マルウェアや不正アクセスからネットワークを保護するためのファイアウォールの基本機能は誰もが理解しています。しかし、ファイアウォールがどのように機能するかの正確な詳細はあまり知られていません。
ファイアウォール(firewall)とは正確には何ですか?さまざまな種類のファイアウォールはどのように機能しますか?そしておそらく最も重要なのは、どのタイプのファイアウォールが最適かということです。
ファイアウォール101
簡単(Simply)に言えば、ファイアウォールは単なる別のネットワークエンドポイントです。特別なのは、着信トラフィックが内部ネットワークに入る前に傍受してスキャンし、悪意のある攻撃者がアクセスするのをブロックする機能です。
各接続の認証を確認し、宛先IPをハッカーから隠し、さらに各データパケットの内容をスキャンすることで、ファイアウォールがすべてを実行します。ファイアウォールは一種のチェックポイントとして機能し、許可される通信の種類を注意深く制御します。
パケットフィルタリングファイアウォール
パケットフィルタリングファイアウォールは、最もシンプルでリソースをあまり消費しないファイアウォールテクノロジーです。最近は人気がありませんが、古いコンピューターのネットワーク保護の定番でした。
パケットフィルタリングファイアウォールはパケットレベルで動作し、ネットワークルーターからの各着信パケットをスキャンします。ただし、実際にはデータパケットの内容をスキャンするのではなく、ヘッダーのみをスキャンします。これにより、ファイアウォールは送信元アドレスと宛先アドレス、ポート番号などのメタデータを検証できます。
ご想像のとおり、このタイプのファイアウォールはあまり効果的ではありません。パケットフィルタリングファイアウォールでできることは、アクセス制御リストに従って不要なネットワークトラフィックを削減することだけです。パケットの内容自体はチェックされないため、マルウェアは引き続き通過できます。
サーキットレベルゲートウェイ
ネットワーク接続の正当性を検証するもう1つのリソース効率の高い方法は、回線レベルのゲートウェイです。個々のデータパケットのヘッダーをチェックする代わりに、回線レベルのゲートウェイがセッション自体を検証します。
繰り返しになりますが、このようなファイアウォールは送信自体の内容を通過しないため、悪意のある攻撃に対して脆弱なままになります。そうは言っても、 OSI(OSI)モデルのセッション層からの伝送制御プロトコル(Transmission Control Protocol)(TCP )接続の検証は、リソースをほとんど必要とせず、望ましくないネットワーク接続を効果的にシャットダウンできます。
これが、回路レベルのゲートウェイがほとんどのネットワークセキュリティソリューション、特にソフトウェアファイアウォールに組み込まれていることが多い理由です。これらのゲートウェイは、セッションごとに仮想接続を作成することにより、ユーザーのIPアドレスをマスクするのにも役立ちます。
ステートフルインスペクションファイアウォール
パケットフィルタリングファイアウォール(Packet-Filtering Firewall)と回路レベルゲートウェイ(Circuit Level Gateway)はどちらもステートレスファイアウォールの実装です。これは、それらが静的ルールセットで動作し、その有効性を制限することを意味します。すべてのパケット(またはセッション)は個別に処理されるため、非常に基本的なチェックのみを実行できます。
一方、ステートフルインスペクションファイアウォール(Inspection Firewall)は、接続の状態と、それを介して送信されるすべてのパケットの詳細を追跡します。接続中にTCP(TCP)ハンドシェイクを監視することにより、ステートフルインスペクションファイアウォールは、送信元と宛先のIPアドレスとポート番号を含むテーブルをコンパイルし、着信パケットをこの動的ルールセットと照合できます。
このおかげで、ステートフルインスペクションファイアウォールを通過して悪意のあるデータパケットを忍び込むことは困難です。反対に、この種のファイアウォールはリソースコストが高く、パフォーマンスが低下し、ハッカーがシステムに対して分散型サービス拒否(Denial-of-Service)(DDoS)攻撃を使用する機会を生み出します。
プロキシファイアウォール
(Better)アプリケーションレベルゲートウェイ(Application Level Gateways)としてよく知られているプロキシファイアウォールは、 (Proxy Firewalls)OSIモデルの前面層であるアプリケーション層で動作します。ユーザーをネットワークから分離する最後のレイヤーとして、このレイヤーは、パフォーマンスを犠牲にして、データパケットの最も徹底的でコストのかかるチェックを可能にします。
回線レベルのゲートウェイ(Circuit-Level Gateways)と同様に、プロキシファイアウォール(Proxy Firewalls)は、ホストとクライアントの間に介入し、宛先ポートの内部IPアドレスを難読化することによって機能します。さらに、アプリケーションレベルゲートウェイはディープパケットインスペクションを実行して、悪意のあるトラフィックが通過できないことを確認します。
これらの対策はすべて、ネットワークのセキュリティを大幅に向上させますが、着信トラフィックの速度も低下させます。このようなステートフルファイアウォールによって実行されるリソースを大量に消費するチェックが原因で ネットワークパフォーマンスが低下し、パフォーマンスに敏感なアプリケーションには適していません。(Network)
NATファイアウォール
多くのコンピューティング設定では、サイバーセキュリティの重要な要は、プライベートネットワークを確保し、ハッカーとサービスプロバイダーの両方からクライアントデバイスの個々のIPアドレスを隠すことです。すでに見てきたように、これはプロキシ(Proxy)ファイアウォールまたは回線レベルのゲートウェイを使用して実現できます。
IPアドレスを非表示にするはるかに簡単な方法は、ネットワークアドレス変換(Network Address Translation)(NAT)ファイアウォール(Firewall)を使用することです。NATファイアウォールは、機能するために多くのシステムリソースを必要としないため、サーバーと内部ネットワークの間で頼りになります。
Webアプリケーションファイアウォール
アプリケーション層で動作するネットワークファイアウォール(Network Firewalls)のみが、プロキシファイアウォール(Proxy Firewall)、さらにはWebアプリケーションファイアウォール(Web Application Firewall)(WAF )のように、データパケットのディープスキャンを実行できます。
WAFは、ネットワークまたはホスト内から動作し、さまざまなWebアプリケーションによって送信されたすべてのデータを通過し、悪意のあるコードが通過しないようにします。このタイプのファイアウォールアーキテクチャは、パケットインスペクションに特化しており、表面レベルのファイアウォールよりも優れたセキュリティを提供します。
クラウドファイアウォール
従来のファイアウォールは、ハードウェアファイアウォールとソフトウェアの両方であり、拡張性が高くありません。これらは、高トラフィックパフォーマンスまたは低ネットワークトラフィックセキュリティのいずれかに焦点を合わせて、システムのニーズを念頭に置いてインストールする必要があります。
しかし、クラウドファイアウォール(Cloud Firewalls)ははるかに柔軟性があります。クラウドからプロキシサーバーとして展開されるこのタイプのファイアウォールは、ネットワークトラフィックが内部ネットワークに入る前にインターセプトし、各セッションを承認し、各データパケットを検証してから入れます。
