Brána firewall je struktura zabezpečení sítě, která může pomoci chránit vaši síť sledováním síťového provozu a blokováním přístupu cizích osob k soukromým datům v počítačovém systému na základě předem stanovených pravidel. Síťová brána firewall vytváří bariéru mezi důvěryhodnou a nedůvěryhodnou sítí.
Síťová brána firewall navíc neblokuje pouze nedůvěryhodný provoz, ale blokuje také škodlivý software, který může infikovat váš počítač, zatímco legitimní provoz propouští. Síťové brány firewall obvykle slouží jako první obranná linie zabezpečení domácí sítě.
- 8 Typy bran firewall
- Brány firewall s filtrováním paketů
- Brány na úrovni okruhu
- Brány na aplikační úrovni/vrstva 7
- Brány firewall se stupňovanou kontrolou
- Cloudové brány firewall
- Hardwarové brány firewall
- Softwarové brány firewall
- Brány firewall nové generace
- Jak nakonfigurovat a spravovat bezpečnou bránu firewall?
- 1. Zkontrolujte, zda je brána firewall správná. Zajistěte zabezpečení brány firewall
- 2. Vytvořte zóny brány firewall a odpovídající IP adresy
- 3. Mějte nakonfigurovaný seznam řízení přístupu (ACL)
- 4. Konfigurace dalších služeb brány firewall podle požadovaných standardů
- 5. V případě, že chcete, aby se brána firewall správně hlásila na server pro protokolování, je třeba, aby se brána firewall správně hlásila na server pro protokolování. Proveďte testy konfigurace síťové brány firewall
- 6. Stálá správa brány firewall
- Další tipy pro bezpečnou konfiguraci firewallu
- Další tipy pro bezpečnou správu brány firewall
- Zjistěte více o vytváření bezpečného síťového firewallu
- FAQS
8 Typy bran firewall
Existují různé typy bran firewall; obvykle se však dělí na systémy založené na hostiteli nebo na systémy založené na síti. Stejně tak mohou síťové brány firewall nabízet i jiné funkce než brány firewall, včetně virtuální privátní sítě (VPN) nebo dynamického konfiguračního protokolu hostitele (DHCP). Následují nejběžnější typy bran firewall.
Brány firewall s filtrováním paketů
Jedná se o nejstarší a nejzákladnější
typ, který vytváří kontrolní bod pro pakety přenášené mezi počítači. Pakety jsou filtrovány podle zdrojového a cílového protokolu, IP adresy, cílových portů a dalších informací na povrchové úrovni, aniž by došlo k otevření paketu a kontrole jeho obsahu.
Pokud informační paket nevyhoví standardu kontroly, je zahozen. Tyto typy firewallů nejsou extrémně náročné na zdroje. Jsou však relativně snadno obejitelné ve srovnání s branami firewall s robustnější kontrolní kompetencí.
Brány na úrovni okruhu
Na rozdíl od bran firewall s filtrováním paketů jsou brány na úrovni okruhu extrémně náročné na zdroje. Tento typ brány firewall funguje na základě ověřování předání protokolu TCP (Transmission Control Protocol). Handshake TCP je kontrola, jejímž cílem je zajistit, aby paket relace pocházel z autentického zdroje.
Brány na úrovni okruhu jsou zjednodušené typy bran firewall, které mají za úkol rychle a jednoduše zamítnout nebo schválit provoz, aniž by spotřebovávaly značné výpočetní prostředky. Nicméně tento typ brány firewall neprovádí kontrolu samotného paketu. Pokud má paket škodlivý software, ale obsahuje správný handshake TCP, projde.
Brány na aplikační úrovni/vrstva 7
Proxy brány firewall pracují na aplikační úrovni a filtrují příchozí provoz mezi zdrojem a vaší sítí. Tyto typy brány firewall jsou poskytovány prostřednictvím cloudového řešení nebo jiných proxy systémů. Proxy brány firewall zkoumají jak paket, tak protokol TCP handshake. Ačkoli může také provádět hloubkovou kontrolu paketů, aby ověřil, že neobsahují žádný škodlivý software.
Hlavní výhodou filtrování na aplikační vrstvě je, že dokáže porozumět konkrétním aplikacím a protokolům, včetně protokolu HTTP (Hyper-Text Transfer Protocol), DNS (Domain Name System) nebo FTP (File Transfer Protocol).
