Alla förstår den grundläggande funktionen hos en brandvägg – att skydda ditt nätverk från skadlig programvara och obehörig åtkomst. Men de exakta detaljerna för hur brandväggar fungerar är mindre kända.

Vad är egentligen en brandvägg^(firewall) ? Hur fungerar de olika typerna av brandväggar? Och kanske viktigast av allt – vilken typ av brandvägg är bäst?

Brandvägg 101

Enkelt^(Simply) uttryckt är en brandvägg bara en annan nätverksslutpunkt. Det som gör den speciell är dess förmåga att avlyssna och skanna inkommande trafik innan den går in i det interna nätverket, vilket blockerar illvilliga aktörer från att få åtkomst.

Att verifiera autentiseringen av varje anslutning, dölja destinations-IP från hackare och till och med skanna innehållet i varje datapaket – brandväggar gör allt. En brandvägg fungerar som en slags kontrollpunkt och kontrollerar noggrant vilken typ av kommunikation som släpps in.

Paketfiltrerande brandväggar

Paketfiltrerande brandväggar är den enklaste och minst resurskrävande brandväggstekniken som finns. Även om det är i onåd nu för tiden, var de basen i nätverksskyddet i gamla datorer.

En paketfiltrerande brandvägg fungerar på en paketnivå och skannar varje inkommande paket från nätverksroutern. Men den skannar faktiskt inte innehållet i datapaketen – bara deras rubriker. Detta gör att brandväggen kan verifiera metadata som käll- och destinationsadresser, portnummer , etc.

Som du kanske misstänker är denna typ av brandvägg inte särskilt effektiv. Allt som en paketfiltrerande brandvägg kan göra är att minska onödig nätverkstrafik enligt åtkomstkontrolllistan. Eftersom själva paketets innehåll inte kontrolleras kan skadlig programvara fortfarande ta sig igenom.

Gateways på kretsnivå

Ett annat resurseffektivt sätt att verifiera nätverksanslutningarnas legitimitet är en gateway på kretsnivå. Istället för att kontrollera rubrikerna för enskilda datapaket, verifierar en gateway på kretsnivå själva sessionen.

Återigen, en brandvägg som denna går inte igenom innehållet i själva överföringen, vilket gör den sårbar för en mängd skadliga attacker. Med detta sagt, att verifiera Transmission Control Protocol ( TCP )-anslutningar från sessionslagret i OSI- modellen tar mycket små resurser och kan effektivt stänga av oönskade nätverksanslutningar.

Det är därför som gateways på kretsnivå ofta är inbyggda i de flesta nätverkssäkerhetslösningar, särskilt mjukvarubrandväggar. Dessa gateways hjälper också till att maskera användarens IP-adress genom att skapa virtuella anslutningar för varje session.

Stateful Inspection Brandväggar

Både paketfiltrerande brandvägg^{(Packet-Filtering Firewall)} och kretsnivågateway^{(Circuit Level Gateway)} är tillståndslösa brandväggsimplementationer. Detta innebär att de arbetar på ett statiskt regeluppsättning, vilket begränsar deras effektivitet. Varje paket (eller session) behandlas separat, vilket gör att endast mycket grundläggande kontroller kan utföras.

 En Stateful Inspection Firewall , å andra sidan, håller reda på tillståndet för anslutningen, tillsammans med detaljerna för varje paket som överförs genom den. Genom att övervaka TCP -handskakningen under hela anslutningen kan en tillståndskontrollerad brandvägg kompilera en tabell som innehåller IP-adresser och portnummer för källan och destinationen och matcha inkommande paket med denna dynamiska regeluppsättning.

Tack vare detta är det svårt att smyga in skadliga datapaket förbi en tillståndsfull inspektionsbrandvägg. Å andra sidan har den här typen av brandväggar en högre resurskostnad, saktar ner prestanda och skapar en möjlighet för hackare att använda DDoS -attacker ( Distributed Denial-of-Service ) mot systemet.

