Firewall (the English firewall ) to oprogramowanie i / lub sprzętu do egzekwowania polityki bezpieczeństwa sieci , określa jakie rodzaje komunikacji dozwolone na tej sieci komputerowej . Monitoruje i kontroluje aplikacje oraz przepływ danych ( pakietów ).
Zapora jest czasami nazywana zaporą , strażnikiem , barierą bezpieczeństwa , a nawet zaporą . Dosłowne tłumaczenie: zapora.
W środowisku Unix BSD ( Berkeley Software Distribution ) firewall jest również nazywany filtrem pakietów .
W zależności od kontekstu termin może mieć różne znaczenia:
Zapora ogniowa do niedawna była uważana za jeden z fundamentów bezpieczeństwa sieci komputerowej (traci na znaczeniu, gdy komunikacja przechodzi na HTTP przez TLS , z pominięciem wszelkich filtrów). Służy do stosowania polityki dostępu do zasobów sieciowych ( serwerów ).
Jego głównym zadaniem jest kontrolowanie ruchu pomiędzy różnymi strefami zaufania poprzez filtrowanie przepływających przez nie przepływów danych. Zazwyczaj strefy zaufane obejmują Internet (strefa o zerowym zaufaniu) i co najmniej jedną sieć wewnętrzną (strefa o większym zaufaniu).
Celem jest zapewnienie kontrolowanej i kontrolowanej łączności między strefami o różnych poziomach zaufania poprzez zastosowanie polityki bezpieczeństwa i modelu połączenia opartego na zasadzie najmniejszych uprawnień .
Filtrowanie odbywa się według różnych kryteriów. Najczęstsze to:
Zapora często działa jak router, a tym samym umożliwia odizolowanie sieci na kilka stref bezpieczeństwa zwanych strefami zdemilitaryzowanymi lub DMZ . Obszary te są rozdzielone według poziomu zaufania, jakim się do nich pokłada się w nas.
Wreszcie, zapora często znajduje się również na końcu tunelu IPsec lub TLS. Integracja filtrowania przepływu i zarządzania tunelem jest rzeczywiście konieczna, aby móc zarówno chronić ruch związany z poufnością i integralnością, jak i filtrować to, co przechodzi przez tunel. Dotyczy to w szczególności kilku produktów handlowych wymienionych na poniższej liście.
Firewalle są jednymi z najstarszych zabezpieczeń komputerowych i jako takie przeszły wiele zmian. W zależności od generacji firewalla lub jego dokładnej roli, można je podzielić na różne kategorie.
Jest to najstarsze sieciowe urządzenie filtrujące wprowadzone w routerach. Sprawdza każdy pakiet niezależnie od innych i porównuje go z listą wstępnie skonfigurowanych reguł.
Te reguły mogą mieć bardzo różne nazwy w zależności od zapory:
Konfiguracja tych urządzeń jest często skomplikowana, a brak uwzględnienia maszyn stanowych protokołów sieciowych nie pozwala na uzyskanie bardzo zaawansowanej finezji filtrowania. Dlatego te zapory mają tendencję do wychodzenia z użycia, ale pozostają obecne na niektórych routerach lub systemach operacyjnych.
Niektóre tak zwane protokoły „stanowe”, takie jak TCP, wprowadzają pojęcie połączenia. Zapory stanowe sprawdzają pakiety pod kątem zgodności z bieżącym połączeniem. Oznacza to, że sprawdzają, czy każdy pakiet w połączeniu jest rzeczywiście kontynuacją poprzedniego pakietu i odpowiedzią na pakiet w innym kierunku. Wiedzą również, jak inteligentnie filtrować pakiety ICMP, które są używane do sygnalizowania przepływów IP .
Wreszcie, jeśli listy ACL przepuszczają pakiet UDP charakteryzujący się kwadrupletem (ip_src, port_src, ip_dst, port_dst), taka zapora umożliwi odpowiedź charakteryzującą się odwróconym kwadrupletem, bez konieczności pisania odwrotnej listy ACL. Ma to fundamentalne znaczenie dla prawidłowego funkcjonowania wszystkich protokołów opartych na UDP , takich jak na przykład DNS . Mechanizm ten zapewnia niezawodność, ponieważ jest bardziej selektywny w odniesieniu do charakteru autoryzowanego ruchu. Jednak w przypadku UDP ta funkcja może być używana do nawiązywania bezpośrednich połączeń ( P2P ) między dwoma komputerami (jak np. Skype ).
