Palomuuri on verkon tietoturvarakenne, joka voi auttaa suojaamaan verkkoa valvomalla verkkoliikennettä ja estämällä ulkopuolisia hankkimasta luvatonta pääsyä tietokonejärjestelmän yksityisiin tietoihin ennalta laadittujen sääntöjen perusteella. Verkkopalomuuri muodostaa esteen luotettavan verkon ja epäluotettavan verkon välille.

Verkkopalomuuri ei myöskään estä ainoastaan epäluotettavaa liikennettä, vaan se estää myös haittaohjelmat, jotka voivat tartuttaa tietokoneen, mutta päästää laillisen liikenteen läpi. Verkkopalomuurit toimivat yleensä ensimmäisenä puolustuslinjana kotiverkon tietoturvassa.

8 Palomuurien tyypit

Palomuureja on erityyppisiä; ne luokitellaan kuitenkin yleensä joko isäntäpohjaiseen järjestelmään tai verkkopohjaiseen järjestelmään. Samoin verkkopalomuurin suojalaitteet voivat tarjota muita kuin palomuuritoimintoja, kuten virtuaalisen yksityisverkon (VPN) tai dynaamisen isäntäkonfiguraatioprotokollan (DHCP). Seuraavassa on lueteltu yleisimmät palomuurityypit.

Pakettisuodattavat palomuurit

Tämä on vanhin ja yksinkertaisin
tyyppi, joka luo tarkistuspisteen tietokoneiden välillä siirrettäville paketeille. Paketit suodatetaan lähde- ja kohdeprotokollan, IP-osoitteen, kohdeporttien ja muiden pintatason tietojen perusteella avaamatta pakettia sen sisällön tarkastamiseksi.

Jos tietopaketti ei täytä tarkastusstandardia, se hylätään. Tämäntyyppiset palomuurit eivät ole äärimmäisen resurssi-intensiivisiä. Ne on kuitenkin suhteellisen helppo ohittaa, kun niitä verrataan palomuureihin, joissa on vankempi tarkastusosaaminen.

Piiritason yhdyskäytävät

Paketinsuodatuksen palomuureista poiketen piiritason yhdyskäytävät ovat erittäin resurssi-intensiivisiä. Tämä palomuurityyppi toimii tarkistamalla TCP (Transmission Control Protocol) -kättelyä. TCP-kättely on tarkistus, jonka tarkoituksena on varmistaa, että istuntopaketti on peräisin aidosta lähteestä.

Piiritason yhdyskäytävät ovat yksinkertaisia palomuurityyppejä, jotka on tarkoitettu nopeaan ja yksinkertaiseen liikenteen epäämiseen tai hyväksymiseen ilman, että ne kuluttavat merkittäviä laskentaresursseja. Tämä palomuurityyppi ei kuitenkaan tarkasta itse pakettia. Jos paketissa on haittaohjelmia, mutta se sisältää oikean TCP-käsittelyn, se pääsee läpi.

Sovellustason yhdyskäytävät/ 7. kerros

Proxy-palomuurit toimivat sovellustason kerroksessa suodattaakseen verkkolähteen ja verkkosi välisen saapuvan liikenteen. Nämä palomuurityypit toimitetaan pilvipohjaisen ratkaisun tai muiden välityspalvelinjärjestelmien kautta. Välityspalomuurit tarkastelevat sekä pakettia että TCP-kättelyprotokollaa. Tosin se voi suorittaa myös pakettien syväkerroksen tarkastuksia varmistaakseen, ettei siinä ole haittaohjelmia.

Sovelluskerroksen suodatuksen suurimpana etuna on se, että se pystyy ymmärtämään tiettyjä sovelluksia ja protokollia, kuten Hyper-Text Transfer Protocol (HTTP), Domain Name System (DNS) tai File Transfer Protocol (FTP).

Stateful inspection -palomuurit

Stateful inspection -palomuurit yhdistävät sekä TCP:n kättelytodennuksen että pakettien tarkastuksen ja luovat näin verkkoturvallisuuden, joka on suurempi kuin se, minkä pakettien suodatuksen palomuurit tai piiritason yhdyskäytävät voivat yksinään taata. Tosin tämä palomuurityyppi hidastaa aitojen pakettien siirtoa, toisin kuin kaksi muuta arkkitehtuuria.

Pilvipalomuurit

Pilvipohjaisten palomuurien tärkein etu on se, että niitä on hämmästyttävän helppo skaalata organisaation mukana. Pilvipalomuureja kutsutaan myös nimellä firewall-as-a-service (FaaS). Pilvipalomuureja pidetään samankaltaisina kuin välityspalomuureja, koska pilvipalvelimet otetaan usein käyttöön palomuuriasetelmassa.

Kiintolaitteelliset palomuurit

Tämä palomuurityyppi toteuttaa fyysisen laitteen, joka käyttäytyy liikenteen reitittimen tavoin tarkastaakseen liikennepyynnöt ja datapaketit, ennen kuin ne liitetään verkon palvelimeen.

