Что такое сетевой брандмауэр? (Плюс преимущества, типы и шаги)

12 августа 2021 г.

Специалисты по кибербезопасности часто устанавливают сетевые брандмауэры для компании или частного клиента в качестве одной из своих основных обязанностей. Обычно они понимают, как работает каждый тип сетевого брандмауэра, поэтому могут определить, какой вариант лучше всего защищает данные клиента. Получив фундаментальные знания о сетевых брандмауэрах и о том, как они работают, вы сможете приобрести ключевые навыки для успешной карьеры в сфере кибербезопасности. В этой статье мы определяем, что такое сетевой брандмауэр, определяем некоторые ключевые термины, рассказываем о некоторых преимуществах его использования, описываем распространенные типы и приводим основные шаги по его самостоятельной установке.

Что такое сетевой брандмауэр?

Сетевой брандмауэр — это механизм безопасности, который отслеживает входящие данные из сети в компьютерную систему и определяет, разрешены ли они для загрузки или ввода. Примеры таких сетей включают Интернет или персональную сеть (PAN), которая включает устройства только в одной физической области. Отдельные лица включают ряд правил безопасности, называемых политиками брандмауэра, которые определяют, какой тип данных является безопасным, а какой небезопасным для хранения в компьютерной системе. Сетевой брандмауэр также может предоставлять внешним лицам разрешение на удаленный доступ к системе, сохраняя информацию для аутентификации и предоставляя портал для входа в систему.

Вот две категории сетевых брандмауэров:

• Аппаратные брандмауэры: это механический компонент, который обеспечивает защиту брандмауэра и обычно подключается к интернет-модему или сетевому оборудованию другого типа. Они часто защищают широко распространенные сетевые системы от крупномасштабных попыток взлома.

• Программные брандмауэры: люди могут установить этот тип непосредственно в компьютерную систему через программу или приложение. Программный брандмауэр часто защищает компьютерные данные от низкоуровневых попыток обхода протоколов входа в систему.

Какие существуют технические термины для установки сетевого брандмауэра?

Вот несколько важных терминов, которые следует изучить для сетевых брандмауэров:

• Адрес интернет-протокола (IP): эта фраза описывает уникальную последовательность цифр, которая идентифицирует аппаратные устройства в локальной сети или в сети. Каждая компьютерная система имеет IP-адрес.

• Сетевой пакет: специалисты по кибербезопасности используют это слово для описания данных веб-страницы, включая IP-адрес сети, в которой была создана веб-страница. Сети обмениваются пакетами, когда человек получает доступ к своей информации онлайн.

• Виртуальная частная сеть (VPN): эта фраза относится к системе, которая позволяет отдельным лицам получать доступ к Интернету из частной сети, что означает, что она может предотвратить получение внешними агентами IP-адреса компьютера.

• Список контроля доступа (ACL): эта фраза описывает набор правил, которые брандмауэр использует для определения того, может ли компьютерная система получать определенный сетевой пакет. Специалисты по кибербезопасности и другие администраторы часто составляют список ACL при установке брандмауэра.

• Зона брандмауэра: этот термин описывает виртуальную область сети, содержащую определенную информацию. К ним относятся общедоступный Интернет, частная сеть и демилитаризованная зона (DMZ), которая описывает любые серверы, которым требуется доступ как к частной сети, так и к Интернету.

Преимущества сетевого брандмауэра

Рассмотрите следующие преимущества обучения использованию сетевого брандмауэра:

• Защищает сети от внешних действий: сетевой брандмауэр может защитить компьютер или несколько систем от внешних агентов, которые могут попытаться незаконно получить дополнительные данные. Это также может помешать людям, находящимся за пределами домашнего хозяйства или рабочего места, получить доступ к паролю для входа в Интернет.

• Защищает данные от интернет-вирусов. Вредоносное ПО — это программное обеспечение, которое может вывести компьютер из строя, украсть его информацию или просмотреть его содержимое. Изучение того, как установить брандмауэр, может помочь идентифицировать вредоносные программы до того, как программа загрузится в компьютерную систему, что поможет защитить конфиденциальные файлы и материалы клиента.

• Управляет возможностями обработки сети: брандмауэры могут помочь сетям оставаться доступными, что означает, что они могут устанавливать соединения с другими сетями и быстро и успешно обрабатывать входящие данные. Блокируя нежелательные данные, брандмауэр позволяет сети более легко обрабатывать информацию.

