A tűzfal lehet hardveres vagy szoftveres. A hardveres tűzfalakat rendszerint egy teljes infrastruktúra (teljes hálózat) védelmére használják. Egy hardveres tűzfal is szoftverrel működik persze, de az saját, zárt hardveren fut, ebből adódóan nehezebb megkerülni.
Vannak azonban olyan esetek, amikor a használata nem jöhet szóba: például akkor, ha a notebookod szeretnéd megóvni a veszélyektől nyilvános hálózatra csatlakozva (internet kávézó, hotel internet stb.). Ilyenkor egy, az operációs rendszer alá telepített szoftveres tűzfal lehet a segítségedre.
Kis túlzással tűzfal nélkül öngyilkosság kimenni a netre, ennek ellenére a legtöbb felhasználó nem is foglalkozik a tűzfal kérdésével - legnagyobb részben azért, mert a Windows az XP SP2 óta integrált tűzfallal is rendelkezik, amely alapértelmezés szerint aktív. Tehát mindenki, aki Windowst használ, használ tűzfalat is, még akkor is, ha külön szoftver nincs telepítve erre a feladatra. A Windows Tűzfal tudása teljesen rendben is van, bár beállítási lehetőségből azért kevesebbet tartalmaz, mint a dedikált alkalmazások és ha valami egyedi paramétert szeretnél megadni, az nem túl felhasználóbarát.
Az első generációs tűzfalak relatív egyszerűen működnek: előre definiált szabályok alapján (IP-cím, port, protokoll) átengedik vagy éppen blokkolják az adatcsomagokat. A második generációs tűzfalak a kapcsolat állapota alapján egy egyébként nyitott porton is képesek blokkolni a forgalmat: ha olyan adat érkezik, amit a belső hálózatra csatlakozó eszköz nem kért, akkor az nem juthat át a tűzfalon. A harmadik generációs tűzfalak (alkalmazásszintű tűzfalak) már nemcsak a csomagok forgalmi jellemzőit, hanem a csomagok tartalmát is tudják vizsgálni, így képesek megelőzni olyan támadásokat is, amelyek nyitott porton keresztül érkeznek.
NGFW - az új generáció találkozása a MI-vel
Az új generációs tűzfalak (NGFW - Next Generation Firewall) ugyanúgy a harmadik generációba tartoznak, hiszen alapvetően alkalmazásszintű tűzfalakról van szó; a következő generációs megnevezés abból adódik, hogy ezek a tűzfalak az adatcsomagok tartalmát jóval alaposabban, akár mesterséges intelligencia segítségével is tudják ellenőrizni. Nagy szükség van rájuk, mert mind az alkalmazáskörnyezet, mind a felhasználói szokások változtak: rengeteg adathoz például olyan szoftverek segítségével férünk hozzá, amelyek nem szabványos portokat használnak, vagy titkosítják a kommunikációt. Mindez azt eredményezte, hogy a klasszikus tűzfalak hatékonysága jelentősen romlott.
Egy újgenerációs tűzfal portok helyett alkalmazásokra, IP-címek helyett pedig felhasználókra koncentrál (integrálható jogosultságkezelő rendszerekkel), a fenyegetéseket pedig nem egyszerűen felismeri, hanem feltérképezi őket, és a működési jellemzők alapján teszi meg velük szemben a szükséges védekezési lépéseket. Működésük nagyon jól testreszabható, akár úgy is beállíthatók, hogy ami az egyik felhasználónál a normál működési tartományba esik, az másnál riasztási esemény lesz. Hogy az adatforgalom elemzése mennyire tud alapos lenni, azt jól jelzi, hogy egy új generációs tűzfal akár úgy is konfigurálható, hogy figyelje az érzékeny céges adatok áramlását a hálózaton, vagy kulcsszavak alapján blokkolja egyes weboldalakhoz a hozzáférést.
Az új generációs tűzfalak hatékonyságát extra funkciók is növelhetik: ilyen lehet például a VPN vagy az IDS és IPS rendszer. A VPN-t nem kell bemutatni; az IDS egy, az illetéktelen behatolásokra figyelmeztető rendszer, az IPS pedig egy behatolásmegelőző rendszer. Előbbi minták alapján elemzi a hálózati forgalmat, és azonosítja a normálistól eltérő aktivitásokat. Ez a rendszer csak figyelmeztet, míg az IPS be is avatkozik, és megpróbálja elhárítani a behatolási kísérletet. Mindkét rendszer alapvetően előre definiált szabályok, vagy a rendszer korábbi működése során létrehozott statisztikai adatokra támaszkodva működik, de egyre gyakrabban mesterséges intelligencia is elemzi a forgalmat. Ez nemcsak a valószínűsíthető támadások felismerésben segít, hanem a túl szigorú szabályokból adódó téves riasztások számának csökkentésében is.
Az NGFW-k további előnye, hogy nemcsak a belső és a külső hálózat közötti kommunikáció ellenőrzésére használhatók, hanem akár a belső hálózaton zajló adatforgalom folyamatos elemzésére is.
Én is akarok NGFW-t!
Az új generációs tűzfalak már ma is védik a felhasználók adatait, ám ezek többsége hardveres megoldással is párosul, ami egyben azt is jelenti, hogy a nagyvállalati megoldások világában kell többségüket keresni. Az eSecurity Planet toplistája alapján például a Palo Alto Networks, a Fortinet, a Check Point, Barracuda és a Cisco megoldásai kiválóak, de a listán ott a Huawei és a Sophos is. Ha te is szeretnéd védeni otthoni hálózatodat ilyen új generációs tűzfallal, Linux-alapú hardveres tűzfalat javasolnak az ezzel foglalkozó szakoldalak. Itt az eszközök száma alapján érdemes hardvert és szoftvert is választani, majd ennek megfelelő konfigurálásával megtalálni az egyensúlyt a védelmi szint és a sebesség, illetve hardverkövetelmény háromszögében. Az egyik legjobb nyílt forráskódú megoldás jelenleg az OPNsense, ám ezzel már olyan vizekre eveztünk, ahol a felhasználóbarát megoldások ritkák, mint a fehér holló.
A jó hír, hogy a manapság elérhető, modern védelmi windowsos és androidos szoftvercsomagok jelentős része igen hatékony tűzfallal is rendelkezik, ami ritkán riaszt tévesen, ellenben kevés erőforrást fogyaszt és hatékonyan szűri a gyanús adatcsomagokat, kapcsolatokat. Ezt egy megfelelő böngésző-beépülővel kombinálva nagyfokú biztonságot kapsz eszközödön.
