Брандмауэр – это сетевое устройство, предназначенное для отслеживания входящих и исходящих пакетов данных в сети, и либо блокирует их, либо разрешает, в соответствии с правилами, которые были установлены для определения разрешенного трафика.
Существует несколько типов брандмауэров, которые развивались на протяжении многих лет, с течением времени становясь все более сложными и функциональными, расширяя критерии оценки проходящего трафика. Самые современные широко известные брандмауэры следующего поколения «Next-generation firewalls» включают в себя множество возможностей, помимо фильтрации трафика.
В больших сетях брандмауэры обычно устанавливаются как отдельное устройство, но они также могут быть внедрены и в виде программного обеспечения, которое устанавливается на сервера.
Основные типы брандмауэров
Брандмауэры на основе прокси-сервера.
Эти брандмауэры выступают в роли шлюза между источником данных и конечными пользователями, которые запрашивают данные. Устройства хоста подключаются к прокси-серверу, а прокси-сервер делает отдельное подключение к источнику данных. В ответ устройства источника информации подключаются к прокси-серверу, а прокси-сервер делает отдельное подключение к хост-устройству. Перед передачей пакетов на адрес назначения прокси-сервер может фильтровать их для обеспечения соблюдения правил и маскировки местоположения устройства получателя, а также для защиты устройства и сети получателя.
Особенность брандмауэров на основе прокси-серверов заключается в том, что машины за пределами защищенной сети могут собирать только ограниченную информацию о сети, потому что они никогда напрямую с ней не связаны.
Основным недостатком таких брандмауэров является то, что создание новых исходящих соединений, остановка входящих плюс фильтрация, вызывает задержки, которые ухудшают скорость работы.
Брандмауэры с сохранением состояния
Более производительный брандмауэр на основе прокси-сервера, который отслеживает информацию о соединениях, благодаря чему, необходимость проверки каждого пакета отпадает, вследствие чего многократно снижается задержка. Эти брандмауэры могут, например, не проверять входящие пакеты, которые являются ответами на исходящие соединения. Первоначальная проверка устанавливает, что соединение допустимо, и, сохраняя это состояние в своей памяти, брандмауэр может пропускать последующий трафик, который является частью этого же обмена данными, без проверки каждого пакета.
Брандмауэры следующего поколения (NGFW)
В случае необходимости фильтрования большого объема трафика появляется необходимость в установке брандмауэров следующего поколения. Благодаря правилам они могу комплексно анализировать трафик, тем самым разрешая или запрещая его. Например, NGFW могут выполнять фильтрацию URL-адресов, прерывать SSL-соединения и поддерживать программную сеть с широким пространством (SD-WAN).
Функции, которые исторически выполняли отдельные устройства – брандмауэры, сегодня могут выполнять NGFW, программное обеспечение, которое можно установить на сервер и они включают в себя:
-система предотвращения вторжений (IPS) – в то время как основной функцией брандмауэра является идентификация и блокировка определенного типа сетевого трафика, IPS использует более гранулированную защиту, такую как отслеживание подписей и обнаружение аномалий, чтобы предотвратить проникновение угроз в сети.
- Инспектор DPI - это такой тип фильтрации пакетов, который выходит за обычные рамки, проверяя их содержимое и показывая, например, какое приложение осуществляет обмен, или какой тип данных передается. DPI может использоваться как для блокировки или разрешения трафика, так и для того чтобы ограничить объем полосы пропускания конкретному приложению.
- Отключение SSL. SSL – это протокол Secure Sockets Layer, зашифрованный трафик, который невозможно проверить, поскольку его содержимое невозможно прочитать. Некоторые NGFW могут прерывать передачу SSL-трафика, проверять его, а затем создавать новое SSL-соединение с целевым адресом назначения.
Брандмауэры веб-приложений
Эти брандмауэры логически связаны между серверами, которые осуществляют работоспособность веб-приложений и самой сети Интернет, защищая от атак HTML, таких как межсайтовый скриптинг, SQL-инъекция и другие. Такие брандмауэры могут быть как аппаратные, так и в виде приложений.