Brány firewall se stupňovanou kontrolou
Brány firewall se stupňovanou kontrolou spojují ověřování TCP handshake i kontrolu paketů a vytvářejí tak větší zabezpečení sítě, než jaké mohou zaručit samotné brány firewall s filtrováním paketů nebo brány na úrovni okruhů. Přestože tento typ brány firewall na rozdíl od ostatních dvou architektur zpomaluje přenos autentických paketů.
Cloudové brány firewall
Klíčovou výhodou cloudových bran firewall je, že je lze úžasně snadno škálovat s vaší organizací. Cloudové firewally se také nazývají firewall jako služba (FaaS). Cloudové brány firewall jsou považovány za podobné proxy bránám firewall, protože cloudové servery jsou často nasazovány v nastavení brány firewall.
Hardwarové brány firewall
Tento typ brány firewall implementuje fyzické zařízení, které se chová podobně jako směrovač provozu a kontroluje požadavky na provoz a datové pakety před připojením k serveru sítě.
Softwarové brány firewall
Tento typ zahrnuje jakoukoli bránu firewall nainstalovanou v místním systému namísto samostatného hardwaru nebo cloudového řešení. Softwarové brány firewall jsou velmi výhodné při vytváření hloubkové ochrany tím, že od sebe oddělují různé koncové body sítě.
Brány firewall nové generace
Brány firewall „nové generace“ zahrnují většinu nově vydaných produktů firewall. Ačkoli nepanuje příliš velká shoda v tom, co charakterizuje bránu firewall nové generace, některé společné funkce zahrnují kontrolu handshake protokolu TCP, hloubkovou kontrolu paketů a kontrolu paketů na úrovni povrchu.
Jak nakonfigurovat a spravovat bezpečnou bránu firewall?
Existuje několik vhodných standardů brány firewall, které můžete nasadit k zajištění obrany počítačové sítě. Bez ohledu na to jsou následující kroky zásadní bez ohledu na to, jakou platformu brány firewall zvolíte.
1. Zkontrolujte, zda je brána firewall správná. Zajistěte zabezpečení brány firewall
Zabezpečení brány firewall je prvním krokem ke konfiguraci a správě bezpečné brány firewall. Nikdy nedovolte bráně firewall provádět činnosti, které nejsou řádně zabezpečeny, ale:
- Zakázat jednoduchý protokol správy sítě (SNMP)
- Přejmenovat, zakázat nebo odstranit všechny výchozí uživatelské účty a upravit všechna výchozí hesla
- Zřídit další účty správce podle odpovědnosti, zejména pokud bude bránu firewall spravovat více správců.
2. Vytvořte zóny brány firewall a odpovídající IP adresy
Čím více zón vytvoříte, tím bezpečnější bude vaše síť. Než přistoupíte k obraně svých cenných aktiv, musíte určit, jaká tato aktiva jsou, a poté naplánovat strukturu sítě tak, abyste sítě rozmístili podle jejich funkčnosti a citlivosti.
Poté, co jste navrhli bezpečnou strukturu a vytvořili odpovídající strukturu IP adres, jste plně připraveni na architekturu zón brány firewall a jejich přiřazení k rozhraním brány firewall a/nebo dílčím rozhraním.
3. Mějte nakonfigurovaný seznam řízení přístupu (ACL)
Po vytvoření síťových zón a jejich přiřazení k rozhraním brány firewall je dalším krokem určení, který provoz musí proudit do a z každé zóny. To by umožnily seznamy řízení přístupu (ACL). Pomocí odchozích i příchozích seznamů ACL ke každému rozhraní a dílčímu rozhraní na síťové bráně firewall povolte pouze schválený provoz do a z každé zóny.
4. Konfigurace dalších služeb brány firewall podle požadovaných standardů
V závislosti na schopnosti brány firewall fungovat jako systém prevence narušení (IPS), síťový časový protokol (NTP), DHCP atd. můžete nakonfigurovat požadované služby a zakázat všechny další služby, které pro vás nejsou důležité.
Pro správné nakonfigurování brány firewall tak, aby se správně hlásila na server pro protokolování, je třeba konzultovat požadavky PCI DSS a splnit požadavky bodů 10.2 až 10.3 PCI DSS.