• Поддерживает емкость хранилища сети: новые брандмауэры могут помочь компьютерным сетям поддерживать подключение к облачному хранилищу, которое является удаленной службой данных, принадлежащей сторонней компании. Они также могут предотвратить доступ посторонних лиц к данным облачного хранилища.

Типы сетевых брандмауэров

Вот некоторые распространенные типы сетевых брандмауэров:

Брандмауэры с фильтрацией пакетов

Брандмауэры с фильтрацией пакетов отслеживают данные из пакетов и определяют, следуют ли они ACL, созданному инженером по сетевой безопасности. Он включает в себя проверку IP-адреса системы и проверку безопасности пакета. Эти механизмы также проверяют встроенный номер порта, который идентифицирует программу, используемую для передачи данных между сетями. Поскольку брандмауэры с фильтрацией пакетов имеют простую процедуру установки, как специалисты по кибербезопасности, так и непрофессионалы могут научиться их успешно устанавливать и настраивать.

Брандмауэры прокси-серверов

Брандмауэры прокси-серверов — это аппаратные системы, которые служат посредником между пакетом веб-сайта и компьютерной системой. Он создает отдельную линию связи для получения информации о пакетах, предотвращая прямое соединение двух сетей. После этого он может определить, может ли принимающая сеть принять материалы пакета. Инженер по безопасности обычно подключает брандмауэр прокси-сервера к одной компьютерной системе, а затем разрешает другим системам использовать его IP-адрес для доступа в Интернет. В результате этот брандмауэр может снизить скорость обработки сети, но часто обеспечивает достаточную безопасность для нескольких пользователей одновременно.

Межсетевые экраны прикладного уровня

Брандмауэры прикладного уровня обычно представляют собой программы, которые контролируют обмен данными из внешней сети. Он сканирует все входящие материалы на наличие вредоносных данных и может гарантировать, что другие программы в компьютерной системе обрабатывают только проверенные файлы в соответствии со списком контроля доступа. Некоторое программное обеспечение автоматически удаляет данные, в то время как другие выделяют любые потенциальные проблемы, которые человек может просмотреть вручную. После установки программы брандмауэра прикладного уровня инженер по безопасности может часто обновлять свои политики и протоколы, чтобы лучше укрепить свои возможности защиты. Люди часто используют этот тип для управления данными между сетью и веб-приложениями, такими как учетная запись электронной почты.

Межсетевые экраны на уровне цепи

Межсетевые экраны на уровне каналов — это программное обеспечение, которое может проверять подлинность сообщений, отправляемых в сеть, посредством процесса, называемого протоколом управления передачей (TCP). Каждый TCP имеет уникальный протокол соединения, который позволяет веб-сайту передавать сообщение через пакет веб-сайта. Этот тип брандмауэра сканирует TCP в соответствии с сетевым ACL, а не самим пакетом веб-сайта, что может оптимизировать время, затрачиваемое на определение того, являются ли передаваемые данные функциональными и безопасными. Может быть полезно установить брандмауэр на уровне канала для клиентов, которым требуется быстрое подключение к Интернету для выполнения своей работы.

Брандмауэры преобразования сетевых адресов

Брандмауэры преобразования сетевых адресов (NAT) являются частью устройства интернет-маршрутизатора и служат для защиты частных сетей, которые могут использовать только люди с правильной регистрационной информацией. Он создает частный IP-адрес для каждого пакета веб-сайта, который он отправляет и получает, что не позволяет внешним агентам обнаруживать общедоступный IP-номер сети. Этот брандмауэр может принимать или отклонять отдельные передачи, используя реализованный список разрешенных сетевых соединений. Например, если веб-сайт пытается передать по сети файл неизвестного типа, брандмауэр NAT может предотвратить его загрузку.

Единый межсетевой экран управления угрозами

Брандмауэр унифицированного управления угрозами (UTM) — это аппаратная система, которая объединяет несколько устройств безопасности, включая антивирусное программное обеспечение и VPN-сервер. UTM может предотвратить влияние на систему значительного числа различных проблем безопасности, поэтому многие организации выбирают этот вариант, чтобы оптимизировать все сетевые действия, требующие брандмауэра. Это также более экономично, чем другие устройства, поэтому многие специалисты по кибербезопасности знают, как его установить и решить любые проблемы клиентов.

