы выявляют потенциальные угрозы.

NGFW сочетает в себе DPI, IDS/IPS и защиту от вредоносных программ. Это означает, что он может воздействовать на более широкий спектр угроз.

Преимущества

• Обеспечивает несколько возможностей безопасности в одном решении
• Проверяет почти все слои
• Расшифровывает трафик, зашифрованный SSL/TLS, для проверки содержимого

Недостатки

• Это очень дорого; может быть нецелесообразным для большинства малых предприятий
• Требует больше системных ресурсов

NGFW не будет одинаково полезен в большом и малом бизнесе. Фактически, его цена отражает его обширные возможности. Это также может быть излишним в малом бизнесе. Тем не менее, крупные организации могут извлечь из этого пользу.

Вкратце, я классифицировал вышеперечисленные типы брандмауэров на основе их функциональных и рабочих уровней. Далее я классифицирую остальные по способам доставки. А не ___ ли нам?

6. Программные брандмауэры

Программные брандмауэры, также известные как хост-брандмауэры, в основном представляют собой программные приложения. Поэтому вы устанавливаете их на устройства, которые хотите защитить. Как и обычные приложения, эти брандмауэры также потребляют ресурсы ЦП, ОЗУ и хранилища.

Поскольку эти брандмауэры работают на определенном устройстве, они также лучше осведомлены о процессах на этом устройстве. В целом, это позволяет им обеспечивать более детальную защиту.

Преимущества

• Может предоставлять узконаправленные ограничения
• Легко доступен. Вы также можете установить сторонние альтернативы

Недостатки

• Конкурирует с другими приложениями за процессор, оперативную память и ресурсы хранения
• Не предлагает полную поддержку платформы. Например, если конкретный программный брандмауэр предоставляет установщики только для Windows, вы не сможете использовать его для защиты устройств Mac и Linux.
• Может быть сложно развернуть стороннее программное обеспечение, поскольку вам придется устанавливать его на каждое из ваших устройств.

Вы можете развернуть программные брандмауэры на критически важных хостах, чтобы усилить защиту этого хоста. Вы также можете получить эти брандмауэры через стороннее программное обеспечение.

7. Аппаратные брандмауэры

Аппаратные брандмауэры, также известные как брандмауэры устройств, представляют собой сетевые устройства с возможностями брандмауэра. Будучи отдельным устройством, он занимает собственный процессор, оперативную память и ресурсы хранения. Аппаратные брандмауэры обычно располагаются по периметру сети. Они являются привратником между внешней и внутренней сетью.

В большинстве случаев этой внешней сетью является Интернет, а внутренней сетью является ваша собственная. Вы также можете разместить брандмауэр между двумя внутренними сетями, чтобы разделить их.

Преимущества

• Меньше, чем программные брандмауэры, поэтому ими проще управлять
• Не конкурируйте с приложениями на ваших серверах и других конечных устройствах за вычислительные ресурсы.
• Защищает всю сеть в одиночку, в то время как программный брандмауэр может защитить только то устройство, на котором вы его установили.

Недостатки

• Требуются обученные администраторы
• Стоит дороже, чем программные брандмауэры

Один аппаратный брандмауэр может защитить несколько хостов и конечных устройств, работающих в одной сети. Вот почему вам следует рассмотреть возможность развертывания одного из них на периметре вашей сети.

8. Облачные брандмауэры

Облачный брандмауэр или брандмауэр как услуга ( FaaS ) относится к любой облачной службе, которая действует как брандмауэр. Как и в случае с другими облачными решениями, сторонние поставщики облачных решений управляют и эксплуатируют эти облачные брандмауэры. Они также выполняют практически все административные задачи, включая установку, развертывание, установку исправлений и устранение неполадок.

Преимущества

• Освобождает ваших ИТ-администраторов от административной ответственности, связанной с брандмауэром.
• Масштабируемость (как и все облачные решения)
• Нулевые первоначальные затраты
• Предлагает гибкую ценовую политику

Недостатки

• Отправляет ваш трафик через третью сторону. Для некоторых предприятий это не очень привлекательно с точки зрения конфиденциальности.
• Может быть дороже в долгосрочной перспективе.

Обычно вы выбираете облачный брандмауэр, если не беспокоитесь о маршрутизации сетевого трафика через третью сторону. Кроме того, вы бы выбрали этот тип брандмауэра, если вы не можете заплатить огромные авансовые платежи.

Теперь, когда я обсудил 8 типов брандмауэров, я хотел бы напомнить вам, что каждый брандмауэр работает на основе уровня OSI, на котором он работает.

Операционные уровни OSI

Вот простая таблица, которую вы можете использовать, чтобы узнать, какой брандмауэр работает на каком уровне.

Примечание. Это относится только к первым 5 типам брандмауэров, описанным в этом посте. Остальные просто классифицируются на основе их развертывания.

На данный момент вы, вероятно, спрашиваете себя: Я помогу вам ответить на этот вопрос в следующем разделе.

Какой брандмауэр лучше всего подходит для вашего бизнеса?

Ваша организация уникальна. На самом деле нет двух компаний с одинаковыми активами, ресурсами, склонностью к риску и структурой сети. Следовательно, брандмауэр или брандмауэры, идеально подходящие для вашего бизнеса, будут уникальными для ваших конкретных потребностей. Вот 5 факторов, которые следует учитывать перед принятием решения.

