Сви разумеју основну функцију заштитног зида – да заштити вашу мрежу од малвера и неовлашћеног приступа. Али тачне специфичности рада заштитних зидова су мање познате.

Шта је заправо заштитни зид^(firewall) ? Како функционишу различите врсте заштитних зидова? И можда најважније – који тип заштитног зида је најбољи?

Заштитни зид 101

Једноставно^(Simply) речено, заштитни зид је само још једна крајња тачка мреже. Оно што га чини посебним је његова способност да пресретне и скенира долазни саобраћај пре него што уђе у интерну мрежу, блокирајући злонамерним актерима приступ.

Провера аутентичности сваке везе, скривање одредишне ИП адресе од хакера, па чак и скенирање садржаја сваког пакета података – заштитни зидови раде све. Заштитни зид служи као својеврсна контролна тачка, пажљиво контролишећи врсту комуникације која се пушта.

Заштитни зидови за филтрирање пакета

Заштитни зидови за филтрирање пакета су најједноставнија технологија заштитног зида са најмање ресурсима. Иако ових дана није у моди, они су били главна заштита мреже у старим рачунарима.

Заштитни зид за филтрирање пакета ради на нивоу пакета, скенирајући сваки долазни пакет са мрежног рутера. Али он заправо не скенира садржај пакета података – само њихова заглавља. Ово омогућава заштитном зиду да верификује метаподатке као што су изворне и одредишне адресе, бројеви портова итд.

Као што можда сумњате, овај тип заштитног зида није баш ефикасан. Све што заштитни зид за филтрирање пакета може да уради је да смањи непотребан мрежни саобраћај према листи контроле приступа. Пошто се сам садржај пакета не проверава, малвер и даље може да прође.

Мрежни пролази на нивоу кола

Други ресурсно ефикасан начин провере легитимности мрежних веза је мрежни пролаз на нивоу кола. Уместо провере заглавља појединачних пакета података, мрежни пролаз на нивоу кола верификује саму сесију.

Још једном, заштитни зид попут овог не пролази кроз садржај самог преноса, остављајући га рањивим на мноштво злонамерних напада. Имајући то у виду , провера веза протокола за контролу преноса^{(Transmission Control Protocol)} ( ТЦП^(TCP) ) са слоја сесија ОСИ^(OSI) модела одузима веома мало ресурса и може ефикасно да искључи непожељне мрежне везе.

Због тога су мрежни пролази на нивоу кола често уграђени у већину безбедносних решења мреже, посебно у софтверске заштитне зидове. Ови гејтвеји такође помажу при маскирању ИП адресе корисника креирањем виртуелних веза за сваку сесију.

Заштитни зидови за инспекцију стања

И заштитни зид за филтрирање пакета^{(Packet-Filtering Firewall)} и мрежни пролаз на нивоу кола^{(Circuit Level Gateway)} су имплементације заштитног зида без стања. То значи да раде на статичком скупу правила, ограничавајући њихову ефикасност. Сваки пакет (или сесија) се третира засебно, што омогућава само основне провере.

 Заштитни зид за инспекцију^{(Inspection Firewall)} стања, с друге стране, прати стање везе, заједно са детаљима о сваком пакету који се преко њега преноси. Праћењем ТЦП^(TCP) руковања током трајања везе, заштитни зид за инспекцију стања може да састави табелу која садржи ИП адресе и бројеве портова извора и одредишта и да усклади долазне пакете са овим динамичким скупом правила.

Захваљујући томе, тешко је ушуњати се у пакете злонамерних података поред заштитног зида за контролу стања. Са друге стране, ова врста заштитног зида има веће трошкове ресурса, успоравајући перформансе и стварајући прилику за хакере да искористе нападе дистрибуираног ускраћивања услуге^{(Denial-of-Service)} ( ДДоС^(DDoS) ) против система.

Прокси заштитни зидови

Познатији^(Better) као мрежни пролази на нивоу апликације^{(Application Level Gateways)} , прокси заштитни зидови^{(Proxy Firewalls)} раде на предњем слоју ОСИ^(OSI) модела – слоју апликације. Као завршни слој који одваја корисника од мреже, овај слој омогућава најтемељитију и најскупљу проверу пакета података, по цену перформанси.

Слично мрежним пролазима на нивоу кола^{(Circuit-Level Gateways)} , прокси заштитни зидови^{(Proxy Firewalls)} функционишу тако што посредују између хоста и клијента, прикривајући интерне ИП адресе одредишних портова. Поред тога, мрежни пролази на нивоу апликације врше дубоку инспекцију пакета како би осигурали да злонамерни саобраћај не може да прође.

И док све ове мере значајно повећавају безбедност мреже, такође успоравају долазни саобраћај. Мрежне^(Network) перформансе су погођене због провера које захтевају велике ресурсе које спроводи заштитни зид са стањем као што је овај, што га чини лошим за апликације осетљиве на перформансе. 

НАТ заштитни зидови

У многим рачунарским подешавањима, кључна тачка сајбер безбедности је да се обезбеди приватна мрежа, прикривајући појединачне ИП адресе клијентских уређаја и од хакера и од провајдера услуга. Као што смо већ видели, ово се може постићи коришћењем прокси^(Proxy) заштитног зида или мрежног пролаза на нивоу кола.

Много једноставнији метод сакривања ИП адреса је коришћење заштитног зида за ^(Firewall)транслацију мрежних адреса^{(Network Address Translation)} ( НАТ^(NAT) ) . НАТ^(NAT) заштитни зидови не захтевају много системских ресурса да би функционисали, што их чини главним местом између сервера и интерне мреже.

Заштитни зидови веб апликација

Само мрежни заштитни зидови^{(Network Firewalls)} који раде на слоју апликације могу да изврше дубоко скенирање пакета података, као што је заштитни зид проксија^{(Proxy Firewall)} , или још боље, заштитни зид веб апликација^{(Web Application Firewall)} ( ВАФ^(WAF) ).

Радећи унутар мреже или хоста, ВАФ^(WAF) пролази кроз све податке које преносе различите веб апликације, пазећи да ниједан злонамерни код не прође. Овај тип архитектуре заштитног зида је специјализован за инспекцију пакета и пружа бољу сигурност од заштитних зидова на површинском нивоу.

Заштитни зидови у облаку

Традиционални заштитни зидови, и хардверски и софтверски, немају добру величину. Морају се инсталирати имајући у виду потребе система, било да се фокусирају на перформансе високог саобраћаја или на ниску безбедност мрежног саобраћаја.

Али заштитни зидови у облаку^{(Cloud Firewalls)} су далеко флексибилнији. Примењен из облака као прокси сервер, овај тип заштитног зида пресреће мрежни саобраћај пре него што уђе у интерну мрежу, ауторизујући сваку сесију и верификује сваки пакет података пре него што га пусти унутра.

Најбољи део је што се такви заштитни зидови могу повећавати и смањивати у капацитету по потреби, прилагођавајући се различитим нивоима долазног саобраћаја. Нуди се као услуга заснована на облаку, не захтева хардвер и одржава је од стране самог добављача услуга.

Заштитни зидови следеће генерације

Следећа генерација може бити погрешан термин. Све индустрије засноване на технологији воле да бацају овакве речи, али шта то заправо значи? Која врста функција квалификује заштитни зид да се сматра следећом генерацијом?

Истина, не постоји строга дефиниција. Генерално, можете сматрати решења која комбинују различите типове заштитних зидова у један ефикасан безбедносни систем као заштитни зид следеће генерације^{(Next-Generation Firewall)} ( НГФВ^(NGFW) ). Такав заштитни зид је способан за дубоку инспекцију пакета, а истовремено одбија ДДоС^(DDoS) нападе, пружајући вишеслојну одбрану од хакера.