Межсетевые экраны нового поколения

Брандмауэры следующего поколения — это аппаратные устройства, которые могут управлять передачей пакетов по сети и VPN-серверами. Они функционируют как традиционные брандмауэры, но также могут глубоко анализировать каждый компонент пакета веб-сайта, что означает, что они могут больше блокировать проникновение вредоносных материалов в компьютерную систему. Этот тип брандмауэра также может более эффективно управлять данными приложений, то есть он может принимать или отклонять пакеты в зависимости от того, откуда они пришли. Если клиент хранит много конфиденциальных данных, специалистам по сетевой безопасности может быть полезно установить брандмауэр нового поколения для расширения возможностей защиты.

Как установить сетевой брандмауэр

Вот основные шаги по установке сетевого брандмауэра:

1. Выберите брандмауэр

Просмотрите каждый тип брандмауэра, чтобы определить, какие службы защиты могут принести наибольшую пользу компании. Подумайте о том, чтобы взять интервью у клиента, чтобы узнать больше о его повседневной деятельности и любых прошлых проблемах с безопасностью. Например, клиент, который часто обменивается сообщениями через приложения веб-сайта, может извлечь выгоду из брандмауэра прикладного уровня или устройства нового поколения с такими же возможностями. Если компании требуется доступ удаленных сотрудников к ее сети, может быть полезно использовать брандмауэр, который может поддерживать VPN, поскольку эти системы позволяют отдельным лицам подключать частную сеть к любой общедоступной веб-структуре.

2. Защитите устройство

После подключения аппаратного устройства или установки программного обеспечения важно защитить брандмауэр, чтобы предотвратить его отключение внешними агентами. Во-первых, определите, какие клиенты могут иметь административный доступ к брандмауэру, то есть они могут настраивать его параметры и обновлять протоколы. Назначьте им уникальное имя пользователя и пароль, а затем предложите несколько инструкций о том, как сохранить эту информацию в безопасности. После этого просмотрите простой протокол управления сетью (SNMP) компьютерной системы, который относится к внутренним структурам, управляющим данными в сети, чтобы определить, можно ли настроить его для повышения эффективности работы брандмауэра.

3. Разработайте зоны брандмауэра

Подумайте о создании зон брандмауэра, чтобы максимально повысить безопасность сети, поскольку каждая зона содержит разные протоколы доступа. Во-первых, побеседуйте с клиентом, чтобы узнать, какие активы компании являются особо конфиденциальными. Например, медицинский центр может иметь файлы, содержащие важную информацию о пациентах, защищенную федеральными нормами. После этого вы можете поместить активы в зоны брандмауэра, которые предлагают разные уровни защиты и могут разрешить доступ к ним определенным пользователям. Может быть полезно хранить базы данных компании во внутренней зоне брандмауэра, чтобы предотвратить доступ к ним внешних агентов.

4. Внедрите политику брандмауэра

Совместно с клиентом определите наиболее эффективный способ настройки ACL для каждой зоны брандмауэра. Не забудьте включить в код ACL все соответствующие данные, включая описание каждой настройки, протоколы доступа для администраторов, IP-адрес каждой компьютерной системы и номер порта. В зависимости от типа используемого брандмауэра может оказаться полезным разрешить сети получать только те данные, которые заранее описаны в ACL. Вы также можете реализовать политику, которая разрешает или запрещает пакеты с определенных веб-сайтов или внешних сетей.

5. Проверьте брандмауэр

Настройте среду, чтобы оценить, работает ли брандмауэр и может ли он правильно применять правила ACL. Рассмотрите возможность использования процедуры сканирования уязвимостей, которая включает в себя обнаружение потенциальных областей в сети, к которым внешний агент может получить незаконный доступ, а затем создание автоматического отчета с оценкой этих рисков. Вы также можете использовать тестирование на проникновение, которое относится к ручному доступу к сети с использованием техники взлома, чтобы увидеть, может ли брандмауэр заблокировать вашу попытку. Важно обсудить с клиентом требования к срокам, поскольку второй вариант обычно требует больше времени, чем первый.

6. Обновите устройство

После успешной установки и тестирования устройства вы можете приступить к управлению повседневными требованиями брандмауэра. Обязательно проверяйте историю его активности каждый день, чтобы увидеть, не произошло ли непредвиденное событие, и обновите все программные компоненты. Также важно проверять все ACL каждые шесть месяцев, чтобы определить, остаются ли правила работоспособными и полезными. Подумайте о том, чтобы задокументировать свои процедуры управления, чтобы вы могли обращаться к информации об обновлениях ACL и делиться информацией о состоянии с другими администраторами брандмауэра.