Firewall je uređaj za mrežnu bezbednost koji dozvoljava ili blokira tokove mrežnog saobraćaja koji se odvijaju između nebezbedne (untrusted) zone (npr. internet) i bezbedne (trusted) zone (npr. privatna ili korporativna mreža). Firewall treba da spreči neželjeni saobraćaj, blokira „upade“ u lokalnu mrežu i zaštiti računare u njoj.
Kao„saobraćajni policajac“ u mreži, Firewall prati sav saobraćaj i omogućava ili onemogućava protok određenog saobraćaja, pa predstavlja najbolju lokaciju za primenu bezbedonosnih polisa. Zbog toga kažemo da je Firewall strateški najbitnija bezbedonosna komponenta u mrežnoj infrastrukturi.
Firewall datira još od ranih dana Interneta, kada je World Wide Web bio poznat kao Advanced Research Projects Agency Network (ARPANET). Kao i Internet, Firewall se menjao i evoluirao i prerastao u nešto mnogo više od mehanizma za filtriranje saobraćaja ili gatewaya.
Pogledajte kako je izgledao razvojni put Firewalla:
Access Control Lists (ACL)
U početku su posao Firewalla obavljale kontrolne liste za pristup (Access Control Lists – ACL), često na ruterima. ACL su definisana pravila na osnovu kojih se pristup mreži određenim IP adresama dozvoljava ili nedozvoljava. Prednost ACL-a su skalabilnost i visoke performanse, ali ACL prepoznaje samo packet header što pruža samo delić informacija o saobraćaju. Zato korišćenje samo ACL filtriranja nema kapacitet da drži pretnje van mreže.
Proxy Firewall
Proxy Firewalli imaju ulogu posrednika – oni prihvataju sav saobraćaj koji ide u mrežu tako što oponašaju stvarnog primaoca saobraćaja u mreži. Nakon inspekcije, ako odluči da dozvoli pristup, proxy šalje informacije na odredišni računar. Odgovor odredišnog računara takođe se šalje proxyju koji zatim prepakuje informacije sa izvornom adresom proxy servera. Tokom ovog procesa, proxy prekida komunikaciju između dva računara tako da samo mašina u mreži komunicira sa spoljnim svetom.
Proxy Firewalli obavljaju kompletnu inspekciju saobraćaja i donose odluke o propuštanju (ili zabrani) saobraćaja na osnovu specifičnijih, granularnih informacija. Ovako detaljna kontrola pristupa je privlačna mrežnim administratorima, ali problem je što svaka aplikacija mora da ima svog proxyja na nivou aplikacije. Ovakve mreže takođe imaju problem smanjenih performansi saobraćaja i mnoga ograničenja u podršci za aplikacije, kao i problem sveukupne funkcionalnosti. To na kraju dovodi do problema sa skalabilnošću što znatno otežava uspešnu implementaciju.
Iz nabrojanih razloga, Proxy Firewalli nisu naišli na širu primenu. Čak i na vrhuncu popularnosti 90-ih godina prošlog veka, problemi sa performansama i skalabilnošću su značajno ograničavali njihovo usvajanje.
Stateful Inspection Firewall
Stateful inspection (inspekcija stanja) ili stateful filtriranje je treća generacija firewalla. Ovaj firewall obavlja 2 funkcije:
Klasifikuje saobraćaj preko odredišnog porta (npr. p/80 = HTTP)
Prati stanje saobraćaja prateći svaku interakciju u svakoj pojedinačnoj konekciji, sve dok se ta konekcija ne završi.
Ove osobine pružaju veću funkcionalnost nego kontrola pristupa jer imaju sposobnost da dozvole ili ne dozvole pristup ne samo na osnovu porta ili protokola, već i na osnovu istorije paketa u tablici stanja. Kada se paket primi, u tablici stanja se proverava da li je konekcija već uspostavljena ili da li je zahtev za dolaznim paketom napravio interni host. Ukoliko se nijedno od ta dva ne pronađe, paket se ocenjuje na osnovu pravila bezbednosne polise.
Iako je ovakav firewall skalabilan i transparentan za korisnike, dodatan nivo zaštite usložnjava infrastrukturu mrežne bezbednosti. Takođe, postoji i problem sa dinamičkim aplikacijama poput SIP i H.323.
Unified Threat Management (UTM)
UTM rešenja su nastala da bi se izvršila konsolidacija Stateful Inspection Firewalla, AV-a i IPS-a u jedan uređaj. Vremenom je definicija UTM-a proširena tako da on uključuje i mnoge druge funkcije mrežne bezbednosti.
Važno je reći da uspeh UTM-a zavisi od efektivnosti odluka koje se donose na bazi stateful inspection firewalla i koje prethode funkcijama koje obavlja UTM. To je zato što UTM komponente u jedinstvenom uređaju jako efektno obavljaju bezbednosne servise, ali kada ima puno bezbednosnih komponenti u mreži, za bezbednost je bitna pristupna tačka.
UTM pruža brojne bezbednosne funkcije u jednom proizvodu, ali je fundamentalna tehnologija kontrole pristupa nepromenjena.
Next-Generation Firewall (Firewall sledeće generacije)
Firewall sledeće generacije (NGFW) je stvoren kao odgovor na sve sofisticiranije aplikacije i malvere.
Sve dok su aplikacije koristile strogo definisane portove i protokole, klasičan firewall uređaj je bio dovoljan za zaštitu, odnosno za blokiranje saobraćaja na određenom portu i/ili protokolu. Ono što se u većini mreža propuštalo kroz firewall uređaje, bio je http (sufrovanje mrežom), odnosno port 80. Tvorci raznih aplikacija, ali i sajberkriminalci, brzo su shvatili da mogu korišćenjem http da „prođu“ moćnu i skupu zaštitu koju pružaju firewall uređaji, tako da će danas skoro sve aplikacije raditi bez problema korišćenjem samo http, a i porta 80 – Skype, p2p, torrent itd.