Najnowszej generacji firewalle sprawdzają pełną zgodność pakietu z oczekiwanym protokołem. Na przykład ten typ zapory umożliwia sprawdzenie, czy tylko protokół HTTP przechodzi przez port TCP 80. Przetwarzanie to jest bardzo chciwe w czasie obliczeń, gdy tylko przepustowość staje się bardzo ważna. Jest to uzasadnione faktem, że coraz więcej protokołów sieciowych wykorzystuje tunel TCP w celu ominięcia filtrowania portów .
Innym powodem inspekcji aplikacji jest dynamiczne otwieranie portów . Niektóre protokoły, takie jak FTP , w trybie pasywnym wymieniają adresy IP lub porty TCP/UDP między klientem a serwerem. Protokoły te nazywane są „ brudną treścią ” lub „ trudnymi do przejścia firewallami ”, ponieważ wymieniają informacje na poziomie aplikacji (FTP) na poziomie IP (wymiana adresów) lub na poziomie TCP (wymiana portów). Narusza to zasadę separacji warstw sieci . Z tego powodu protokoły „brudnej treści” z trudem lub wcale nie przechodzą przez dynamiczne reguły NAT … chyba że inspekcja aplikacji jest wykonywana na tym protokole.
Każdy typ zapory może sprawdzać ograniczoną liczbę aplikacji. Każda aplikacja jest zarządzana przez inny moduł, aby móc je aktywować lub dezaktywować. Terminologia koncepcji modułu jest inna dla każdego typu firewalla: na przykład: Protokół HTTP zapewnia dostęp do odczytu do serwera za pomocą polecenia GET i dostęp do zapisu za pomocą polecenia PUT. Zapora aplikacji będzie w stanie analizować połączenie HTTP i autoryzować polecenia PUT tylko ograniczonej liczbie komputerów.
Zapora identyfikuje połączenia przechodzące przez filtr IP. Administrator może w ten sposób zdefiniować reguły filtrowania według użytkownika, a nie według adresu IP lub adresu MAC , a tym samym monitorować aktywność sieciową według użytkownika.
Istnieje kilka różnych metod, które opierają się na powiązaniach między IP a użytkownikami przeprowadzonych różnymi sposobami. Można na przykład zacytować authpf (pod OpenBSD ), który używa ssh do utworzenia skojarzenia. Inną metodą jest identyfikacja połączenia przez połączenie (bez posiadania tego powiązania IP = użytkownik, a więc bez narażania bezpieczeństwa), realizowana na przykład przez pakiet NuFW , który umożliwia również identyfikację na maszynach wieloużytkownikowych.
Mogliśmy również przytoczyć Cyberoam który stanowi zaporę w całości oparte na tożsamości (w rzeczywistości, przez co stowarzyszeń MAC address = user) lub Check Point z opcją NAC Blade, który umożliwia tworzenie dynamicznych reguł opartych na uwierzytelnianie. Kerberos o użytkownika, tożsamość jego stacji roboczej, a także jego poziom bezpieczeństwa (obecność programu antywirusowego, określone poprawki ).
Zapory osobiste, zwykle instalowane na działającym komputerze, działają jako zapora stanowa. Często sprawdzają też, który program jest źródłem danych. Celem jest walka z wirusami komputerowymi i oprogramowaniem szpiegującym .
Te portale niewoli są firewalle, które ma na celu przechwycenia użytkownikom sieci konsultacji w celu wprowadzenia ich do strony internetowej specjalny (np ostrzegawczych, stosowanie czarter stosowanie uwierzytelniania , itp) przed pozwalając im dostęp do Internetu. Służą do zapewnienia identyfikowalności połączeń i/lub ograniczenia niewłaściwego wykorzystania środków dostępu. Są one wdrażane głównie w ramach wspólnych przewodowych lub Wi-Fi sieci konsultacyjnych Internetu .
Wirtualna zapora to usługa zapory sieciowej lub urządzenia, która działa całkowicie w środowisku wirtualnym i zapewnia funkcje filtrowania i monitorowania pakietów (w języku angielskim) zwykle zapewnianą przez fizyczne zapory sieciowe. Wirtualna zapora może być postrzegana jako tradycyjne oprogramowanie zapory zainstalowane na maszynie wirtualnej, wirtualne urządzenie zabezpieczające zaprojektowane specjalnie do zabezpieczania sieci wirtualnych, wirtualny przełącznik z dodatkowymi funkcjami zabezpieczeń, a nawet kontrolowany proces. hiperwizor.
Najnowsze zapory mają coraz więcej funkcji, w tym: