Funzionamento dei firewall di ispezione dei pacchetti stateful
I firewall originali erano sistemi stateless che determinavano se consentire o meno il passaggio di un pacchetto in entrata in base alle intestazioni del pacchetto. Potrebbero bloccare il traffico da/verso determinati indirizzi IP o utilizzare determinati protocolli di rete dall'ingresso o dall'uscita dalla rete.
Tuttavia, questi primi firewall non erano in grado di determinare se un pacchetto era valido nel contesto di una connessione attiva esistente. Ad esempio, un attacco informatico di amplificazione DDoS (Distributed Denial of Service) invia una richiesta con un indirizzo IP di origine falsificato a un servizio legittimo, che invia la risposta all'indirizzo indicato, inviandolo con traffico in entrata indesiderato. Sebbene il contenuto di questa risposta sia valido e non possa violare alcuna regola del firewall, si tratta di una risposta senza una richiesta corrispondente.
Tuttavia, è possibile determinarlo solo con la conoscenza dei pacchetti passati.
I firewall SPI tracciano internamente lo stato delle connessioni di rete in base agli indirizzi IP di origine e di destinazione e ai numeri di porta. Queste informazioni identificano in modo univoco una connessione e consentono al firewall di registrarne lo stato corrente.
Quando il firewall rileva un nuovo pacchetto, cerca lo stato corrente della connessione di rete e determina se il pacchetto è valido o meno nel contesto di tale connessione. Questo controllo aggiuntivo, oltre alle regole firewall utilizzate dal firewall stateless, consente di identificare e bloccare diversi tipi di attacchi, come gli attacchi di amplificazione DDoS, le scansioni ACK e altro traffico dannoso non valido nel contesto.
Caratteristiche principali di un firewall SPI
La crescita di SaaS applicazione fa sì che una percentuale significativa di applicazioni comunichi su HTTPS, limitando l'efficacia del filtraggio del traffico basato su porte e protocolli.
I firewall SPI offrono alcune caratteristiche e funzioni cruciali per un'organizzazione, tra cui:
- Filtraggio dinamico dei pacchetti: La principale caratteristica di differenziazione tra firewall stateless e stateful è il filtraggio dinamico dei pacchetti. La capacità di tracciare lo stato di una connessione di rete e di autorizzare o bloccare i pacchetti basati su di esso consente a questi firewall di identificare il traffico dannoso che un firewall stateless non vedrebbe.
- applicazione-Layer Inspection: Alcuni firewall SPI sono in grado di eseguire un'ispezione limitata del traffico a livello di applicazione (OSI Layer 7) per rafforzare le capacità di tracciamento dello stato. In questo modo è possibile determinare se un pacchetto è legittimo nel contesto di una sessione HTTP, DNS o di un'altra sessione a livello di applicazione.
- scalabilità e Performance: L'esecuzione dell'ispezione stateful del traffico di rete richiede più risorse rispetto a un firewallstateless. I firewall SPI devono disporre delle risorse necessarie per analizzare e proteggere il traffico di rete aziendale su larga scala, riducendo al minimo la latenza e l'impatto sulle prestazioni.
- Registrazione e monitoraggio: I firewall hanno una visibilità vitale sul traffico che tenta di entrare o uscire dalla rete di un'organizzazione. I firewall SPI devono fornire funzionalità di registrazione e monitoraggio per consentire ai team di sicurezza di rilevare i tentativi di intrusione.
- Integrazione della sicurezza: I firewall sono un componente di un'architettura di sicurezza aziendale. Dovrebbero integrarsi con altre soluzioni di sicurezza per migliorare le capacità threat prevention e semplificare la gestione della sicurezza.
Implementazione di firewall SPI nell'infrastruttura di rete
I firewall vengono comunemente distribuiti sul perimetro della rete aziendale, dividendo gli ambienti aziendali interni dalla rete Internet pubblica. In alcuni casi, un firewall SPI può incorporare funzionalità di routing e fungere da soluzione multifunzione.
Quando si selezionano e si distribuiscono firewall di rete, è importante considerare le esigenze aziendali dell'organizzazione e le funzionalità richieste. Alcune cose da considerare includono:
- Next Generation Firewall (NGFW): Tutti gli NGFW offrono funzionalità di ispezione stateful, ma non tutti i firewall SPI hanno le funzionalità di un NGFW. La maggiore gamma di funzionalità di sicurezza integrate degli NGFW li rende più adatti a identificare le minacce informatiche più moderne e sofisticate.
- Firewall basato su IA: L'intelligenza artificiale e l'apprendimento automatico (IA/ML) sono adatti all'analisi di risme di dati di rete e sicurezza per identificare probabili minacce alla rete. Man mano che la tecnologia matura, gli NGFW che incorporano IA e ML supereranno i loro omologhi in termini di capacità di threat prevention e risposta ed efficienza.
- Funzionalità cloud: Con l'espansione dei cloud aziendali, le aziende hanno bisogno di firewall in grado di scalare per soddisfare le esigenze di questi ambienti in rapida evoluzione. Inoltre, i firewall nativi per il cloud possono sfruttare la scalabilità del cloud per ridurre al minimo l'impatto sulle prestazioni e sulla latenza dell'ispezione di sicurezza sia per le soluzioni on-premise che per quelle basate su cloud.
Quantum Force - Firewall e gateway di sicurezza basati su IA
Gli NGFW diCheck Point Quantum Force offrono funzionalità threat prevention basate sull'IA per identificare e bloccare in modo più rapido e accurato i tentativi di attacco contro le risorse IT di un'organizzazione. Scopri di più su cosa cercare in un NGFW scaricando questa guida all'acquisto.
Grazie alla sicurezza avanzata dall'IA e all' threat intelligenceintegrata, Quantum Force offre threat prevention leader del settore per data center, core aziendali, perimetrali e filiali. Per esplorare i vantaggi di Quantum Force per la sicurezza informatica della tua organizzazione, richiedi oggi stesso una demo gratuita.
Per proteggere gli ambienti di rete cloud, è necessario richiedere un demo di Check Point CloudGuard rete firewall.
Feedback