Ağ güvenlik duvarı kavramının güvenlik konuşmasına girmesinden 30 yıldan fazla bir süre sonra, teknoloji, kurumsal ağ güvenliği cephaneliğinde önemli bir araç olmaya devam ediyor. Kötü niyetli trafiği ağ çevresini geçmeden önce filtreleyen bir mekanizma olan güvenlik duvarı, on yıllar boyunca değerini kanıtlamıştır. Ancak, uzun süredir kullanılan herhangi bir temel teknolojide olduğu gibi, gelişmeler hem güvenlik duvarının yeteneklerini hem de dağıtım seçeneklerini geliştirmeye yardımcı oldu.
Bu makale, kötü niyetli trafiği belirlemek ve filtrelemek için farklı mekanizmalar kullanan beş temel güvenlik duvarı türünü içeriyor. Ayrıca, kuruluşların sistemlerini daha iyi güvence altına almak için beş güvenlik duvarından birden fazlasına ihtiyacı olabilir. Veya tek bir güvenlik duvarı, bu güvenlik duvarı türlerinden birden fazlasını sağlayabilir.
GÜVENLİK DUVARI TÜRLERİ
- Paket Filtreleme Güvenlik Duvarı
- Devre düzeyinde Ağ Geçidi
- Uygulama Düzeyinde Ağ Geçidi
- DurumBilgisi Olan Güvenlik Duvarı
- Yeni Nesil Güvenlik Duvarı (NGFW)
Güvenlik duvarı cihazları ve hizmetleri, örneğin bir saldırı tespit veya önleme sistemi (IDS/IPS), (DoS) saldırı koruması, oturum izleme ve korumak için diğer güvenlik hizmetleri sağlayarak standart güvenlik duvarı işlevinin ötesinde koruma sağlayabilir. Sunucular ve özel ağ içindeki diğer cihazlar, bazı güvenlik duvarı türleri çok işlevli güvenlik cihazları olarak çalışabilirken, etkili kurumsal güvenlik ilkelerini yürüten çok katmanlı bir mimarinin parçası olmaları gerekir.
FARKLI GÜVENLİK DUVARI TÜRLERİ NASIL ÇALIŞIR
Güvenlik duvarları geleneksel olarak bir ağ bağlantısı üzerinde satır içi olarak yerleştirilir ve bu noktadan geçen tüm trafiğe bakar. Bunu yaparken, hangi ağ protokolü trafiğinin iyi huylu olduğunu ve hangi paketlerin bir saldırının parçası olduğunu söylemekle görevlendirilirler.
Güvenlik duvarları, trafiği zararlı içeriği elemek için tasarlanmış önceden belirlenmiş bir dizi kurala göre izler. Hiçbir güvenlik ürünü tüm içeriğin amacını tam olarak tahmin edemese de, güvenlik teknolojisindeki ilerlemeler, diğer kuruluşlara daha önce saldırılara işaret eden ağ verilerinde bilinen kalıpları uygulamayı mümkün kılar.
Tüm güvenlik duvarları, belirli bir paketin veya bir işlemdeki paket kümesinin amaçlanan alıcıya güvenli bir şekilde yönlendirilebileceği kriterleri tanımlayan kurallar uygular .
İşte bugün kurumsal ortamlarda önemli roller oynamaya devam eden beş güvenlik duvarı türü.
PAKET FİLTRELEME GÜVENLİK DUVARI
Paket filtreleme güvenlik duvarları, yönlendiriciler ve anahtarlar gibi cihazların işlerini yaptığı bağlantı noktalarında satır içi çalışır. Ancak bu güvenlik duvarları paketleri yönlendirmez; bunun yerine alınan her paketi, izin verilen IP adresleri, paket tipi, port numarası ve paket protokolü başlıklarının diğer yönleri gibi bir dizi yerleşik kriterle karşılaştırırlar. Sorunlu olarak işaretlenen paketler, genel olarak konuşursak, belirsiz bir şekilde bırakılır yani iletilmezler ve bu nedenle varlıkları sona erer.
FARKLI GÜVENLİK DUVARI TÜRLERİ NASIL ÇALIŞIR
Güvenlik duvarları geleneksel olarak bir ağ bağlantısı üzerinde satır içi olarak yerleştirilir ve bu noktadan geçen tüm trafiğe bakar. Bunu yaparken, hangi ağ protokolü trafiğinin iyi huylu olduğunu ve hangi paketlerin bir saldırının parçası olduğunu söylemekle görevlendirilirler.
