Tradycyjne zapory sieciowe bazują głównie na analizie ruchu w zakresie portów wykorzystywanych przez aplikacje sieciowe oraz adresacji IP. Przy coraz częściej pojawiających się zaawansowanych zagrożeniach, klasyczne zapory zaczęły ustępować miejsca rozwiązaniom NGFW (Next-Generation FireWall). Termin ten opisuje urządzenia, które standardowo integrują tradycyjne funkcjonalności zapór przeznaczonych dla różnej wielkości organizacji z efektywnym systemem prewencji przed intruzami, a także funkcjami kontroli aplikacji.

Od filtrowania pakietów do NGFW

Można wyróżnić cztery kolejne generacje zapór sieciowych: Packet-Filter, Stateful Packet Inspection (SPI), Application Proxy oraz Deep Packet Inspection (DPI).

Packet-Filter to urządzenie pierwszej generacji pracujące w warstwie transportowej. Zapora taka potrafi analizować adresy IP źródłowe i przeznaczenia, porty i usługi. Przy pomocy list dostępu ACL (Access Control List) pozwala na akceptowanie lub odrzucanie ruchu.

Zapory SPI to druga generacja, która również pracuje w warstwie transportowej. Urządzenia tego typu potrafią wnikać w stan i kontekst pakietów, a także śledzić każdą konwersację przy wykorzystaniu tablic stanów.

Zapory trzeciej generacji typu Application Proxy pracują w warstwie aplikacji, jako pośrednik pomiędzy komunikującymi się systemami. Zapora wnika w sesję i zestawia nowe sesje do każdego komunikującego się systemu. W ten sposób potrafi kontrolować ruch wymieniany pomiędzy systemami. Wadą zapór typu AP są duże wymagania sprzętowe. Dla różnych usług dodatkowo konieczne jest zapewnienie różnych instancji proxy.

Natomiast systemy NGFW w większości wykorzystują technologię Deep Packet Inspection (DPI), która pracuje w warstwie aplikacji. To czwarta generacja technologii zapór sieciowych. W przypadku technologii DPI zapora wnika głęboko w pakiety, podejmując decyzje o dopuszczeniu lub zablokowaniu ruchu na podstawie nagłówków i danych w nich zawartych.

Funkcje NGFW

Tradycyjna zapora sieciowa zapewnia stosunkowo niski poziom ochrony przed najnowszymi zagrożeniami. Technologia filtracji pakietów SPI (Stateful Protocol Filtering) z akcją typu dopuść lub blokuj, nie została dostosowana do rozwiązywania problemów z nowymi zagrożeniami, bo wymagają one zastosowania wielu różnych technik bezpieczeństwa, do niedawna rozproszonych w niezależnych urządzeniach. A wdrożenie tradycyjnej zapory sieciowej oraz dodatkowo systemu zapobiegania włamaniom IPS/IDS, oprogramowania antywirusowego i antyspyware, filtrów treści itd. będzie niestety dużo kosztowało, a zarządzanie tymi wszystkim niezależnymi systemami nie będzie łatwe.

Natomiast NGFW zapewnia dostępność wielu z powyższych funkcji w ramach pojedynczego, zintegrowanego rozwiązania, które zarządza wieloma warstwami sieciowej ochrony. W efekcie ułatwia jednoczesne korzystanie z różnych narzędzi oraz pozwala na zwiększenie bezpieczeństwa aplikacji.

NGFW przeważnie zawiera zestaw funkcji, które można znaleźć w tradycyjnych systemach, jak filtracja pakietów, NAT, VPN, QoS, IDS, IPS, anti-malware, filtracja treści, itp. Dodatkowo zawiera elementy niespotykane w standardowych rozwiązaniach – inspekcję SSL czy SSH, DLP (Data Leakage Prevention) oraz funkcje ostrzegania przed szkodliwymi aplikacjami. Generalnie wykrywane są zagrożenia w warstwach 4-7. Z tego powodu zapora musi być zdolna do analizy i inspekcji ruchu, włączając w to następujące jego formy:

• szyfrowany ruch w postaci SSH, TLS, SSL,
• nagłówki pakietów powyżej trzeciej i czwartej warstwy sieci wg modelu ISO,
• ruch wykorzystujący niestandardowe porty dla danej usługi sieciowej lub zmieniający porty w trakcie transmisji

NGFW potrafi analizować ruch aplikacji oraz wskazywać potencjalne anomalie, a tradycyjne zapory mają bardzo ograniczone możliwości w tym zakresie. Oprócz tego może pomóc w precyzyjnym określeniu zagrożeń, przykładowo w wypadku, gdy szkodliwe programy są tunelowane przez ruch prawidłowej aplikacji. NGFW może identyfikować specyficzną dla danej aplikacji zawartość na przykład w ruchu HTTP, a także wykrywać podejrzany ruch przez deszyfrowanie strumieni pakietów.

Czym różni się NGFW od UTM?

Zanim pojawiły się na rynku rozwiązania NGFW, podobne funkcje dostępne były z poziomu systemów UTM (Universal Threat Management). W zakresie wspieranych funkcjonalności nie ma większych różnic między UTM, a NGFW. W zasadzie są to podobne urządzenia zawierające mniejszy lub większy zestaw technologii, choć promowane jako różne rozwiązania. NGFW nie jest też technologią rewolucyjną. Można powiedzieć, że jest to standardowa zapora sieciowa dodatkowo wyposażona w rozszerzony zakres technologii i funkcji bezpieczeństwa.

Największą różnicą jest adresowanie obu tych rozwiązań do odmiennych grup docelowych użytkowników.

UTM powstał jako rozwiązanie dedykowane dla małych i średnich firm SMB, a NGFW dla większych organizacji. Z reguły UTM jest to pojedyncze urządzenie wyposażone w maksymalnie wiele technik i mechanizmów bezpieczeństwa. UTM jest najczęściej łatwy do wdrożenia, a dodatkowo integruje wszystkie funkcje na jednej platformie. Użytkownik nie musi więc płacić za dodatkowy sprzęt, licencje na oprogramowanie, serwis i zarządzać wieloma kontraktami z różnymi dostawcami.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn