Zapora sieciowa w infrastrukturze IT

8 grudnia 2020

fibre connection Exanet

Firewall w infrastrukturze sieciowej

Co to jest firewall?

Zapora sieciowa (ang. firewall) to urządzenie w sieci komputerowej, którego zadaniem jest monitorowanie przychodzącego i wychodzącego ruchu sieciowego, jak również blokowanie określonego ruchu zgodnie ze zdefiniowanymi regułami.

Zapory sieciowe, jako pierwsza linia ochrony sieci komputerowych, zostały spopularyzowane około 25 lat temu. Z założenia, firewall pozwala na uzyskanie bariery pomiędzy zabezpieczonymi, zaufanymi sieciami, a sieciami zewnętrznymi (np. Internet).

Dzięki blokowaniu nieautoryzowanych transmisji danych z sieci lub do sieci komputerowej firmy, firewall jest znakomitym sposobem zabezpieczenia serwerów lub komputerów przez wykradaniem danych przez cyberprzestępców lub umieszczaniem przez hackerów szkodliwych danych na urządzeniach w sieci firmowej.

Firewall, jako produkt, może mieć formę sprzętu (hardware), oprogramowania (software) lub występować jako kombinacja wcześniej wymienionych form.

Działanie firewall

Zapora sieciowa pozwala zabezpieczyć komputery i serwery w firmowej sieci LAN przed atakami z zewnątrz, które często oparte są na skanowaniu używanego przez organizację adresu IP w zakresie uruchomionych usług, po czym następuje próba wykorzystania ewentualnych wykrytych błędów w zabezpieczeniach.

Warto pamiętać, że w sieci działają specjalnie przygotowane przez hackerów programy (bot), które regularnie skanują wszelkie adresy IP w celu odnalezienia niezabezpieczonych sieci do przeprowadzenia ataku (np. instalacja szkodliwego oprogramowania malware).

Podczas filtrowania ruchu przychodzącego oraz wychodzącego, firewall może odmówić dostępu dla połączenia, które zostanie uznane za niebezpieczne. Poprawnie skonfigurowana i wdrożona zapora ogniowa potrafi odeprzeć większość znanych rodzajów ataków w sieci.

Najczęściej stosowane są techniki obrony oparte na: filtrowaniu pakietów (sprawdzanie pochodzenia i akceptacja pożądanych pakietów), stosowaniu algorytmów identyfikacji użytkownika (certyfikaty, zestawy poświadczeń), zabezpieczaniu programów obsługujących wybrane protokoły (np. FTP).

Dziennik zdarzeń

Oprócz monitorowania ruchu sieciowego, ważną funkcją działania zapory sieciowej jest zapisywanie najważniejszych zdarzeń do dziennika (log). Dzięki analizie zebranych informacji, administrator IT w firmie może wprowadzić zmiany w konfiguracji zabezpieczeń.

server cabinets Data Center

Rodzaje zapór sieciowych

Firewall proxy

Firewall proxy to rozwiązanie hardware, realizujące funkcję bramy z jednej sieci do drugiej, działając dla konkretnej aplikacji. Pracując w warstwie aplikacji, zapora sieciowa proxy przyjmuje rolę pośrednika między klientem z sieci firmowej, a wybranym serwerem w sieci Internet. Firewall proxy działa podobnie do serwera proxy lub serwera cache, z tą różnicą, że oprócz przechwytywania zapytań oraz odpowiedzi, realizuje również monitoring przychodzącego ruchu w zakresie protokołów warstwy 7 modelu OSI (np.: FTP, HTTP).

Zapory sieciowe proxy, powstrzymując bezpośredni kontakt systemów objętych ochroną z zewnętrznymi sieciami, uznawane są za skuteczny rodzaj zabezpieczenia. W takim rozwiązaniu połączenie z sieci zewnętrznej nigdy nie otrzymuje pakietów danych bezpośrednio z sieci firmowej, ponieważ firewall proxy posiada swój własny adres IP.