Proxy-brandväggar

Bättre^(Better) kända som Application Level Gateways , fungerar Proxy-brandväggar^{(Proxy Firewalls)} på det främre lagret av OSI - modellen – applikationslagret. Som det sista lagret som skiljer användaren från nätverket, möjliggör detta lager den mest grundliga och kostsamma kontrollen av datapaket, till priset av prestanda.

I likhet med gateways på^{(Circuit-Level Gateways)} kretsnivå fungerar proxybrandväggar^{(Proxy Firewalls)} genom att interagera mellan värden och klienten, vilket fördunklar interna IP-adresser för destinationsportarna. Dessutom utför gateways på applikationsnivå en djup paketinspektion för att säkerställa att ingen skadlig trafik kan komma igenom.

Och även om alla dessa åtgärder avsevärt ökar säkerheten för nätverket, saktar det också ner den inkommande trafiken. Nätverksprestandan^(Network) får en törn på grund av de resurskrävande kontrollerna som utförs av en tillståndsfull brandvägg som denna, vilket gör att den passar dåligt för prestandakänsliga applikationer. 

NAT-brandväggar

I många datorinställningar är nyckeln till cybersäkerhet att säkerställa ett privat nätverk, som döljer de individuella IP-adresserna till klientenheter från både hackare och tjänsteleverantörer. Som vi redan har sett kan detta åstadkommas med en proxybrandvägg^(Proxy) eller en gateway på kretsnivå.

En mycket enklare metod för att dölja IP-adresser är att använda en NAT- brandvägg (^(Firewall) Network Address Translation^{(Network Address Translation)} ) . NAT -brandväggar kräver inte många systemresurser för att fungera, vilket gör dem till en utgångspunkt mellan servrar och det interna nätverket.

Webbapplikationsbrandväggar

Endast nätverksbrandväggar^{(Network Firewalls)} som arbetar i applikationslagret kan utföra djupsökning av datapaket, som en proxybrandvägg^{(Proxy Firewall)} , eller ännu bättre, en webbapplikationsbrandvägg^{(Web Application Firewall)} ( WAF ).

En WAF arbetar inifrån^(WAF) nätverket eller värden och går igenom all data som överförs av olika webbapplikationer och ser till att ingen skadlig kod kommer igenom. Denna typ av brandväggsarkitektur är specialiserad på paketinspektion och ger bättre säkerhet än brandväggar på ytnivå.

Molnbrandväggar

Traditionella brandväggar, både hårdvarubrandväggar och mjukvara, skalas inte bra. De måste installeras med systemets behov i åtanke, antingen med fokus på hög trafikprestanda eller låg nätverkstrafiksäkerhet.

Men molnbrandväggar^{(Cloud Firewalls)} är mycket mer flexibla. Utplacerad från molnet som en proxyserver, fångar denna typ av brandvägg nätverkstrafik innan den går in i det interna nätverket, auktoriserar varje session och verifierar varje datapaket innan det släpps in.

Det bästa är att sådana brandväggar kan skalas upp och ner i kapacitet efter behov, och anpassas till olika nivåer av inkommande trafik. Erbjuds som en molnbaserad tjänst, den kräver ingen hårdvara och underhålls av tjänsteleverantören själv.

Nästa generations brandväggar

Nästa generation kan vara ett missvisande begrepp. Alla teknikbaserade industrier älskar att slänga såna här modeord, men vad betyder det egentligen? Vilken typ av funktioner kvalificerar en brandvägg för att betraktas som nästa generation?

I sanning finns det ingen strikt definition. Generellt sett kan du överväga lösningar som kombinerar olika typer av brandväggar till ett enda effektivt säkerhetssystem som en nästa generations brandvägg^{(Next-Generation Firewall)} ( NGFW ). En sådan brandvägg är kapabel till djupgående paketinspektioner samtidigt som den avvisar DDoS- attacker, vilket ger ett flerskiktsförsvar mot hackare.