Ohjelmistopalomuurit

Tämä sisältää kaikki palomuurit, jotka on asennettu paikalliseen järjestelmään erillisen laitteiston tai pilvipohjaisen ratkaisun sijaan. Ohjelmistopalomuurit ovat erittäin hyödyllisiä, kun luodaan syvyyssuuntaista puolustusta erottamalla erilliset verkon päätepisteet toisistaan.

Uudemman sukupolven palomuurit

”Seuraavan sukupolven” palomuureihin kuuluvat useimmat hiljattain julkaistut palomuurituotteet. Vaikka ei vallitse suurta yksimielisyyttä siitä, mikä luonnehtii seuraavan sukupolven palomuuria, joitakin yleisiä ominaisuuksia ovat TCP:n kättelytarkastus, syväpakettitarkastus ja pintatason pakettitarkastus.

Miten konfiguroida ja hallita turvallista palomuuria?

On olemassa useita sopivia palomuuristandardeja, joita voit ottaa käyttöön tietokoneverkon puolustuksen varmistamiseksi. Seuraavat vaiheet ovat kuitenkin ratkaisevan tärkeitä riippumatta siitä, minkä palomuurialustan valitset.

1. Varmista, että palomuuri on turvallinen

Palomuurin suojaaminen on ensimmäinen askel turvallisen palomuurin määrittämisessä ja hallinnassa. Älä koskaan anna palomuurisi suorittaa toimintoja, joita ei ole suojattu kunnolla, vaan:

  • Poista yksinkertainen verkonhallintaprotokolla (SNMP)
  • Nimeä, poista tai poista kaikki oletuskäyttäjätilit ja muuta kaikki oletussalasanat
  • Valmistele ylimääräisiä järjestelmänvalvojatilejä vastuualueiden mukaan, erityisesti jos palomuuria hallinnoi useampi järjestelmänvalvoja.

2. Luo palomuurivyöhykkeet ja niitä vastaavat IP-osoitteet

Mitä enemmän vyöhykkeitä perustat, sitä turvallisempi verkostasi tulee. Ennen kuin ryhdyt puolustamaan arvokasta omaisuuttasi, sinun on tunnistettava, mitä nämä omaisuuserät ovat, ja sen jälkeen suunniteltava verkkorakenteesi, jotta voit sijoittaa verkot niiden toiminnallisuuden ja arkaluonteisuuden perusteella.

Kun olet suunnitellut turvallisen rakenteen ja luonut vastaavan IP-osoiterakenteen, olet täysin valmis arkkitehtuuroimaan palomuurivyöhykkeesi ja osoittamaan ne palomuurin rajapinnoille ja/tai alirajapinnoille.

3. Käytössäsi on määritetty pääsynvalvontaluettelo (ACL)

Kun olet luonut verkkovyöhykkeesi ja osoittanut ne palomuuriliitännöille, seuraava vaihe on määrittää, minkä liikenteen on kuljettava kuhunkin vyöhykkeeseen sisään ja ulos. Tämä olisi mahdollista ACL-listojen (Access Control List) avulla. Käytä sekä lähteviä että saapuvia ACL-luetteloita verkkopalomuurisi kuhunkin liitäntään ja alaliitäntään salliaksesi vain hyväksytyn liikenteen kullekin vyöhykkeelle ja sieltä pois.

4. Muiden palomuuripalveluiden konfigurointi vaadittaviin standardeihin

Riippuen siitä, että palomuurisi pystyy toimimaan esimerkiksi tunkeutumisenestojärjestelmänä (IPS), verkon aikaprotokollana (NTP) ja DHCP:nä, voit konfiguroida tarvitsemasi palvelut ja kytkeä pois päältäsi kaikki ylimääräiset palvelut, jotka eivät ole tarpeellisia.

Sinun on tutustuttava PCI DSS:n vaatimuksiin ja täytettävä PCI DSS:n kohdissa 10.2-10.3 esitetyt vaatimukset, jotta voit määrittää palomuurin raportoimaan lokipalvelimelle oikein.

5. Suorita verkon palomuurin konfigurointitestit

Sinun on testattava palomuuri varmistaaksesi, että palomuuri toimii odotetulla tavalla. Palomuurin konfiguraation testaamiseen kannattaa sisällyttää sekä tunkeutumistestaus että haavoittuvuusskannaus. Muista aina varmuuskopioida palomuurikonfiguraatiosi.

6. Palomuurin jatkuva hallinta

Kun palomuurikonfiguraatiosi on valmis, sinun on varmistettava palomuurin turvallinen hallinta. Voit tehdä tämän tehokkaasti, sinun on

  • Toteutettava haavoittuvuusskannauksia
  • Valvottava lokitietoja
  • Tarkistettava palomuurisääntöjä säännöllisesti
  • Pidettävä laiteohjelmistot ajan tasalla
  • .