Firewall proxy posiada dosyć rozbudowane możliwości zbierania logów, co dodatkowo może być cennym źródłem informacji dla specjalistów bezpieczeństwa IT. Założeniem twórców rozwiązania firewall proxy było stworzenie jednego punktu umożliwiającego ocenę niebezpieczeństw w zakresie protokołów warstwy aplikacji oraz wdrażanie wykrywania błędów lub ataków.

Ze względu na nawiązywanie dodatkowego połączenia dla każdego wychodzącego oraz przychodzącego pakietu, firewall proxy może wpływać spowalniająco na działanie sieci komputerowej. Co więcej, rozwiązanie niesie również ryzyko dotyczące tzw. pojedynczego punktu awarii. Warto zwrócić uwagę na to, że zapory sieciowe proxy wspierają tylko popularne protokoły sieciowe, co ogranicza obecnie stosowanie rozwiązania.

Stateful inspection firewall

Firewall pełnostanowy postrzegany jest od pewnego czasu jako konwencjonalny rodzaj zapory sieciowej. SI (stateful inspection) firewall, działając w warstwie 3 oraz 4 modelu OSI, przepuszcza lub blokuje ruch w zależności od stanu, portu oraz wykorzystywanego protokołu.

Rozwiązanie jest w stanie monitorować całą aktywność, od rozpoczęcia połączenia do zakończenia. Działanie w zakresie filtrowania ruchu sieciowego oparte jest na regułach zdefiniowanych przez administratora oraz informacjach kontekstowych (dotyczących poprzednich połączeń oraz innych pakietów należących do danego połączenia).

Stateful inspection firewall realizuje dynamiczne filtrowanie pakietów, czyli filtrowanie oparte na informacjach dotyczących stanu oraz kontekstu połączenia sieciowego. Kontekst połączenia zawiera m. in. metadane dotyczące pakietów (np.: adres IP oraz numery portów, długość pakietu, sekwencje protokołu TCP w warstwie 4, dane warstwy 3 dotyczące fragmentacji pakietu).

Nadzorując stan połączeń, SI firewall przepuszcza lub odrzuca pakiety na podstawie analizy nagłówków pakietów przesyłanych przez aplikacje dopuszczone do ruchu sieciowego. Korzystając z filtra pakietów funkcjonującego w warstwie sieciowej, współczesne zapory działają efektywniej od wczesnych rozwiązań, które działały w warstwie aplikacji.

UTM firewall

Zapora sieciowa typu UTM (unified threat management) to rozwiązanie hardware łączące funkcje SI firewall z funkcjonalnościami ochrony przed nieautoryzowanym dostępem do sieci oraz ochrony antywirusowej. Nowoczesny firewall UTM jest szybki i łatwy do wdrożenia, dzięki zestawom gotowych polityk oraz narzędzi zarządzania i raportowania, stworzonych z myślą o łatwości utrzymania infrastruktury sieciowej.

Założeniem przyświecającym produktom UTM jest dostarczenie rozwiązań klasy enterprise dla mniejszych i średnich przedsiębiorstw, bez konieczności angażowania wykwalifikowanej kadry IT w ramach wyspecjalizowanego działu zajmującego się bezpieczeństwem lub siecią komputerową.

Odpowiednio dobrane urządzenia UTM potrafią przy aktywowanej pełnej ochronie zapewnić wydajność realizującą wszystkie potrzeby firmy. Pewnym ograniczeniem jest jednak mniejsza elastyczność, jeśli chodzi o wprowadzanie zaawansowanej konfiguracji lub manualne generowanie raportów.