Güvenlik duvarları, trafiği zararlı içeriği elemek için tasarlanmış önceden belirlenmiş bir dizi kurala göre izler. Hiçbir güvenlik ürünü tüm içeriğin amacını tam olarak tahmin edemese de, güvenlik teknolojisindeki ilerlemeler, diğer kuruluşlara daha önce saldırılara işaret eden ağ verilerinde bilinen kalıpları uygulamayı mümkün kılar.
Tüm güvenlik duvarları, belirli bir paketin veya bir işlemdeki paket kümesinin amaçlanan alıcıya güvenli bir şekilde yönlendirilebileceği kriterleri tanımlayan kurallar uygular .
İşte bugün kurumsal ortamlarda önemli roller oynamaya devam eden beş güvenlik duvarı türü.
PAKET FİLTRELEME GÜVENLİK DUVARI
Paket filtreleme güvenlik duvarları, yönlendiriciler ve anahtarlar gibi cihazların işlerini yaptığı bağlantı noktalarında satır içi çalışır. Ancak bu güvenlik duvarları paketleri yönlendirmez; bunun yerine alınan her paketi, izin verilen IP adresleri, paket tipi, port numarası ve paket protokolü başlıklarının diğer yönleri gibi bir dizi yerleşik kriterle karşılaştırırlar. Sorunlu olarak işaretlenen paketler, genel olarak konuşursak, belirsiz bir şekilde bırakılır yani iletilmezler ve bu nedenle varlıkları sona erer.
Paket filtreleme güvenlik duvarı avantajları
- Tek bir cihaz, tüm ağ için trafiği filtreleyebilir
- Tarama trafiğinde son derece hızlı ve verimlidir
- Ucuzdur
- Diğer kaynaklar, ağ performansı ve son kullanıcı deneyimi üzerinde minimum etkiye sahiptir
Paket filtreleme güvenlik duvarı dezavantajları
- Trafik filtrelemesi tamamen IP adresine veya bağlantı noktası bilgilerine dayandığından, paket filtreleme, diğer güvenlik duvarlarını bilgilendiren daha geniş bağlamdan yoksundur.
- Yükü kontrol etmez ve kolayca yanıltılabilir
- Her ağ için ideal bir seçenek değildir
- Erişim kontrol listelerini kurmak ve yönetmek zor olabilir
Paket filtreleme, her kullanım durumu için gerekli güvenlik seviyesini sağlamayabilir, ancak bu düşük maliyetli güvenlik duvarının sağlam bir seçenek olduğu durumlar vardır. Küçük veya bütçesi kısıtlı kuruluşlar için paket filtreleme, bilinen tehditlere karşı koruma sağlayabilecek temel bir güvenlik düzeyi sağlar. Daha büyük kuruluşlar, dahili departmanlar arasındaki potansiyel olarak zararlı trafiği taramak için katmanlı bir savunmanın parçası olarak paket filtrelemeyi de kullanabilir
DEVRE DÜZEYİNDE AĞ GEÇİDİ
Kötü amaçlı içeriği tanımlamanın nispeten hızlı bir başka yolunu kullanan devre düzeyinde ağ geçitleri, başlatılan oturumun meşru olup olmadığını belirlemek için yerel ve uzak ana bilgisayarlar arasında oluşturulurken TCP el sıkışmalarını ve diğer ağ protokolü oturum başlatma mesajlarını ağ genelinde izler. Uzak sistem güvenilir olarak kabul edilir. Ancak paketleri kendileri incelemezler.
DEVRE DÜZEYİNDE AĞ GEÇİDİ
Kötü amaçlı içeriği tanımlamanın nispeten hızlı bir başka yolunu kullanan devre düzeyinde ağ geçitleri, başlatılan oturumun meşru olup olmadığını belirlemek için yerel ve uzak ana bilgisayarlar arasında oluşturulurken TCP el sıkışmalarını ve diğer ağ protokolü oturum başlatma mesajlarını ağ genelinde izler. Uzak sistem güvenilir olarak kabul edilir. Ancak paketleri kendileri incelemezler.
Devre düzeyinde ağ geçidi avantajları
- Yalnızca talep edilen işlemleri işler; diğer tüm trafik reddedilir
- Kurulumu ve yönetimi kolaydır
- Düşük maliyet ve son kullanıcı deneyimi üzerinde minimum etkiye sahiptir
Devre düzeyinde ağ geçidi dezavantajları
- Diğer güvenlik teknolojileri ile birlikte kullanılmazlarsa, devre düzeyindeki ağ geçitleri güvenlik duvarı içindeki cihazlardan veri sızıntısına karşı koruma sağlamaz.
- Uygulama katmanı izleme yoktur
- Kuralları güncel tutmak için sürekli güncellemeler gerektirir
Devre düzeyindeki ağ geçitleri, paket filtreleyen güvenlik duvarlarından daha yüksek düzeyde güvenlik sağlarken, diğer sistemlerle birlikte kullanılmaları gerekir. Örneğin, devre seviyesindeki ağ geçitleri tipik olarak uygulama seviyesindeki ağ geçitlerinin yanında kullanılır. Bu strateji, paket ve devre düzeyinde ağ geçidi güvenlik duvarlarının özniteliklerini içerik filtreleme ile birleştirir.
UYGULAMA DÜZEYİNDE AĞ GEÇİDİ
Bu tür bir cihaz teknik olarak bir proxy ve bazen bir proxy güvenlik duvarı olarak anılır. Ağa tek giriş ve çıkış noktası olarak işlev görür. Uygulama düzeyinde ağ geçitleri, paketleri yalnızca hedeflenen bağlantı noktası tarafından belirtildiği gibi amaçlanan hizmete göre değil, aynı zamanda HTTP istek dizesi gibi diğer özelliklere göre de filtreler.
Uygulama katmanında filtrelenen ağ geçitleri önemli miktarda veri güvenliği sağlarken, ağ performansını önemli ölçüde etkileyebilir ve yönetilmesi zor olabilir.
UYGULAMA DÜZEYİNDE AĞ GEÇİDİ
Bu tür bir cihaz teknik olarak bir proxy ve bazen bir proxy güvenlik duvarı olarak anılır. Ağa tek giriş ve çıkış noktası olarak işlev görür. Uygulama düzeyinde ağ geçitleri, paketleri yalnızca hedeflenen bağlantı noktası tarafından belirtildiği gibi amaçlanan hizmete göre değil, aynı zamanda HTTP istek dizesi gibi diğer özelliklere göre de filtreler.
Uygulama katmanında filtrelenen ağ geçitleri önemli miktarda veri güvenliği sağlarken, ağ performansını önemli ölçüde etkileyebilir ve yönetilmesi zor olabilir.
Uygulama düzeyinde ağ geçidi avantajları
- Güvenlik duvarının arkasındaki dış kaynaklar ve cihazlar arasındaki tüm iletişimi inceler, yalnızca adres, bağlantı noktası ve TCP başlık bilgilerini değil, herhangi bir trafiğin proxy'den geçmesine izin vermeden önce içeriğin kendisini de kontrol eder.
- Örneğin, bir web sitesine erişime izin verebilen ancak kullanıcının o sitedeki hangi sayfaları açabileceğini kısıtlayabilen ayrıntılı güvenlik kontrolleri sağlar.
- Kullanıcı anonimliğini korur
Uygulama düzeyinde ağ geçidi dezavantajları
- Ağ performansını engelleyebilir
- Diğer bazı güvenlik duvarı seçeneklerinden daha maliyetlidir
- Ağ geçidinden maksimum faydayı elde etmek için yüksek derecede çaba gerektirir
- Tüm ağ protokolleriyle çalışmaz
Uygulama katmanı güvenlik duvarları, kurumsal kaynakları web uygulaması tehditlerinden korumak için en iyi şekilde kullanılır . Hem zararlı sitelere erişimi engelleyebilir hem de güvenlik duvarının içinden hassas bilgilerin sızdırılmasını önleyebilirler. Bununla birlikte, iletişimde bir gecikmeye neden olabilirler.
DURUM BİLGİSİ OLAN GÜVENLİK DUVARI
Duruma duyarlı cihazlar yalnızca her paketi incelemekle kalmaz, aynı zamanda o paketin kurulu bir TCP veya başka bir ağ oturumunun parçası olup olmadığını da takip eder. Bu, tek başına paket filtrelemeden veya devre izlemeden daha fazla güvenlik sunar, ancak ağ performansı üzerinde daha büyük bir etki yaratır.
Durum bilgisi olan denetimin başka bir çeşidi, yedi katmanlı Açık Sistemler Ara Bağlantısı (OSI) modelinin birden çok protokol katmanında işlemdeki işlemlerin akışını dikkate alan çok katmanlı denetim güvenlik duvarıdır .
DURUM BİLGİSİ OLAN GÜVENLİK DUVARI
Duruma duyarlı cihazlar yalnızca her paketi incelemekle kalmaz, aynı zamanda o paketin kurulu bir TCP veya başka bir ağ oturumunun parçası olup olmadığını da takip eder. Bu, tek başına paket filtrelemeden veya devre izlemeden daha fazla güvenlik sunar, ancak ağ performansı üzerinde daha büyük bir etki yaratır.
Durum bilgisi olan denetimin başka bir çeşidi, yedi katmanlı Açık Sistemler Ara Bağlantısı (OSI) modelinin birden çok protokol katmanında işlemdeki işlemlerin akışını dikkate alan çok katmanlı denetim güvenlik duvarıdır .
Durum denetimi güvenlik duvarı avantajları
- Bağlantının durumu için tüm oturumu izler, ayrıca daha kapsamlı güvenlik için IP adreslerini ve yükleri kontrol eder
- Ağa hangi içeriğin girip çıkmayacağı konusunda yüksek derecede kontrol sunar
- İçeri ve dışarı trafiğe izin vermek için çok sayıda bağlantı noktası açmaya gerek yoktur
- Önemli günlük kayıt yetenekleri sunar
Durum denetimi güvenlik duvarı dezavantajları
- Kaynak yoğundur ve ağ iletişiminin hızına müdahale eder
- Diğer güvenlik duvarı seçeneklerinden daha pahalıdır
- Trafik kaynaklarının sahte olmadığını doğrulamak için kimlik doğrulama yetenekleri sağlamaz
Çoğu kuruluş, durum bilgisi olan bir inceleme güvenlik duvarının kullanımından yararlanır. Bu cihazlar, güvenlik duvarı içindeki bilgisayarlar ve diğer varlıklar ile kuruluşun ötesindeki kaynaklar arasında daha kapsamlı bir ağ geçidi görevi görür. Ayrıca, ağ cihazlarını DoS gibi belirli saldırılara karşı savunmada oldukça etkili olabilirler.
YENİ NESİL GÜVENLİK DUVARI (NGFW)
Tipik bir NGFW , paket incelemesini durum denetimiyle birleştirir ve ayrıca bir dizi derin paket incelemesinin ( DPI ) yanı sıra IDS/IPS, kötü amaçlı yazılım filtreleme ve antivirüs gibi diğer ağ güvenlik sistemlerini içerir.
Geleneksel güvenlik duvarlarında paket denetimi yalnızca paketin protokol başlığına bakarken, DPI paketin taşıdığı gerçek verilere bakar. Bir DPI güvenlik duvarı, bir web tarama oturumunun ilerlemesini izler ve bir paket yükünün, bir HTTP sunucusu yanıtında diğer paketlerle birleştirildiğinde, meşru bir HTML biçimli yanıt oluşturup oluşturmadığını fark edebilir.
YENİ NESİL GÜVENLİK DUVARI (NGFW)
Tipik bir NGFW , paket incelemesini durum denetimiyle birleştirir ve ayrıca bir dizi derin paket incelemesinin ( DPI ) yanı sıra IDS/IPS, kötü amaçlı yazılım filtreleme ve antivirüs gibi diğer ağ güvenlik sistemlerini içerir.
Geleneksel güvenlik duvarlarında paket denetimi yalnızca paketin protokol başlığına bakarken, DPI paketin taşıdığı gerçek verilere bakar. Bir DPI güvenlik duvarı, bir web tarama oturumunun ilerlemesini izler ve bir paket yükünün, bir HTTP sunucusu yanıtında diğer paketlerle birleştirildiğinde, meşru bir HTML biçimli yanıt oluşturup oluşturmadığını fark edebilir.
NGFW avantajları
- Optimum düzeyde filtreleme sağlamak için DPI'yi kötü amaçlı yazılım filtreleme ve diğer denetimlerle birleştirir
- Diğer yöntemlerden daha doğru bilgiler için Katman 2'den uygulama katmanına kadar olan tüm trafiği izler
- Mevcut bağlamı sağlamak için otomatik olarak güncellenebilir
NGFW dezavantajları
- En büyük faydayı elde etmek için kuruluşların NGFW'leri karmaşık bir süreç olabilen diğer güvenlik sistemleriyle entegre etmesi gerekir.