Већина заштитних зидова следеће генерације често комбинује више мрежних решења, као што су ВПН^(VPNs) -ови , системи за спречавање упада^{(Intrusion Prevention Systems)} ( ИПС^(IPS) ), па чак и антивирусни програм у један моћан пакет. Идеја је да се понуди комплетно решење које се бави свим врстама мрежних рањивости, дајући апсолутну сигурност мреже. У том циљу, неки НГФВ-ови такође^(NGFWs) могу дешифровати комуникацију слоја безбедних утичница^{(Secure Socket Layer)} ( ССЛ^(SSL) ), омогућавајући им да примете и шифроване нападе.

Који тип^(Type) заштитног зида^(Firewall) је најбољи за заштиту ваше мреже^{(Your Network)} ?

Оно што се тиче заштитних зидова је да различите врсте заштитних зидова користе различите приступе за заштиту мреже^{(protect a network)} .

Најједноставнији заштитни зидови само аутентификују сесије и пакете, не радећи ништа са садржајем. Заштитни зидови мрежног пролаза^(Gateway) се односе на стварање виртуелних веза и спречавање приступа приватним ИП адресама. Заштитни^(Stateful) зидови са статусом прате везе путем ТЦП^(TCP) руковања, правећи табелу стања са информацијама.

Затим ту су заштитни зидови следеће генерације^{(Next-Generation)} , који комбинују све горе наведене процесе са дубоком инспекцијом пакета и мноштвом других функција заштите мреже. Очигледно је рећи да би НГФВ^(NGFW) вашем систему пружио најбољу могућу сигурност, али то није увек прави одговор.

У зависности од сложености ваше мреже и врсте апликација које се покрећу, ваши системи би могли бити бољи са једноставнијим решењем које штити од најчешћих напада. Најбоља идеја би могла бити да једноставно користите услугу Цлоуд фиревалл-а треће стране^{(third-party Cloud firewall)} , пребацујући фино подешавање и одржавање заштитног зида на добављача услуга.

8 Types of Firewalls Explained

Everyone underѕtands the basic fυnction of a firewall – to protect your network from malware and unaυthorized access. But the exact spеcifics of how firewallѕ work are lesser-known.

What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?

Firewall 101

Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.

Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.

Packet-Filtering Firewalls

Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.

A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.

As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.

Circuit Level Gateways

Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.

Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.

This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.

Stateful Inspection Firewalls

Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.

 A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.

Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.

Proxy Firewalls

Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.

Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.

And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications. 

NAT Firewalls

In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.

A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.

Web Application Firewalls

Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).

Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.

Cloud Firewalls

Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.

But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.

The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.

Next-Generation Firewalls

Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?

In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.

Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.

Which Type of Firewall is the Best to Protect Your Network?

The thing about firewalls is that different types of firewalls use different approaches to protect a network.

The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.

Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.

Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.

Related posts

• Зависност од интернета и друштвених мрежа

• Не могу да се повежем на Ксбок Ливе; Решите проблем са Ксбок Ливе Нетворкинг-ом у оперативном систему Виндовс 10

• Бесплатни алати за бежично умрежавање за Виндовс 10

• Алат за симулацију мреже Цисцо Пацкет Трацер и његове бесплатне алтернативе

• Како онемогућити умрежавање у Виндовс Сандбок-у у оперативном систему Виндовс 10

• Шта је ЦДН и зашто је један неопходан ако поседујете домен?

• Шта је НАТ, како функционише и зашто се користи?

• 8 најбољих друштвених мрежа за пословне професионалце поред ЛинкедИн-а

• Како да поправите „Не могу да обновим ИП адресу“ у Виндовс-у

• 5 начина да обезбедите свој ВиФи

• Може ли се повезати на бежични рутер, али не и на Интернет?

• Како избећи и решити ДНС прекиде

• Мрежни адаптер не ради? 12 ствари које треба пробати

• Како да поправите губитак пакета и сазнајте када је то проблем

• Исправите грешку „Виндовс не може да се повеже на ову мрежу“.

• Ресетовање мреже: Поново инсталирајте мрежне адаптере и мрежне компоненте

• Шта је Лоцалхост и како га можете користити?

• Шта је 192.168.0.1 и зашто је то подразумевана ИП адреса за већину рутера?

• Како користити апликацију Људи за управљање налозима друштвених мрежа

• Шта је време закупа ДХЦП-а и како га променити