Palomuuri on yksi suosituimmista tietokoneen ja verkon tietoturvalaitteista, joita ammattilaiset käyttävät suojellakseen yrityksen tietotekniikkavaroja ja -verkkoja.

Aivan kuten rakennusten paloturvallinen ovi, joka suojaa huonetiloja mahdolliselta tulipalolta ja estää liekkien leviämisen rakennuksen sisällä, tietoturvapalomuurilla on samanlainen tehtävä estää haitallisten pakettien ja liikenteen pääsy suojattuun tietokoneomaisuuteesi ja vahingoittamasta sitä.

Tällä sivustolla olen kirjoittanut satoja artikkeleita Ciscon ASA-palomuurien ympärille, jotka edustavat klassista esimerkkiä laitteistopohjaisista verkkopalomuureista.

On kuitenkin olemassa myös muuntyyppisiä palomuureja, kuten isäntäpohjaisia palomuureja, joita käsittelemme ja vertailemme myös tässä kirjoituksessa.

Mikä on verkkopohjainen palomuuri

Kuten nimikin kertoo, tämäntyyppistä palomuuria käytetään pääasiassa kokonaisten tietokoneverkkojen suojaamiseen hyökkäyksiltä ja myös verkkoliikenteen ohjaamiseen niin, että vain sallitut paketit pääsevät palvelimille ja tietotekniselle omaisuudelle.

Yllä olevassa kuvassa näkyy useita Cisco ASA -verkkopohjaisia palomuureja. Kuten näet, nämä ovat laitteistolaitteita, jotka sisältävät useita Ethernet-portteja verkkoon liittämistä varten (pienistä ja keskisuurista yrityksistä suuriin yritysverkkoihin).

Nämä portit ovat yleensä 1 Gbps:n portteja, joissa on sähköiset RJ45-liittimet, mutta niistä löytyy myös optisia portteja (esim. 1 Gbps:n, 10 Gbps:n nopeusportit jne.), jotka on tarkoitettu liitettäviksi valokaapeleihin pidempien etäisyyksien ja suuremman kaistanleveyden saamiseksi.

Verkkoyhteydellä olevan palomuurin fyysiset portit kytketään verkkoyhteyksien kytkijöihin (switcheihin) palomuurien toteuttamiseksi lähiverkkoon sisällä.

Yksinkertaisimmillaan palomuurin useita fyysisiä portteja voidaan liittää eri verkkokytkimiin, jotta eri verkkosegmenttien välille saadaan valvottu pääsy.

Verkkopalomuurin suosituin käyttötapaus on, kun sitä käytetään Internetin rajalaitteena suojaamaan yrityksen lähiverkkoa Internetiltä, kuten alla olevasta kaaviosta käy ilmi:

Ylläoleva verkko on verkkopalomuurin suosituimpia käyttötapauksia sellaisena kuin sitä käytetään yritysverkoissa. Kuten näet, palomuurin yksi portti on kytketty verkkoon Switch-1, johon on kytketty kaikki yritysverkon LAN-asiakaslaitteet.

Palomuurin toinen fyysinen portti on kytketty toiseen verkkoon Switch-2, joka on yhteydessä Web-palvelimeen.

Ylläolevassa skenaariossa olemme siis onnistuneet erottamaan julkisesti käytettävissä olevan Web-palvelimen muusta yritysverkosta tietoturvalaitteen avulla. Tämä on hyvä tietoturvakäytäntö, koska jos hakkeri vaarantaa Web-palvelimen, suojattuun sisäiseen suojattuun verkkoon ei pääse käsiksi.

Palomuuri on määritettävä siten, että se sallii Internetistä tulevan liikenteen Web-palvelimelle tietyssä TCP-portissa (portti 443 HTTP:tä varten tai portti 80 HTTP:tä varten).

Kaiken muun liikenteen palomuuri estää (esim.

Palomuuri sallii myös lähtevän liikenteen yritysverkosta Internetiin, jotta sisäiset lähiverkkoasemat pääsevät Internetiin.

Kuten edellä kuvatussa käyttötapauksessa on kuvattu, verkon palomuuri vastaa verkkopakettien sallimisesta tai epäämisestä verkkojen välillä (OSI-kerroksen 3. ja 4. kerroksen pääsysääntöjen avulla). Tämä on palomuurin perustoiminto.

Palomuurien uusimmat sukupolvet (ns. ”seuraavan sukupolven palomuurit”) tarkastavat liikennettä myös sovelluskerroksella, jotta voidaan tunnistaa haitallista liikennettä ja hyökkäyksiä sovellustasolla (esim. viruksia, tunkeutumisyrityksiä, SQL-injektiohyökkäyksiä jne. jne.).

