Zapory nowej generacji
- 14.12.2010
Określenie Next Generation Firewall jest często używane przez dostawców technologii, by zaakcentować funkcjonalność wykraczającą poza możliwości starszych zapór. Co takie urządzenia naprawdę potrafią?
Niestety, nowoczesne zapory nowej generacji są jeszcze rzadko wykorzystywane. Według ostrożnych szacunków Gartnera, mniej niż 1% bezpiecznych połączeń firmowych (na przykład wewnątrzfirmowych) odbywa się przez takie firewalle. Stan ten powinien się zmienić. Szacuje się, że nastąpi wzrost do około 35% do roku 2014.
Czego stara zapora nie widzi
Dzisiejsze złośliwe oprogramowanie wykorzystuje bezlitośnie słabości starych zapór sieciowych. Typowa konfiguracja zakładała przepuszczanie lub blokowanie ruchu na podstawie portu. Tak działa większość tanich routerów SOHO, wykorzystywanych także w małych firmach. Ponieważ zazwyczaj otwarty jest tam port 80 (HTTP) oraz 443 (HTTPS) bez żadnej kontroli, połączenie wykorzystujące dowolny protokół może działać na tych portach w sposób, który nie budzi wątpliwości. Niektóre robaki sieciowe potrafią komunikować się na porcie 53, gdzie zazwyczaj pracuje usługa DNS. Ponieważ starsze zapory nie potrafią rozróżnić zapytań DNS na podstawie ruchu, takie połączenia są otwierane, a to błąd. Tymczasem nowoczesny firewall rozróżni ruch nie tyle na podstawie portu, ile zawartości, umożliwiając kontrolę pracy firmowych aplikacji.
Większość dostawców twierdzi, że ich urządzenia mogą kontrolować ruch związany z wieloma aplikacjami, niekiedy na liście jest ich ponad 1000. W połączeniu z usługami katalogowymi administratorzy mogą wcielić politykę, która zakłada na zezwolenie pracy konkretnych aplikacji w firmie, blokując te niepożądane, takie jak sieci peer to peer lub niektóre portale społecznościowe. Jest to skuteczne narzędzie, które pomaga w kontroli niepożądanego ruchu, ale nie sprawia jednocześnie, że aplikacja taka zostanie zdeinstalowana ze stacji roboczych. Zatem zapora sieciowa stanowi jedynie uzupełnienie dobrze dopracowanej polityki bezpieczeństwa, ściśle kontrolującej oprogramowanie na stacjach roboczych.