Традиционный брандмауэр против брандмауэра нового поколения (NGFW): какой из них лучше для вашей организации?
Брандмауэры — это первая линия защиты любой организации. По сути, они представляют собой барьер между вашей сетью и Интернетом. Они фильтруют весь трафик и блокируют данные, соответствующие шаблонам атаки. У вас есть много типов брандмауэров на выбор, но в этой статье я расскажу о различиях между традиционным брандмауэром и брандмауэром нового поколения (NGFW).
Поскольку атаки становятся все более изощренными, брандмауэры также должны развиваться. В частности, они должны защищать от программ-вымогателей и атак типа «человек посередине» (MITM). В результате брандмауэры меняются.
Итак, что же это за изменения? Как традиционные и NGFW сочетаются друг с другом? Как вы можете выбрать один над другим для вашей организации?
Читайте дальше, поскольку я отвечаю на эти и другие вопросы в этой статье. Но прежде чем идти дальше, давайте разберемся, что представляют собой эти два типа брандмауэров.
Что такое традиционный брандмауэр?
Традиционный брандмауэр имеет ограниченные возможности по сравнению с NGFW. Он проверяет трафик, который входит или выходит из сети. В частности, он проверяет состояние пакета, IP-адрес источника/получателя, номер порта и протокол. Если какой-либо из них совпадает с запрещенными IP-адресами, портами или протоколами, брандмауэр поднимает тревогу. Другими словами, он осуществляет контроль только за потоком пакетов в одном или обоих направлениях. Многие традиционные брандмауэры также поставляются с возможностями виртуальной частной сети (VPN).
Давайте перейдем к межсетевым экранам следующего поколения.
Что такое брандмауэр нового поколения (NGFW)?
NGFW — это расширенный брандмауэр, который использует стратегии статической и динамической фильтрации для фильтрации пакетов на основе приложений. В результате эти брандмауэры обеспечивают широкий контроль и видимость данных, которые входят и выходят из вашей сети. Кроме того, NGFW поставляется с такими функциями, как системы защиты от вторжений (IPS) и глубокая проверка пакетов (DPI). Таким образом, они блокируют проникновение вредоносных программ и вирусов в вашу сеть.
Простой взгляд на них показывает, что NGFW является более продвинутым и технически более сложным, чем традиционный.
Но в каких областях они различаются? Это именно то, что вы увидите дальше. Я сравню два типа брандмауэров по нескольким характеристикам. Давайте кратко поговорим об особенностях, прежде чем сравнивать их.
Важные функции брандмауэра
Эти функции важно учитывать при выборе между традиционным брандмауэром и брандмауэром нового поколения. Одна функция может быть предпочтительнее другой в зависимости от потребностей вашей организации. Вот краткий обзор каждой функции:
С сохранением состояния против без гражданства
Брандмауэры могут быть с сохранением состояния или без него. Брандмауэры с отслеживанием состояния фильтруют пакеты на основе полного контекста пакета, а не только одного параметра, такого как ваш порт или IP-адрес. С другой стороны, межсетевые экраны без сохранения состояния сравнивают отдельные пакеты только с установленными условиями безопасности, такими как исходный IP-адрес, протокол и т. д.
Из этих двух брандмауэров с отслеживанием состояния лучше обнаруживаются поддельные сообщения, атаки, несанкционированный доступ, вредоносные программы и многое другое. Они также поставляются с широкими возможностями ведения журнала. Однако эти межсетевые экраны с отслеживанием состояния более подвержены атакам типа «распределенный отказ в обслуживании» (DDoS) и «человек посередине» (MITM). Брандмауэры без сохранения состояния, с другой стороны, могут обнаруживать сложные атаки, но также могут отражать атаки DDoS и MITM.
Видимость приложений
Видимость и контроль приложений — это функция безопасности, которая позволяет брандмауэрам идентифицировать приложение, создавшее или отправившее вредоносный пакет данных. Эта информация особенно полезна для разработчиков; это позволяет им быстро определить проблему безопасности в приложении и немедленно исправить ее.