5. V případě, že chcete, aby se brána firewall správně hlásila na server pro protokolování, je třeba, aby se brána firewall správně hlásila na server pro protokolování. Proveďte testy konfigurace síťové brány firewall
Potřebujete otestovat svou bránu firewall, abyste ověřili, že vaše brána firewall funguje podle očekávání. Do testování konfigurace brány firewall byste měli zahrnout penetrační testy i skenování zranitelností. Nezapomeňte vždy zálohovat konfiguraci brány firewall.
6. Stálá správa brány firewall
Po dokončení konfigurace brány firewall je třeba zajistit bezpečnou správu brány firewall. Chcete-li to provést efektivně, musíte
- Provádět skenování zranitelností
- Sledovat protokoly
- Pravidelně kontrolovat pravidla brány firewall
- Udržovat firmware aktualizovaný
- Dokumentovat průběh
.
Další tipy pro bezpečnou konfiguraci firewallu
- Plnit standardní regulační mandáty, jako např, PCI DSS, ISO, a NERC
- Provádějte časté změny konfigurace brány firewall
- Blokujte provoz ve výchozím nastavení a monitorujte přístup uživatelů
- Zavádějte a používejte pouze zabezpečené připojení
- Zjednodušte změny konfigurace a odstraňte mezery v konfiguraci
- Neustále testujte konfiguraci brány firewall
- Zaznamenávejte všechny změny konfigurace v reálném čase
- .čase
Další tipy pro bezpečnou správu brány firewall
- Mějte jasně definovaný plán správy změn brány firewall
- Testujte dopad změny zásad brány firewall
- Vyčistěte a optimalizujte bázi pravidel brány firewall
- Regulérně aktualizujte software brány firewall
- Centralizujte správu brány firewall pro více uživatelů
- Vyhledejte a aktualizujte konfiguraci brány firewall pro více uživatelů
- .firewallů různých dodavatelů
Zjistěte více o vytváření bezpečného síťového firewallu
Certified Network Defender (CND) je certifikační program, který vytváří zdatné správce sítí, kteří jsou dobře vyškoleni v identifikaci, obraně, reakci a zmírňování všech zranitelností a útoků souvisejících se sítí. Certifikační program CND zahrnuje praktické laboratoře sestavené pomocí pozoruhodného softwaru, nástrojů a technik zabezpečení sítě, které certifikovanému správci sítě poskytnou reálné a aktuální znalosti o technologiích a operacích zabezpečení sítě. Další informace o programu CND společnosti EC-Council naleznete zde.
FAQS
- Každé pravidlo brány firewall by mělo být zaznamenáno, aby bylo možné rozpoznat, jakou akci mělo pravidlo provést
- Před přidáním nebo změnou jakéhokoli pravidla brány firewall, byste měli vytvořit formální postup změn
- Ve výchozím nastavení zablokujte veškerý provoz a povolte pouze specifický provoz rozpoznaným službám
- Nastavte přesná a jasná pravidla brány firewall
- Nastavení explicitní pravidlo pro vyřazení (Cleanup Rule)
- Audit protokolů
- Zajistit revizi starých pravidel brány firewall a v případě potřeby je odstranit
- Zajistěte zabezpečení kritických zdrojů před vším ostatním
- Vždy mějte na paměti, že je rozdíl mezi zabezpečením perimetru a vnitřním zabezpečením
- Nedávejte každému uživateli sítě VPN volný přístup do celé vnitřní sítě.
- Zavedete internet-ve stylu perimetrů pro partnerské extranety
- Vytvořte virtuální perimetry
- Automaticky monitorujte bezpečnostní politiku
- Odůvodněte bezpečnostní rozhodnutí
- Vypněte nečinnou síť. služeb
- Eliminovat nepoctivé bezdrátové přístupové body a vytvořit bezpečný bezdrátový přístup
- Vytvořit bezpečný přístup pro návštěvníky
Je však potřeba provést revizi pravidel firewallu, abyste vyhodnotili bezpečnostní politiku a odstranili zastaralé služby, pravidla, soulad s politikou a změnili nastavení pro výkon. Je třeba postupně projít pravidla brány firewall a ujistit se, že jsou ve správném pořadí. Přezkoumání pravidel brány firewall často provádí pracovník pro zabezpečení sítě nebo brány firewall.
