Co to jest firewall i czym różni się od NGFW?

Firewall to jedno z tych pojęć, które wszyscy znają, a mało kto dokładnie je rozumie. Kojarzy się z murem, z barierą, z czymś, co „blokuje”. W praktyce nowoczesny firewall robi znacznie więcej, a różnica między zwykłym firewallem a NGFW decyduje o tym, czy sieć jest naprawdę chroniona, czy tylko wygląda na chronioną.

Ten wpis wyjaśnia, jak firewall naprawdę działa, gdzie kończy się filtrowanie pakietów, a zaczyna aktywna ochrona i dlaczego samo posiadanie urządzenia klasy NGFW niczego jeszcze nie gwarantuje.

Spis treści

Firewall w jednym zdaniu

Firewall to urządzenie lub oprogramowanie, które kontroluje ruch sieciowy na podstawie zdefiniowanych reguł. Decyduje, co może wejść do sieci i co może z niej wyjść.

To cała definicja. Reszta to szczegóły, ale to właśnie w szczegółach leży różnica między realną ochroną a jej pozorem.

Jak działa klasyczny firewall

Klasyczny firewall pracuje na dwóch poziomach.

Pierwszy to packet filtering. Urządzenie patrzy na nagłówki pakietów: adres źródłowy, adres docelowy, port, protokół. Jeśli pakiet pasuje do reguły, przechodzi. Jeśli nie, zostaje odrzucony. Prosto i szybko.

Drugi to stateful inspection. Tutaj firewall śledzi stan połączeń. Wie, że dany pakiet należy do sesji, która została wcześniej poprawnie nawiązana, i nie traktuje każdego pakietu w oderwaniu od reszty. To był duży krok naprzód wobec prostego filtrowania stateless, w którym urządzenie nie pamiętało żadnego kontekstu.

Problem polega na tym, że taki firewall widzi porty i adresy. Nie widzi, co naprawdę płynie przez dany port. Dla niego ruch na porcie 443 to po prostu ruch na porcie 443.

Dlaczego sam firewall już nie wystarcza

Kiedyś reguła „port 443 otwarty” oznaczała w praktyce „ruch do stron WWW”. Dziś przez port 443 przechodzi prawie wszystko: aplikacje SaaS, komunikatory, transfer plików, tunele VPN, aktualizacje, a także ruch złośliwego oprogramowania, które celowo udaje zwykłe połączenie HTTPS.

Firewall, który widzi wyłącznie numer portu, jest ślepy na to, co się w tym porcie dzieje. Tak samo przepuszcza legalną aplikację biznesową i narzędzie, którym atakujący wyprowadza dane z firmy. Napastnicy doskonale o tym wiedzą i od dawna to wykorzystują.

Do tego dochodzi szyfrowanie. Zdecydowana większość ruchu w sieci jest dziś zaszyfrowana. Dla klasycznego firewalla oznacza to, że treść połączeń jest niewidoczna. Widzi kopertę, nie widzi listu.

I tu wchodzi NGFW.

Co to jest NGFW

NGFW (Next Generation Firewall) to firewall, który rozumie ruch na poziomie aplikacji, a nie tylko portów i adresów. Do klasycznego filtrowania dokłada warstwę analizy tego, co faktycznie płynie przez sieć.

W praktyce NGFW łączy w jednym urządzeniu kilka funkcji, które kiedyś kupowało się osobno:

  • Application control. Rozpoznaje konkretne aplikacje niezależnie od portu, na którym działają. Potrafi odróżnić firmowy system ERP od prywatnego komunikatora, nawet jeśli oba korzystają z portu 443, i nałożyć na każdy z nich inną politykę.
  • IPS/IDS. Wykrywa i blokuje próby wykorzystania znanych podatności, skanowania sieci i typowe wzorce ataków, zanim dotrą do serwerów.
  • Filtrowanie URL i kategorii. Kontroluje dostęp do stron i usług według kategorii, reputacji i konkretnych adresów.
  • Inspekcja SSL/TLS. Rozszyfrowuje ruch, sprawdza jego zawartość i ponownie go szyfruje. Bez tego połowa realnych zagrożeń pozostaje poza zasięgiem, bo chowa się w połączeniach szyfrowanych.
  • Kontrola po tożsamości. Reguły można budować per użytkownik i per grupa, po integracji z Active Directory lub LDAP, a nie tylko per adres IP. To ogromna różnica przy egzekwowaniu polityk i przy późniejszej analizie zdarzeń.
  • Threat intelligence i sandbox. Podejrzany plik trafia do izolowanego środowiska, gdzie zostaje uruchomiony i obserwowany. Jeśli zachowuje się jak malware, zostaje zablokowany, zanim trafi do użytkownika.