Уровни модели OSI
Модель взаимодействия открытых систем (OSI) описывает внутреннюю работу сетевой системы. Вот изображение, которое вы можете использовать для справки. Уровень 1 — это физический уровень, и он поднимается до уровня 7, который является прикладным уровнем.
Связь начинается с уровня 7 и спускается на уровень 1. В конце концов, уровень 1 передает пакеты данных по кабелю. Различные типы брандмауэров работают на разных уровнях OSI. Таким образом, они могут иметь больше или меньше возможностей.
Осведомленность на уровне приложений
Брандмауэры с поддержкой приложений предлагают уровень безопасности для корпоративных сетей. Эта технология позволяет брандмауэрам проверять и контролировать входящий и исходящий трафик приложений. Кроме того, они используют эту информацию для настройки или блокировки ввода/вывода определенных приложений.
Службы репутации и идентификации
Службы репутации и идентификации в брандмауэре объединяют вредоносные IP-адреса. Они также обеспечивают контекст для пакетов данных. В свою очередь, это помогает обеспечить идентификатор и контекст для каждого пакета для более эффективной фильтрации.
Интеграция инструментов безопасности
Брандмауэры больше не являются изолированными инструментами; теперь они играют более важную роль в инфраструктуре безопасности организации. Вот почему многие брандмауэры поддерживают интеграцию инструментов безопасности. Таким образом, они дают организациям всестороннее представление об уязвимостях безопасности.
Расшифровка и проверка SSL-трафика
Шифрование сегодня стало неотъемлемой частью передачи данных. Даже киберпреступники шифруют вредоносные пакеты данных. В результате многие брандмауэры теперь могут расшифровывать содержимое и проверять SSL-трафик. В противном случае вредоносный код может проникнуть в вашу сеть.
NAT, PAT и VPN
Преобразование сетевых адресов (NAT) сопоставляет общедоступные IP-адреса с частными. Преобразование адресов портов (PAT) сопоставляет несколько частных IP-адресов с общедоступным. Виртуальные частные сети (VPN) обеспечивают безопасное подключение к вашей сети. Эти три технологии могут не всегда хорошо работать друг с другом, но они хорошо работают с брандмауэром. Опять же, брандмауэры, поддерживающие эти три технологии, в целом обеспечивают лучшую защиту вашей сети.
IDS и IPS
Системы обнаружения вторжений (IDS) и системы защиты от вторжений (IPS) контролируют трафик в вашей сети. После этого они сопоставляют его с шаблонами подписи. Если они обнаружат совпадение, IDS предупредит вас. С другой стороны, IPS предупреждает и блокирует вход пакета в вашу сеть. Несомненно, они обеспечивают лучшую безопасность вашей сети.
Теперь, когда вы знакомы с этими функциями, давайте посмотрим, какой брандмауэр подходит больше всего. Я начну с традиционных брандмауэров.
Традиционные брандмауэры
Как упоминалось ранее, традиционные брандмауэры имеют очень ограниченные возможности. Тем не менее, они являются хорошей отправной точкой. Давайте посмотрим, как традиционный брандмауэр измеряет вышеперечисленные функции:
С сохранением состояния против без гражданства
Большинство традиционных брандмауэров не имеют состояния, хотя некоторые из них могут выполнять проверку с отслеживанием состояния. Чтобы уточнить, они в основном сравнивают входящие пакеты данных с существующим списком вредоносных/запрещенных IP-адресов, портов и протоколов. После этого они поднимают соответствующий флаг.
Видимость приложений
Традиционные брандмауэры обеспечивают лишь частичный контроль и видимость. Вот почему многие угрозы безопасности легко остаются незамеченными в этих брандмауэрах. Разработчики также не могут полагаться на эту информацию для устранения уязвимостей приложений.
Уровни модели OSI
Традиционные брандмауэры работают только на уровнях 3 и 4. Это сетевой и транспортный уровни соответственно. Сетевой уровень обрабатывает IP-адреса. Транспортный уровень обрабатывает протоколы TCP или UDP. Поскольку традиционные брандмауэры работают только на этих уровнях, они могут отслеживать только IP-адреса и протоколы.
Осведомленность на уровне приложений
Традиционные брандмауэры не поддерживают эту функцию и, следовательно, не могут принимать разумные решения о трафике приложений. Также они не анализируют данные, передаваемые приложениями. Поэтому их эффективность в блокировании вредоносного трафика очень ограничена.
Службы репутации и идентификации
Традиционные брандмауэры не поддерживают службы репутации и идентификации. Следовательно, они не могут помочь с агрегированием данных и динамической фильтрацией.
Интеграция инструментов безопасности
Крайне сложно интегрировать инструменты безопасности в традиционные брандмауэры. По сути, это автономные системы. Кроме того, вам, возможно, придется управлять каждым брандмауэром отдельно, и это обслуживание может быть дорогостоящим.
Расшифровка и проверка SSL-трафика
Традиционные брандмауэры не поддерживают расшифровку и проверку SSL-трафика, поэтому зашифрованный вредоносный контент может проникнуть в вашу сеть.
NAT, PAT и VPN
Традиционные брандмауэры поддерживают все три технологии.
IDS и IPS
В традиционных брандмауэрах системы IDS и IPS не интегрированы в сам брандмауэр. Две системы развертываются только по отдельности.
Давайте погрузимся в NGFW дальше!
NGFW
С сохранением состояния против без гражданства
NGFW — это межсетевые экраны с отслеживанием состояния. Это приводит к более точной фильтрации, поскольку они, как правило, видят весь контекст. Это тоже интеллектуальные системы. Они выходят за рамки сравнения информации о пакете со списком «запрещенных». Они также принимают решения о динамической фильтрации на основе всего контекста.
Видимость приложений
NGFW обеспечивают полную видимость и контроль приложений. Они используют специальные методы, такие как сопоставление сигнатур и углубленный анализ, для выявления безопасных приложений.
Уровни модели OSI
NGFW работают на уровнях со 2 по 7, что означает, что они могут получить полный контекст пакета. В свою очередь, это помогает принимать точные решения по фильтрации.
Осведомленность на уровне приложений
NGFW поддерживают мониторинг приложений. В результате они выходят за рамки простого осмотра и мониторинга. Они также выполняют глубокий анализ пакетов. После этого они идентифицируют любое вредоносное содержимое, находящееся в пакетах. Излишне говорить, что предлагаемая защита является более полной.
Службы репутации и идентификации
NGFW поддерживают службы репутации и идентификации. Следовательно, они могут обеспечить интеллектуальную и динамическую фильтрацию пакетов. Они также могут объединять IP-адреса или приложения, отправляющие вредоносные пакеты. Это может помочь вашей организации предпринять необходимые действия для защиты сетей.
Интеграция инструментов безопасности
NGFW легко интегрируются с растущим числом инструментов безопасности. Таким образом, они могут передавать данные в централизованную систему журналов. Таким образом, они получают более широкое представление об угрозе. Они также помогают вам хорошо взаимодействовать с системами отслеживания инцидентов. Затраты на техническое обслуживание также ниже.
Расшифровка и проверка SSL-трафика
NGFW поддерживают расшифровку и проверку SSL-трафика. Благодаря этому они также обеспечивают дополнительный уровень безопасности для вашей сети.
NAT, PAT и VPN
NGFW поддерживают эти три технологии. Они могут расширить их для интеграции с более сложными технологиями, такими как песочница. В свою очередь, это защищает вашу сеть от продвинутых угроз, таких как вредоносное ПО.
IDS и IPS
Большинство NGFW интегрированы с возможностями IDS и IPS. Это снижает затраты на установку и обслуживание отдельной IDS/IPS. В целом, это обеспечивает лучшую безопасность вашей сети.
Вот и все! Это много информации, которую нужно принять, но не волнуйтесь. В следующем разделе я упрощу для вас, если вы.