De flesta nästa generations brandväggar kombinerar ofta flera nätverkslösningar, såsom VPN^(VPNs) , Intrusion Prevention Systems ( IPS ) och till och med ett antivirus i ett kraftfullt paket. Tanken är att erbjuda en komplett lösning som åtgärdar alla typer av nätverkssårbarheter, vilket ger absolut nätverkssäkerhet. För detta ändamål kan vissa NGFW:er^(NGFWs) dekryptera Secure Socket Layer ( SSL )-kommunikation också, vilket gör att de också kan märka krypterade attacker.

Vilken typ^(Type) av brandvägg^(Firewall) är bäst för att skydda ditt nätverk^{(Your Network)} ?

Grejen med brandväggar är att olika typer av brandväggar använder olika metoder för att skydda ett nätverk^{(protect a network)} .

De enklaste brandväggarna autentiserar bara sessionerna och paketen och gör ingenting med innehållet. Gateway -brandväggar handlar om att skapa virtuella anslutningar och förhindra åtkomst till privata IP-adresser. Stateful brandväggar håller reda på anslutningar genom sina TCP -handskakningar och bygger en tillståndstabell med informationen.

Sedan finns det nästa generations^{(Next-Generation)} brandväggar, som kombinerar alla ovanstående processer med djup paketinspektion och en mängd andra nätverksskyddsfunktioner. Det är uppenbart att säga att en NGFW skulle ge ditt system bästa möjliga säkerhet, men det är inte alltid det rätta svaret.

Beroende på komplexiteten i ditt nätverk och vilken typ av applikationer som körs, kan dina system bli bättre med en enklare lösning som skyddar mot de vanligaste attackerna istället. Den bästa idén kan vara att bara använda en tredjeparts Cloud-brandväggstjänst^{(third-party Cloud firewall)} och överföra finjusteringen och underhållet av brandväggen till tjänsteleverantören.

8 Types of Firewalls Explained

Evеryone understands the basic function of a firewall – to protect your network from malware and unauthorized acceѕs. But the exаct sрecifics of how fіrewalls work are lesser-known.

What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?

Firewall 101

Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.

Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.

Packet-Filtering Firewalls

Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.

A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.

As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.

Circuit Level Gateways

Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.

Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.

This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.

Stateful Inspection Firewalls

Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.

 A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.

Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.

Proxy Firewalls

Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.

Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.

And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications. 

NAT Firewalls

In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.

A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.

Web Application Firewalls

Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).

Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.

Cloud Firewalls

Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.

But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.

The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.

Next-Generation Firewalls

Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?

In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.

Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.

Which Type of Firewall is the Best to Protect Your Network?

The thing about firewalls is that different types of firewalls use different approaches to protect a network.

The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.

Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.

Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.

Related posts

• Beroende på Internet och sociala nätverkssajter

• Kan inte ansluta till Xbox Live; Åtgärda Xbox Live Networking-problem i Windows 10

• Gratis verktyg för trådlöst nätverk för Windows 10

• Cisco Packet Tracer Networking Simulation Tool och dess kostnadsfria alternativ

• Så här inaktiverar du nätverk i Windows Sandbox i Windows 10

• Nätverksadaptern fungerar inte? 12 saker att prova

• Åtgärda felet "Windows kan inte ansluta till detta nätverk".

• Hur man styr en Windows-dator med Remote Desktop för Mac

• HDG förklarar: Vad är en parkerad domän och vilka är dess fördelar?

• Vad är 192.168.0.1 och varför är det standard-IP-adressen för de flesta routrar?

• Hur man simulerar en långsam internetanslutning för testning

• Tvinga Windows 7 att använda trådbunden anslutning över trådlöst

• Hur man ansluter till ett fjärrregister i Windows 7 och 10

• Vad är Localhost och hur kan du använda det?

• Hur man ställer in en NAS (nätverksansluten lagring)

• Vad är NAT, hur fungerar det och varför används det?

• Hur man vitlistar specifika enheter i ditt hemnätverk för att stoppa hackare

• Hur man uppskattar bandbreddskrav för en företagswebbplats eller nätverk

• Hur Firefoxs förbättrade spårningsskydd hindrar webbplatser från att spionera på dig

• Hur man hittar den bästa Wi-Fi-kanalen på Windows, Mac och Linux