1. Требуемый уровень безопасности

Чтобы узнать, какой уровень безопасности вам нужен, вы должны учитывать множество факторов. Что у вас есть за вашим брандмауэром? У вас много личной информации? Вы храните свои коммерческие секреты за брандмауэром? Как насчет финансовых данных или данных о клиентах? За ним работает критически важный для бизнеса сервер?

Если ваши хосты и конечные устройства особенно важны, разверните один из расширенных типов брандмауэров. Если нет, то, возможно, будет достаточно простой межсетевой экран с фильтрацией пакетов или шлюзом на уровне канала.

2. Бюджетные ограничения

В идеальном мире у всех будут NGFW. Тем не менее, не у всех есть неограниченный бюджет. Если вам нужно защитить конфиденциальные данные, но вы просто не можете позволить себе брандмауэр нового поколения, вам, вероятно, придется выбрать более доступные варианты. Даже инспекция с отслеживанием состояния или брандмауэр с фильтрацией пакетов лучше, чем отсутствие брандмауэра вообще.

3. Аппетит к риску

Прежде чем выбрать самый дешевый вариант, вам нужно подумать, на какой риск вы готовы пойти. Более того, подумайте, какой риск вы можете позволить. Если ваши данные подпадают под действие законов и нормативных актов о конфиденциальности/защите данных, вам также необходимо учитывать потенциальные расходы в случае утечки данных.

4. Размер сети

Размер вашей сети также может помочь определить типы брандмауэров, которые вы включите в свой список. Если у вас крупная сеть, программный брандмауэр стороннего производителя может оказаться слишком непрактичным. Также было бы лучше с административной и экономической точки зрения приобрести аппаратный брандмауэр.

5. Доступные комбинации

В идеале, поскольку разные брандмауэры имеют разную силу, вы также можете рассмотреть возможность использования нескольких брандмауэров. Таким образом, вы также можете применить многоуровневый подход к сетевой безопасности. Вы можете использовать базовые брандмауэры с более продвинутыми брандмауэрами.

Я полагаю, что я покрыл достаточно на данный момент. Давайте закруглимся, прежде чем мы разойдемся по своим делам.

Заключительные слова

На рынке доступно множество различных типов брандмауэров, и каждый из них работает для определенной цели. У вас есть брандмауэры для компаний с ограниченным бюджетом, брандмауэры для критически важных для бизнеса сетей, брандмауэры для крупных и малых предприятий и так далее. Прежде чем вы сможете выбрать правильный брандмауэр, вам нужно знать варианты использования каждого из них. Мы позаботились об этом раньше.

В этом посте вы узнали о 8 различных типах брандмауэров, их преимуществах и недостатках. Вы также узнали , как выбрать между этими типами брандмауэров для вашего бизнеса. В целом, при выборе брандмауэра учитывайте потребности своего бизнеса.

У вас есть еще вопросы о различных типах брандмауэров? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!

Часто задаваемые вопросы

Что такое спуфинговая атака?

При спуфинговой атаке злоумышленник выдает себя за другое лицо. Для этого киберпреступник использует информацию, связанную с этим вторым объектом. Например, при атаке с подделкой IP злоумышленники изменяют исходные адреса IP-пакетов. Таким образом, эти пакеты выглядят так, как будто они приходят из другого источника.

Что такое список контроля доступа (ACL)?

ACL брандмауэра — это список разрешенных/запрещенных условий или правил. Этот список позволяет брандмауэрам определять, может ли пакет пройти или нет. В зависимости от хостов, служб и приложений, находящихся за этим брандмауэром, эти списки могут быть довольно длинными.

Что такое DDoS-атака?

Распределенная атака типа «отказ в обслуживании» — это тип кибератаки, которая перегружает сеть или сетевое устройство (например, брандмауэр). В свою очередь, это предотвращает получение соединений. Другими словами, он запрещает пользователям доступ к любой услуге, которую обычно предоставляет сеть или устройство.

Что такое атака TCP Flood и как она использует межсетевой экран с проверкой состояния?

Атака TCP Flood — это DDoS-атака, которая заполняет брандмауэр пакетами SYN. После этого брандмауэр больше не может принимать дополнительные входящие соединения. Пакеты SYN обычно отправляются клиентом, пытающимся установить TCP-соединение. В свою очередь, устройство записывает эти запросы в таблицу состояний. Затем он отвечает сообщением SYN-ACK. Поскольку клиент в этом случае является вредоносным, он не отвечает ожидаемым сообщением ACK. Это заставляет устройство держать соединение TCP и запись состояния в таблице открытыми, поскольку брандмауэр отслеживает состояние соединения. Наконец, это потребляет так много памяти. Следовательно, чем больше SYN-пакетов поступает, тем больше потребляется памяти. Это продолжается до тех пор, пока устройство не сможет принимать больше запросов.

Что такое цифровая криминалистика?

Цифровая криминалистика — это наука об идентификации, обработке и анализе электронных данных. Обычно это помогает найти доказательства киберпреступной деятельности. Он также уточняет осуществление этих мероприятий.