Zapora UTM może realizować wiele funkcji, m. in:

  •  Ochrona przed wyciekami oraz utracie danych.
  •  Ochrona przed wirusami komputerowymi.
  •  Zapewnienie bezpieczeństwa dla usługi e-mail.
  •  Rozpoznawanie spamu i realizacja ochrony antyspamowej.
  •  Rozpoznawanie i blokowanie niechcianych aplikacji.
  •  Zapobieganie włamaniom do sieci i wykrywanie prób.
  •  Generowanie raportów dot. urządzeń w sieci.
  •  Filtrowanie adresów URL.
  •  Filtrowanie treści.
  •  Zapewnienie ochrony sieci WiFi.
  •  Koncentrator VPN.
  •  Realizacja funkcji zapory aplikacji internetowych.
firbre connection network equipment

Next-generation firewall (NGFW)

Zapora sieciowa nowej generacji to nowoczesne i popularne rozwiązanie ochrony, które stosowane jest w infrastrukturze sieci komputerowej wielu firm na całym świecie. Początki NGFW biorą się z dążenia do zaproponowania rozwiązania bezpieczeństwa, które łączy w sobie zestaw konkretnych funkcjonalności: firewall, IPS (wykrywanie i zapobieganie włamaniom) oraz filtrowanie URL.

Stosowanie zapory sieciowej nowej generacji pozwala na blokowanie zagrożeń w sieci, takich jak np. zaawansowane ataki malware oraz ataki na infrastrukturę wykorzystujące warstwę aplikacji. Producenci NGFW oferują rozwiązania, które mogą różnić się od siebie. Przyjmuje się, że definicja NGFW powinna uwzględniać:

  •  Funkcjonalności pełnostanowej zapory sieciowej.
  •  Zintegrowany system do wykrywania i zapobiegania atakom, IPS (intrusion prevention system).
  •  Wgląd w zachowanie aplikacji w sieci oraz możliwość kontroli i blokowania niebezpiecznych aplikacji.
  •  Możliwości aktualizacji rozwiązania, uwzględniającej istotne informacje przygotowane w przyszłości.
  •  Przygotowane metody do zastosowania przeciwko zmieniającym się zagrożeniom.

NGFW ukierunkowany na zagrożenia

Zapora sieciowa nowej generacji ukierunkowana na zagrożenia to zaawansowane rozwiązanie, uwzględniające wszystkie możliwości NGFW, zapewniając jednocześnie zaawansowane mechanizmy wykrywania i radzenia sobie z zagrożeniami. Zapora sieciowa NGFW ukierunkowana na zagrożenia pozwala na:

  •  Uzyskanie wiedzy o zasobach w infrastrukturze informatycznej firmy, które są najbardziej narażone na niebezpieczeństwa, uwzględniając informacje kontekstowe.
  •  Szybkie reagowanie na ataki wraz z dynamicznym dostosowywaniem poziomu ochrony, wykorzystując inteligentne procesy automatyzacji wpływające na ustawienia polityk bezpieczeństwa.
  •  Skuteczniejsze wykrywanie niejednoznacznych lub podejrzanych aktywności, z wykorzystaniem danych o korelacji zdarzeń z daną siecią lub urządzeniem końcowym.
  •  Znaczne skrócenie czasu pomiędzy wykryciem zagrożenia, a realizacją działań mających na celu usunięcie zagrożenia, uwzględniając wgląd w bezpieczeństwo z perspektywy czasu oraz ciągłe monitorowanie podejrzanych aktywności lub zachowań.
  •  Uproszczenie działań administracyjnych dzięki spójnym politykom bezpieczeństwa obowiązującym w każdym momencie potencjalnego ataku.