  • Dokumentoi edistyminen

Lisävinkkejä palomuurin turvalliseen konfigurointiin

  1. Toteuta vakiomuotoiset viranomaismääräykset, kuten NIST, PCI DSS, ISO, ja NERC
  2. Toteuta usein palomuurin konfiguraatiomuutoksia
  3. Sulje liikenne oletusarvoisesti ja valvo käyttäjien pääsyä
  4. Valmistele ja käytä vain suojattua yhteyttä
  5. Virtaviivaista konfiguraatiomuutokset ja eliminoi konfiguraation porsaanreiät
  6. Testaa palomuurin konfiguraatio jatkuvasti
  7. Tallenna kaikki konfiguraatiomuutokset reaaliajassa
  8. .ajassa

Lisävinkkejä palomuurin turvalliseen hallintaan

  1. Tee selkeä palomuurin muutosten hallintasuunnitelma
  2. Testaa palomuurikäytäntöjen muutosten vaikutus
  3. Korjaa ja optimoi palomuurin sääntökanta
  4. Päivitä palomuurin ohjelmistot säännöllisesti
  5. Keskistä palomuurin hallinta useidenvalmistajan palomuureja

Opi lisää turvallisen verkkopalomuurin luomisesta

Sertifioitu verkkopalomuurin puolustaja (CND, Certified Network Defender) on sertifiointiohjelma, jonka avulla luodaan osaavia verkon ylläpitäjiä, jotka ovat hyvin koulutettuja tunnistamaan, kaikkien verkkoon liittyvien haavoittuvuuksien ja hyökkäysten tunnistamiseen, niihin vastaamiseen ja lieventämiseen. CND-sertifiointiohjelmaan kuuluu käytännön harjoituksia, joissa käytetään merkittäviä verkkoturvaohjelmistoja, -työkaluja ja -tekniikoita, jotka antavat sertifioidulle verkonvalvojalle reaalimaailman ja ajantasaiset taidot verkkoturvatekniikoista ja -toiminnoista. Klikkaa tästä saadaksesi lisätietoja EC-Councilin CND-ohjelmasta.

FAQS

Miten palomuurisäännöt järjestetään?
Seuraavat ovat palomuurisääntöjen parhaita käytäntöjä:

  • Jokainen palomuurisääntö tulisi kirjata, jotta voidaan tunnistaa, mitä toimintoa säännön oli tarkoitus tehdä
  • Ennen kuin lisäät tai muutat mitään palomuurisääntöä, sinun tulisi luoda virallinen muutosmenettely
  • Sulje oletusarvoisesti kaikki liikenne ja salli vain tietty liikenne tunnistettuihin palveluihin
  • Aseta tarkat ja selkeät palomuurisäännöt
  • Aseta eksplisiittinen pudotussääntö (Cleanup Rule)
  • Auditoi lokit
  • Varmista, että vanhat palomuurisäännöt tarkistetaan ja poistetaan tarvittaessa

Miten vahvistan palomuuriani?
Seuraavassa on lueteltu tapoja, joilla voit puuttua verkkojen tietoturvahaasteisiin ja vahvistaa palomuuria:

  1. Varmista, että suojaat kriittiset resurssit ennen kaikkea muuta
  2. Muista aina, että kehän turvallisuuden ja sisäisen turvallisuuden välillä on ero
  3. Älä anna jokaiselle VPN-käyttäjälle vapaat kädet koko sisäverkkoon.
  4. Valmistakaa Internet-verkko…tyyliset kehykset yhteistyökumppaneiden ekstraneteille
  5. luo virtuaalisia kehyksiä
  6. valvo tietoturvakäytäntöjä automaattisesti
  7. perustele tietoturvapäätökset
  8. kytke käyttämätön verkko pois päältä. services
  9. Eliminate rogue wireless access points and establish secure wireless access
  10. Build secure visitor access

How do you use firewall rule review?
On olemassa haavoittuvuusarviointeja, joilla varmistetaan, että palomuuri ei ole haavoittuvainen nykyaikaisille hyväksikäyttökohteille, ja virallisia auditointeja, joilla tarkistetaan haavoittuvuudet ja varmistetaan, että palomuuriohjelmistoon ja käyttöjärjestelmään on asennettu viimeisimmät korjaukset, kuten tietoturvakäytäntö ja palomuuriohjelmiston konfigurointi.

Palomuurin sääntökatsauksen avulla voidaan kuitenkin arvioida tietoturvakäytäntöä ja karsia pois tarpeettomia palveluita, sääntöjä, käytäntöjen noudattamista ja sijoittaa ne uudelleen suorituskyvyn parantamiseksi. Palomuurisäännöt on käytävä läpi yksi kerrallaan varmistaaksesi, että ne ovat oikeassa järjestyksessä. Verkon tietoturvavastaava tai palomuuri suorittaa usein palomuurisääntöjen tarkistuksen.

Vastaa

Sähköpostiosoitettasi ei julkaista.