Традиционные брандмауэры и брандмауэры следующего поколения: упрощенное сравнение функций
Подводя итог, вот таблица, сравнивающая традиционные брандмауэры и NGFW:
| Особенность | Традиционный брандмауэр | Брандмауэр нового поколения (NGFW) |
| С сохранением состояния против без гражданства | В основном лица без гражданства | Всегда с состоянием |
| Видимость и контроль приложений | Частичное и ограниченное | Полный |
| Уровни модели OSI | 3 и 4; отслеживает только IP-адреса и протоколы | Слои со 2 по 7 для полного контекста |
| Осведомленность на уровне приложений | Нет | Да |
| Службы репутации и идентификации | Нет | Да |
| Интеграция инструментов безопасности | Чрезвычайно трудно | Легкий |
| Расшифровка и проверка SSL-трафика | Нет | Да |
| NAT, PAT и VPN | Поддерживает | Поддерживает и расширяет для включения новых технологий |
| IDS и IPS | Развернуто отдельно | Интегрированный |
Из приведенной выше таблицы и обсуждения становится ясно, что NGFW намного лучше, чем традиционные брандмауэры. На самом деле, они лучше справляются со сложными атаками. Конечно, они также имеют недостатки. Во-первых, они потребляют слишком много ресурсов. Они также имеют тенденцию быть медленнее, чем традиционные брандмауэры. Наконец, они, вероятно, дороже.
Все это приводит к следующему вопросу: как выбрать брандмауэр, который хорошо подходит для вашей организации? И именно на это я отвечу дальше.
Как выбрать брандмауэр
Если вы не знаете, как сделать лучший выбор, я здесь, чтобы помочь. Вот пошаговый список вещей, которые следует учитывать перед выбором брандмауэра.
Шаг 1. Перечислите свои требования
Составьте список всех функций, которые вам нужны в брандмауэре. Чтобы привести несколько примеров, предположим, что у вас есть удаленная рабочая группа, которая подключается через VPN. Поскольку они постоянно подключены к Интернету, вам нужен брандмауэр, который выполняет глубокую проверку пакетов.
Итак, поймите свои бизнес-требования. Составьте список функций, которые вам нужны в брандмауэре, прежде чем пытаться его приобрести.
Шаг 2: Размер вашего оборудования
Это важный, но часто упускаемый из виду шаг при выборе брандмауэра. Разберитесь со своим оборудованием. Выясните, сколько он может поддерживать. В идеале вам нужен комплексный и высокопроизводительный брандмауэр. Однако ваше базовое оборудование должно его поддерживать.
Точно так же изучите свою пропускную способность и коэффициент ее использования. Точно так же средний объем трафика является еще одним показателем, который следует учитывать. Учитывайте все эти факторы при выборе брандмауэра. Таким образом, вы выберете брандмауэр, соответствующий вашим возможностям.
Шаг 3: выберите подходящую марку
После этого вам нужно будет выбрать поставщика. Это сложный выбор, так как большинство ведущих компаний имеют аналогичные предложения. На этом шаге примите участие вашей команды и их предпочтения или опыт. Если большинству ваших сотрудников нравится определенный бренд, сделайте это. Это заставит ваших сотрудников чувствовать себя комфортно и вовлеченными. Это также сократит время обучения и адаптации ваших сотрудников, особенно если они не знакомы с определенными брендами.
Шаг 4: Подумайте о своем бюджете
Еще одна важная вещь, которую следует учитывать, это ваш бюджет. Проведите небольшое исследование, чтобы понять, какой брандмауэр обладает большинством необходимых вам возможностей. Затем проверьте, соответствует ли цена вашему бюджету. Иногда вам может понадобиться выбрать дешевый брандмауэр с базовыми функциями. Тем не менее, это все же лучше, чем отсутствие брандмауэра. Если ваша компания может себе это позволить, вы можете выбрать более дорогой брандмауэр. Будьте готовы пойти на некоторые компромиссы здесь.
Шаг 5: подумайте о будущем
При выборе брандмауэра учитывайте его масштабируемость и простоту обновления. По возможности рассмотрите возможность использования облачных сервисов брандмауэра. Они гибкие и масштабируемые. Также лучше знать, как вы будете использовать свой брандмауэр. Купите брандмауэр, который будет с вами долгое время. В противном случае вы бы зря потратили деньги. Наконец, попробуйте найти баланс между стоимостью и масштабируемостью!
Теперь вы сможете принять обоснованное решение о типе вашего брандмауэра. Наконец, давайте посмотрим на то, что вам нужно знать.