最良の部分は、そのようなファイアウォールは、必要に応じて容量を拡大および縮小し、さまざまなレベルの着信トラフィックに合わせて調整できることです。クラウドベースのサービスとして提供され、ハードウェアを必要とせず、サービスプロバイダー自体によって維持されます。
次世代ファイアウォール
次世代は誤解を招く用語になる可能性があります。すべての技術ベースの業界は、このような流行語を投げかけるのが大好きですが、それは本当にどういう意味ですか?どのタイプの機能がファイアウォールを次世代と見なす資格がありますか?
実際、厳密な定義はありません。一般に、さまざまな種類のファイアウォールを1つの効率的なセキュリティシステムに組み合わせたソリューションを次世代ファイアウォール(Next-Generation Firewall)(NGFW)と見なすことができます。このようなファイアウォールは、 DDoS(DDoS)攻撃を回避しながら、ディープパケットインスペクションが可能であり、ハッカーに対する多層防御を提供します。
ほとんどの次世代ファイアウォールは、VPN(VPNs)、侵入防止システム(Intrusion Prevention Systems)(IPS)、さらにはウイルス対策などの複数のネットワークソリューションを1つの強力なパッケージに統合することがよくあります。アイデアは、あらゆるタイプのネットワークの脆弱性に対処し、絶対的なネットワークセキュリティを提供する完全なソリューションを提供することです。この目的のために、一部のNGFWは(NGFWs)Secure Socket Layer(SSL )通信も復号化できるため、暗号化された攻撃にも気付くことができます。
ネットワーク(Your Network)を保護するのに最適なファイアウォールの(Firewall)タイプ(Type)はどれですか?
ファイアウォールについてのことは、ファイアウォールの種類が異なれば、ネットワークを保護するために(protect a network)さまざまなアプローチを使用するということです。
最も単純なファイアウォールは、セッションとパケットを認証するだけで、コンテンツには何もしません。ゲートウェイ(Gateway)ファイアウォールとは、仮想接続を作成し、プライベートIPアドレスへのアクセスを防ぐことです。ステートフルファイアウォールは、 (Stateful)TCPハンドシェイクを介して接続を追跡し、情報を使用して状態テーブルを構築します。
次に、次世代(Next-Generation)ファイアウォールがあります。これは、上記のすべてのプロセスをディープパケットインスペクションおよびその他のネットワーク保護機能と組み合わせたものです。NGFWがシステムに可能な限り最高のセキュリティを提供すると言うのは明らかですが、それが常に正しい答えであるとは限りません。
ネットワークの複雑さと実行されているアプリケーションの種類によっては、代わりに最も一般的な攻撃から保護するより単純なソリューションを使用した方がシステムの方が適している場合があります。最良のアイデアは、サードパーティのクラウドファイアウォール(third-party Cloud firewall)サービスを使用して、ファイアウォールの微調整と維持をサービスプロバイダーにオフロードすることです。
8 Types of Firewalls Explained
Everyone understands the basic function of a firewall – to protect your network from malware and unauthorized accesѕ. Bυt the exact specifics of hоw firewalls work are lesѕer-known.
What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?
Firewall 101
Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.
Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.
Packet-Filtering Firewalls
Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.
A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.
As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.
Circuit Level Gateways
Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.
Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.
This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.
Stateful Inspection Firewalls
Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.
A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.
Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.
Proxy Firewalls
Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.
Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.
And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications.
NAT Firewalls
In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.
A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.
Web Application Firewalls
Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).
Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.
Cloud Firewalls
Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.
But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.
The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.
Next-Generation Firewalls
Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?
In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.
Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.
Which Type of Firewall is the Best to Protect Your Network?
The thing about firewalls is that different types of firewalls use different approaches to protect a network.
The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.
Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.
Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.