Innymi słowy, klasyczny firewall pyta „skąd, dokąd, którym portem”. NGFW pyta dodatkowo „co to właściwie jest, kto to wysyła i czy to bezpieczne”.

Firewall a NGFW, konkretna różnica

Najprościej ująć to tak:

  • Klasyczny firewall filtruje ruch na podstawie adresów, portów i stanu połączenia.
  • NGFW robi to samo, a do tego rozumie aplikacje, zagląda do ruchu szyfrowanego, wykrywa ataki, wiąże reguły z użytkownikami i analizuje podejrzane pliki.

To nie jest ulepszona wersja tego samego. To zmiana tego, na jakim poziomie w ogóle patrzymy na ruch. Zwykły firewall pilnuje granicy. NGFW pilnuje granicy i jednocześnie rozumie, co przez tę granicę przechodzi.

Gdzie firewall pasuje w architekturze sieci

Firewall ma kilka naturalnych miejsc w sieci i warto je rozróżniać, bo to nie jest jedno urządzenie do wszystkiego.

Na brzegu sieci oddziela infrastrukturę firmy od internetu. To klasyczne zastosowanie, które wszyscy mają na myśli, mówiąc „firewall”.

W segmentacji wewnętrznej stoi między strefami sieci, na przykład między siecią biurową, produkcyjną i serwerową albo między poszczególnymi VLAN. To właśnie ta rola decyduje, czy po włamaniu atakujący porusza się swobodnie po całej firmie, czy zatrzymuje się na pierwszej granicy.

W centrum danych kontroluje nie tylko ruch wchodzący i wychodzący, ale też ruch między samymi serwerami. To istotne, bo duża część incydentów rozwija się właśnie wewnątrz, już po przełamaniu brzegu.

Dobrze zaprojektowana sieć nie ma jednego firewalla „na wejściu”. Ma przemyślany podział na strefy i kontrolę ruchu między nimi. Piszemy o tym szerzej przy okazji projektowania sieci wysokodostępnych.

Firewall a proxy

Firewall i proxy łatwo pomylić, bo oba stoją w środku ruchu i oba potrafią go filtrować. Różnica jest w roli. Firewall przepuszcza albo blokuje ruch między sieciami na podstawie reguł. Proxy działa jak pośrednik, który sam nawiązuje połączenie w imieniu klienta albo serwera, dzięki czemu widzi całą treść tego ruchu i może w nią ingerować.

W praktyce te dwa światy coraz mocniej się przenikają. Kiedy NGFW wykonuje inspekcję SSL/TLS, technicznie zachowuje się jak proxy, bo przerywa połączenie, zagląda do środka i zestawia je na nowo. Z drugiej strony forward proxy przejmuje część zadań, które kojarzymy z firewallem, na przykład kontrolę tego, dokąd wychodzą użytkownicy. Granica między jednym a drugim bywa więc płynna, a w dobrze poukładanej sieci firewall i proxy pracują obok siebie, nie zamiast siebie.

Jeśli chcesz zrozumieć, jak dokładnie działa proxy i czym różni się forward proxy od reverse proxy, rozkładamy to na części w osobnym wpisie o proxy.

Firewall a Zero Trust

Firewall na brzegu sieci realizuje stary model bezpieczeństwa: twardy na zewnątrz, miękki w środku. Wszystko, co już jest w sieci, traktowane jest jak zaufane. Problem w tym, że gdy atakujący raz przełamie brzeg, ma pole do popisu.

Zero Trust odwraca tę logikę. Domyślnie nic nie jest zaufane, każde żądanie dostępu jest weryfikowane, a uprawnienia są maksymalnie ograniczone. NGFW ze świadomością tożsamości i segmentacją to jeden z podstawowych elementów, na których buduje się takie podejście. Rozwijamy ten wątek we wpisie o błędach w modelu Zero Trust.

Firewall a NIS2

Dyrektywa NIS2 wprost oczekuje środków technicznych ograniczających ryzyko i pozwalających wykrywać incydenty. NGFW z włączonym IPS, kontrolą aplikacji i inspekcją ruchu szyfrowanego jest tu naturalnym elementem układanki.

Trzeba jednak powiedzieć jasno: samo posiadanie urządzenia klasy NGFW nie oznacza zgodności z dyrektywą. Liczy się konfiguracja, monitoring i reagowanie. Rozwijamy to w osobnym tekście o tym, jak przygotować organizację na NIS2.

Dlaczego wdrażamy Hillstone

W projektach opartych na NGFW stawiamy na sprzęt Hillstone i robimy to z konkretnych powodów, nie z przyzwyczajenia.

Portfolio Hillstone odpowiada na realne potrzeby, które spotykamy u klientów. Seria E sprawdza się na brzegu sieci i w oddziałach. Seria A to wydajne urządzenia z myślą o wymagających środowiskach, ze wsparciem dla ZTNA, czyli kontroli dostępu w duchu Zero Trust. Seria X odpowiada za ochronę w centrach danych, gdzie liczy się wysoka przepustowość i obsługa dużej liczby jednoczesnych sesji.

Na urządzeniach działa system StoneOS, a zabezpieczenia pracują w modelu single-pass, w którym cały ruch przechodzi przez wszystkie mechanizmy kontroli w jednym przebiegu. W praktyce oznacza to, że kontrola aplikacji, IPS, antywirus i filtrowanie URL mogą działać jednocześnie, a wydajność urządzenia nie spada przy tym do zera. Do tego dochodzi Cloud Sandbox do analizy podejrzanych plików, mechanizmy detekcji zagrożeń wspierane przez uczenie maszynowe oraz centralne zarządzanie wieloma urządzeniami z jednego miejsca.

Jest jeszcze rzecz, o której mało kto mówi wprost: stosunek możliwości do ceny. Hillstone daje funkcje z najwyższej półki bez najwyższej półki cenowej, a przy skali kilku czy kilkunastu urządzeń ma to realne znaczenie dla budżetu.

Jeśli w firmie działa już sprzęt innego producenta, na przykład Fortinet, nie każemy go zmieniać. Fortinet w wielu środowiskach sprawdza się świetnie, więc jeśli robi swoje, zostaje. Umiemy pracować w środowiskach mieszanych i dobieramy rozwiązanie do sytuacji klienta, a nie odwrotnie.

Najczęstszy błąd: „mamy NGFW” to nie to samo, co „mamy ochronę”

Najdroższy NGFW nie ochroni sieci, jeśli jest źle skonfigurowany. A z naszego doświadczenia źle skonfigurowany jest zaskakująco często.

Typowe grzechy, które spotykamy przy przeglądach:

  • reguły „any to any”, które przepuszczają wszystko, bo kiedyś „coś nie działało” i tak zostało,
  • wyłączona inspekcja SSL/TLS, przez co cała analiza treści dotyczy tylko niewielkiego wycinka ruchu,
  • polityki, których nikt nie przeglądał od lat i które opisują sieć, która dawno się zmieniła,
  • brak logowania i monitoringu, więc urządzenie coś blokuje, ale nikt nie wie, co i dlaczego.

Różnica między „mamy sprzęt” a „mamy realną kontrolę” nie leży w cenniku. Leży w konfiguracji, przeglądach i codziennym utrzymaniu. Właśnie dlatego u nas wdrożenie NGFW to nie jednorazowe podłączenie pudełka, tylko projekt zabezpieczeń sieciowych z jasno opisanymi regułami i ich uzasadnieniem. Więcej o tym, jak do tego podchodzimy, znajdziesz w naszej ofercie zabezpieczeń sieciowych.

Firewall to nie mur. Mur stoi i nic nie robi. Dobry firewall podejmuje decyzje tysiące razy na sekundę, a te decyzje są tylko tak dobre, jak ręka, która je ustawiła.

Devology
Polityka prywatności

Ta strona korzysta z ciasteczek oraz skryptów analitycznych, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne. Aby zapoznać się z naszą polityką prywatności, kliknij tutaj.