Какой брандмауэр лучше всего подходит для моей организации
Сегодня многие организации переходят на NGFW. Ведь они обладают расширенными функциями и расширенными возможностями по защите вашей сети. Тем не менее, они не всегда могут быть лучшим выбором для вас. Вот несколько профессиональных советов, которые помогут вам принять решение:
Советы профессионалов
Выберите традиционный брандмауэр, если вы:
- Хотите простой и быстрый брандмауэр без дополнительных функций
- У вас ограниченный бюджет, и вы не можете тратить много денег на брандмауэр.
- Вы только начинаете, и вам нужен брандмауэр для начинающих
- Не хотите, чтобы ваш брандмауэр потреблял много вычислительных ресурсов в вашей организации.
Выбирайте брандмауэр нового поколения, если вы:
- Хотите получить доступ к гораздо большему количеству функций, чем традиционный брандмауэр
- Иметь больший бюджет
- Имеете опыт работы с брандмауэрами, т.е. это не первый ваш
- Способны выделять на это больше ресурсов
И вот оно! Я надеюсь, что эта информация пригодится вам при выборе брандмауэра.
Заключительные слова
В заключение, брандмауэры — это первая линия защиты вашей сети. В результате они имеют решающее значение для вашей безопасности. Тем не менее, выбрать брандмауэр непросто, поскольку сегодня существует множество типов брандмауэров. Вообще говоря, у вас есть традиционные брандмауэры и брандмауэры нового поколения (NGFW). Первый представляет собой относительно простой брандмауэр, который проверяет только заголовки. И наоборот, NGFW более совершенны и обеспечивают всестороннюю защиту.
В этой статье вы узнали об их различиях во многих аспектах. Наконец, через несколько шагов вы поняли, как выбрать подходящий брандмауэр для вашей организации. Помните, что даже традиционный брандмауэр лучше, чем отсутствие брандмауэра.
У вас есть дополнительные вопросы о традиционных брандмауэрах и брандмауэрах нового поколения? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!
Часто задаваемые вопросы
Похожи ли межсетевые экраны с отслеживанием состояния и без сохранения состояния?
Нет, межсетевые экраны с отслеживанием состояния могут определять полное состояние трафика и его поток. Тогда они смогут принимать разумные решения. С другой стороны, межсетевой экран без сохранения состояния проверяет пакеты только на соответствие заданным правилам. После этого он поднимает флаги, если обнаруживает какую-либо аномалию.
Могу ли я получить данные журнала с помощью моего брандмауэра?
Да, вы можете получить данные журнала с помощью брандмауэра. Важно время от времени проверять журналы. Например, вы могли добавить несколько новых правил в свой брандмауэр. В этом случае изучение журналов может помочь вам определить, требуют ли эти правила дальнейшей отладки. Если у вас есть функция централизованного ведения журнала и вы хотите, чтобы ваша информация журнала перемещалась туда, рассмотрите возможность приобретения NGFW .
Может ли традиционный брандмауэр блокировать вредоносное ПО?
Нет, традиционный брандмауэр не может блокировать вредоносное ПО. Он также не может остановить ни одну из других сложных постоянных угроз (APT), таких как кибершпионаж и электронные преступления. Для противодействия этим угрозам вам понадобится брандмауэр нового поколения (NGFW). Он поставляется с расширенными функциями, такими как глубокая проверка пакетов (DPI), фильтрация, расшифровка и проверка SSL.
Нужен ли мне NGFW?
Это зависит от вашей инфраструктуры и доступных ресурсов. NGFW потребляют больше ресурсов. Им также требуется необходимое вспомогательное оборудование для оптимальной производительности. В то же время они обеспечивают комплексную защиту. Итак, если вам нужна защита и вы можете позволить себе инфраструктуру и ресурсы, сделайте это.
Как выбрать брандмауэр?
Проще говоря, вы должны учитывать требования вашей организации к брандмауэру. Затем посмотрите, какой брандмауэр соответствует этим требованиям. Также важно попытаться найти хороший баланс между стоимостью и функциями. Наконец, при выборе учитывайте такие факторы, как гибкость и масштабируемость.