- Diğer güvenlik duvarı türlerinden daha maliyetlidir
NGFW'ler, sağlık veya finans gibi ağır şekilde düzenlenmiş sektörlerdeki kuruluşlar için önemli bir korumadır. Bu güvenlik duvarları , tehdit ortamının ne kadar tehlikeli olduğu konusunda güçlü bir kavrayışa sahip olanlara hitap eden çok işlevli yetenek sunar . NGFW'ler, çoğu durumda yüksek derecede uzmanlık gerektiren diğer güvenlik sistemleriyle entegre edildiğinde en iyi şekilde çalışır.
GÜVENLİK DUVARI KULLANIM YÖNTEMLERİ
BT tüketim modelleri geliştikçe güvenlik dağıtım seçenekleri de gelişti. Günümüzde güvenlik duvarları bir donanım aracı olarak konuşlandırılabilir, yazılım tabanlı olabilir veya bir hizmet olarak sunulabilir.
GÜVENLİK DUVARI KULLANIM YÖNTEMLERİ
BT tüketim modelleri geliştikçe güvenlik dağıtım seçenekleri de gelişti. Günümüzde güvenlik duvarları bir donanım aracı olarak konuşlandırılabilir, yazılım tabanlı olabilir veya bir hizmet olarak sunulabilir.
Donanım tabanlı güvenlik duvarları
Donanım tabanlı bir güvenlik duvarı, ağ çevresi içindeki ve dışındaki cihazlar arasında güvenli bir ağ geçidi görevi gören bir cihazdır. Donanım tabanlı güvenlik duvarları, bağımsız cihazlar olduklarından, ana cihazların işlem gücünü veya diğer kaynaklarını tüketmezler.
Bazen ağ tabanlı güvenlik duvarları olarak adlandırılan bu cihazlar, birçok cihazı korumak isteyen orta ve büyük kuruluşlar için idealdir. Donanım tabanlı güvenlik duvarları, ana bilgisayar tabanlı muadillerine göre yapılandırmak ve yönetmek için daha fazla bilgi gerektirir.
Bazen ağ tabanlı güvenlik duvarları olarak adlandırılan bu cihazlar, birçok cihazı korumak isteyen orta ve büyük kuruluşlar için idealdir. Donanım tabanlı güvenlik duvarları, ana bilgisayar tabanlı muadillerine göre yapılandırmak ve yönetmek için daha fazla bilgi gerektirir.
Yazılım tabanlı güvenlik duvarları
Yazılım tabanlı bir güvenlik duvarı veya ana bilgisayar güvenlik duvarı , bir sunucuda veya başka bir cihazda çalışır. Koruma gerektiren her cihaza ana güvenlik duvarı yazılımının yüklenmesi gerekir. Bu nedenle, yazılım tabanlı güvenlik duvarları, ana bilgisayarın CPU ve RAM kaynaklarının bir kısmını tüketir.
Yazılım tabanlı güvenlik duvarları, ayrı cihazlara virüslere ve diğer kötü amaçlı içeriklere karşı önemli koruma sağlar. Gelen ve giden trafiği filtrelerken, ana bilgisayarda çalışan farklı programları ayırt edebilirler. Bu, ince taneli bir kontrol seviyesi sağlar, bir programa/programdan iletişimin etkinleştirilmesini mümkün kılarken, başka bir programa/programdan iletişimi engellemeyi mümkün kılar.
Yazılım tabanlı güvenlik duvarları, ayrı cihazlara virüslere ve diğer kötü amaçlı içeriklere karşı önemli koruma sağlar. Gelen ve giden trafiği filtrelerken, ana bilgisayarda çalışan farklı programları ayırt edebilirler. Bu, ince taneli bir kontrol seviyesi sağlar, bir programa/programdan iletişimin etkinleştirilmesini mümkün kılarken, başka bir programa/programdan iletişimi engellemeyi mümkün kılar.
Bulut/barındırılan güvenlik duvarları
Yönetilen güvenlik hizmeti sağlayıcıları (MSSP'ler), bulut tabanlı güvenlik duvarları sunar. Bu barındırılan hizmet, hem dahili ağ etkinliğini hem de üçüncü taraf isteğe bağlı ortamları izlemek için yapılandırılabilir. Bulut tabanlı güvenlik duvarları, tamamen bir MSSP tarafından yönetilebilir, bu da onu güvenlik kaynaklarında boşlukları olan büyük veya yüksek oranda dağıtılmış kuruluşlar için iyi bir seçenek haline getirir . Bulut tabanlı güvenlik duvarları, sınırlı personel ve uzmanlığa sahip daha küçük kuruluşlar için de faydalı olabilir.