Wirtualna zapora sieciowa

Wirtualny firewall to rozwiązanie polegające na wdrożeniu wirtualnego urządzenia w prywatnej chmurze (VMWare ESXi, Microsoft Hyper-V) lub w publicznej chmurze (Microsoft Azure, AWS, Google) w celu monitorowania oraz zabezpieczenia ruchu sieciowego pomiędzy fizycznymi oraz wirtualnymi sieciami. Wirtualna zapora sieciowa to jeden z kluczowych komponentów SDN (software defined network).

switches

Wdrożenie firewall w firmie

Wzrost wydajności rozwiązań Firewall

Systemy firewall towarzyszą firmowym sieciom komputerowym od kilku dekad. Rozwiązania ewoluowały, począwszy od filtrów pakietowych, przez firewalle pełnostanowe, do obecnie stosowanych NGFW (next generation firewall) oraz systemów UTM (unified threat management).

W ostatnich latach, oferowane systemy firewall zaczęły charakteryzować się znacznym wzrostem wydajności w zestawieniu do wcześniej oferowanych rozwiązań, dzięki czemu produkty mogą być wykorzystywane w infrastrukturze wymagającej wysokich przepływów danych.

Na rynku obecne są aktualnie rozwiązania firewall o wydajności kilkudziesięciu lub kilkuset gigabitów, dzięki czemu mogą sprawnie realizować funkcje ochrony dla sieci komputerowych dla bardzo wymagających firm. Wzrost wydajności pozwala na ograniczenie liczby niezbędnych punktów ochrony instalowanych w warstwie dostępowej, optymalizując zarządzanie bezpieczeństwem.

Dobór i wdrożenie zapory sieciowej dla firmy

Zapora sieciowa nowej generacji to skuteczne rozwiązanie podnoszące bezpieczeństwo infrastruktury IT dla firmy. Wdrożenie nowoczesnego firewalla zapewniającego zaawansowaną ochronę przed złośliwym oprogramowaniem oraz atakami z zewnątrz, najlepiej zlecić doświadczonemu partnerowi IT, który dobierze optymalne urządzenia oraz licencje dostosowane do indywidualnych potrzeb i wymagań organizacji, wykona konfigurację, zaimplementuje uzgodnione dodatkowe rozwiązania wnoszące poprawę wydajności i bezpieczeństwa sieci komputerowej, np. ograniczenia dostępu do sieci, ochrona usług wystawionych do Internetu, wysoka dostępność.

Wieloletnie doświadczenia w budowie oraz zarządzaniu infrastrukturą sieciową dla średnich i dużych firm, pozwalają rekomendować rozwiązania Cisco w zakresie NGFW. Cisco to światowy lider w zakresie kompleksowych systemów służących bezpieczeństwu sieci informatycznych, oferujący nie tylko sprawdzone rozwiązania, ale również wsparcie.

Bezpieczeństwo dzięki rozwiązaniom Cisco

Zapory sieciowe Cisco automatycznie zapobiegają naruszeniom zabezpieczeń, umożliwiając pracę bez zakłóceń oraz chroniąc zasoby firmy. Bogata telemetria sieciowa pozwala na uzyskanie pełnego wglądu w informacje o sieci i wykrywanie nawet subtelnych zagrożeń. Automatyzacja procesów stosowania i egzekwowania zasad pozwala oszczędzać czas administratora IT.

Zapora nowej generacji Cisco nie tylko zapobiega naruszeniom i pozwala wdrażać zaawansowane zabezpieczenia, ale również umożliwia całościowy wgląd w informacje o sieci, zapewniając elastyczne zarządzanie i dostosowane do indywidualnych potrzeb organizacji opcje wdrożenia, przyspiesza wykrywanie złośliwego oprogramowania w celu ograniczenia ryzyka.

Co ważne, zapora nowej generacji Cisco nie jest tylko izolowanym narzędziem. Jako rozwiązanie bezpieczeństwa płynnie integruje się z resztą architektury oraz innymi narzędziami dostawcy, udostępniając informacje o zagrożeniach, dane zdarzeń, zasady i informacje kontekstowe za pomocą m.in.: poczty e-mail, Internetu, punktów końcowych i innych narzędzi bezpieczeństwa sieci.

Exanet Cisco Partner Select Certified