„Firewall“ (букв. „Огнена стена“, но се превежда като „Защитна стена“) наричаме мрежово устройство или софтуер за наблюдение на пакетите, които влизат и излизат през дадена мрежа, и съответно ги блокира или им позволява да преминат, в зависимост от настройките, зададени за това какъв трафик е желан и какъв не е.
Има няколко типа firewall-и, които са разработени през годините, като впоследствие са станали по-сложни и вече вземат повече параметри, за да извършат дадено решение по отношение на позволения и забранения трафик. Най-новите firewall-и са познати под общото название „next-generation firewalls“ (firewall-и от следващо поколение) или NGFW за по-кратко. Новото при тях е, че освен усложнената структура и процес на вземане на решение, те си сътрудничат с множество други технологии и не се ограничават само до филтриране на пакети.
Първоначално поставени на границата между мрежите, на които потребителят има доверие и тези, на които няма, днес firewall-и се използват, за да защитават и вътрешни сегменти от дадена мрежа или мрежи, като например центрове за данни, които трябва да са отделени от останалата част на мрежата на дадената организация.
Специалисти от Софтуерния университет представят някои от основните типове защитни стени:
Прокси-базирани защитни стени
Този тип защита действа като посредник между крайния потребител, който изисква определени данни, от една страна, и източника на тези данни, от друга. Устройството-домакин се свърза с прокси, което от своя страна прави отделна връзка с източника на търсените от потребителя данни. В отговор устройството-източник прави връзка с проксито, което на свой ред извършва обратна връзка с устройството-домакин.
Преди да препрати пакетите към получателя, проксито може да ги филтрира, прилагайки определени правила спрямо тях, както и да скрие локацията на устройството на получателя, като по този начин не само предпазва потребителя от зловредни пакети, но и гарантира поверителност. Друго предимство на този тип връзка е, че машини, които се намират извън дадена мрежа, могат да черпят ограничена информация за мрежата, защото те никога не са свързани директно към нея.
Разбира се, има и недостатъци при този тип свързване, като например закъснението, което може да възникне докато заявката мине през посредника и докато той я провери и филтрира, а това от своя страна може да попречи на нормалната работа на редица приложения.
Stateful защитни стени
Този тип защитни стени проследяват състоянието на мрежовите връзки (като TCP потоци или UDP комуникации) и може да запази значимите атрибути на всяка мрежова връзка в паметта. Въпросните атрибути са познати като „състояние на връзката“ (state of connection) и включват детайли като IP адреси и портове, които вземат участие във връзката, както и идентификационните номера на пакетите, преминаващи през осъществената връзка.
Stateful защитните стени наблюдават входящите и изходящи пакети с течение на времето, както и състоянието на самата връзка. Събраните данни се съхраняват в динамични таблици, от които защитната стена черпи информация, на база на която да изгради решението си дали да спре даден пакет или не, т.е. за разлика от прокси стените, тук филтрирането не се ограничава само до зададените от администратор настройки.
Подобен подход (на събирането на данни и използването на информацията при вземането на решения от страна на защитната стена) води до отпадане на необходимостта от проверка на всеки един отделен пакет, като по този начин се спестява време и се редуцира забавянето.
Следващо поколение защитни стени
Пакетите могат да се филтрират, използвайки и други неща освен състоянието на връзките, източника и адресите. Защитните стени от следващо поколение (NGFW) включват в себе си много по-индивидуален подход към всяко едно приложение или потребител, какво и как да го правят. Подобно на stateful защитните стени, те също събират данни от всичко, до което влизат в контакт, за да направят по-информиран избор какъв трафик да пуснат и какъв – да спрат.
Например, някои от NGFW извършват URL филтриране, могат да терминират SSL връзки и поддържат SD-WAN (софтуерно-дефинирани WAN), за да подобрят ефективността по отношение на това как динамичните SD-WAN решения се прилагат. Други свойства, които по принцип са се извършвали от отделни устройства/приложения, вече са включени в множество различни NGFW. Такива са например:
• Intrusion Prevention Systems (IPS)
Докато базовите firewall технологии идентифицират и блокират определени типове мрежов трафик, IPS използват и други похвати като „signature tracing“ и засичане на аномалии, за да предотвратят навлизането на различни заплахи от или в дадена мрежа. В наши дни IPS е все по-често срещана опция в повече защитни стени.
• Deep-packet inspection (DPI)
DPI е тип пакетно филтриране, което инспектира много повече отколкото само откъде идва даден пакет. DPI инспектира неговото съдържание, изследва с какви приложения е инструктирано да се свърже или какви видове данни ще предава. Резултатите, които събира от направените проучвания, позволяват да се направи по-интелигентен избор на управление на трафика. DPI може да блокира и позволява трафик, но освен това и да ограничава количеството честотна лента (bandwitdth), който е позволен за определени приложения. Освен това може да се използва като инструмент за защита на интелектуална собственост или чувствителни данни от напускане на определена мрежа.
• SSL termination
SSL-криптираният трафик (SSL – Secure Socket Layer – криптографски протокол за връзка клиент-сървър) е имунизиран срещу deep-packet inspection, тъй като съдържанието му не може да бъде прочетено. Някои NGFW могат да терминират SSL трафика, да го инспектират, след което да създадат втора SSL връзка към първоначалния адрес, към който отива трафика. Този подход може да се използва например за да се предотврати зловредно деяние на служител, който иска да изнесе вътрешна информация, като в същото време позволява на легитимен трафик да преминава през него. Въпреки, че е добро решение от гледна точка на защитата на данни, прилагането на DPI при SSL криптиране може да породи въпроси относно поверителността на данните и правото на достъп до тях.
• Sandboxing
Различни прикачени файлове или комуникации, идващи от външни източници, могат да съдържат зловреден код. Чрез използване на т.нар. „Sandboxing”, някои NGFW могат да изолират тези прикачени файлове и какъвто и да е код, който те съдържат, да го активират в контролирана среда и да проверят дали е зловреден. Недостатъкът на този подход е, че може да консумира доста изчислителна мощ на централния процесор и да забави целия трафик, преминаващ през съответната защитна стена.
Автор: Георги Кацаров