Mikä on isäntäpohjainen palomuuri

Kuten nimikin kertoo, isäntäpohjainen palomuuri on isäntätietokoneisiin tai -palvelimiin asennettu ohjelmistosovellus, joka suojaa niitä hyökkäyksiltä.

Vaikka yllä kuvattua verkko ei olekaan suositeltava todellisiin skenaarioihin nähden, niin se kuitenkin havainnollistaa isäntäpohjaisen palomuurin käyttötapaa.

Huomaa, että paras vaihtoehto olisi yhdistää sekä verkkopalomuuri että isäntäpalomuuri paremman suojan saamiseksi käyttämällä kerroksittaista lähestymistapaa.

Isäntäpohjainen palomuuri asennetaan suoraan ohjelmistona isäntäkoneeseen, ja se valvoo tiettyyn isäntäkoneeseen tulevaa ja sieltä lähtevää liikennettä.

Klassinen esimerkki isäntäpalomuurista on Windows-palomuuri, joka on oletuksena kaikissa Windows-käyttöjärjestelmissä.

Koska tämäntyyppinen suojaus on sidottu itse isäntään, se tarkoittaa, että se suojaa isäntää riippumatta siitä, mihin verkkoon se on kytketty.

Jos olet esimerkiksi kytketty yritysverkkoon, olet jo suojattu verkkopalomuurilla. Jos nyt otat kannettavan tietokoneesi, jossa on isäntäpohjainen palomuuri, ja liität sen ulkoiseen WiFi-verkkoon, palomuuri suojaa tietokonetta edelleen.

Jotkut isäntäpohjaiset palomuurit tarjoavat lisäksi suojaa myös sovellushyökkäyksiä vastaan. Koska tämäntyyppinen suojaus on asennettu varsinaiseen isäntäkoneeseen, sillä on näkyvyys isäntäkoneessa käynnissä oleviin sovelluksiin ja prosesseihin, joten palomuuri voi suojata haittaohjelmilta, jotka yrittävät tartuttaa järjestelmän.

Yksi tällaisen palomuurin heikko kohta on se, että hyökkääjä, joka on onnistunut hankkimaan isäntäkoneeseen järjestelmänvalvojatason käyttöoikeudet, voi kytkeä sen pois päältä.

Jos isäntäkoneeseen tunkeutuu järjestelmänvalvojan oikeudet omaava hakkeri, isäntäkoneeseen pohjautuvan palomuurin voi kytkeä pois päältä, mikä ei ole mahdollista verkkoon pohjautuvista palomuureista.

Verkkopohjaisten ja isäntäpohjaisten palomuurien vertailu

Ominaisuudet	Verkkopalomuuri	Isäntäpalomuuri
Sijoitus	Verkon sisäpuolella (joko klo rajalla/reunalla tai lähiverkon sisällä)	Kullakin isännällä
Hardware/Ohjelmisto	Hardware-laite	Ohjelmistosovellus
Suorituskyky	Korkea suorituskyky (kaistanleveys, samanaikaiset yhteydet jne)	Matalampi suorituskyky (koska se on ohjelmistopohjainen)
Suojan taso	Verkkosuojaus ja sovellustason suojaus (jos käytetään seuraavan sukupolven palomuuria)	Verkkosuojaus ja sovellustason suojaus (joissakin malleissa)
Käyttökohde-cases	Mostly in Enterprise Networks	Both in personal computers in home networks and also in Enterprise networks as additional protection on hosts.
Verkon segmentointi	Suuri segmentointi ja valvonta VLAN / Layer 3 tasolla, mutta ei voi rajoittaa liikennettä samaan VLANiin kuuluvien isäntien välillä	Suuri mikrosegmentointi isäntätasolla, vaikka isännät kuuluisivat samaan VLANiin.
Liikkuvuus	Kun palomuuri on kerran toteutettu verkon sisällä, sitä on hyvin vaikea poistaa tai muuttaa.	Suuri liikkuvuus, koska se on sidottu jokaiseen isäntäkoneeseen.
Hallinta	Voidaan hallita keskitetystä palomuurin hallintapalvelimesta tai suoraan laitteessa itsessään	Pitkä hallita, kun verkossa on satoja isäntiä.
Helppo ohittaa	Hyökkääjät eivät voi ohittaa verkkopalomuureja.	Helppo ohittaa. Jos hyökkääjä vaarantaa isäntäkoneen hyväksikäytön avulla, hakkeri voi kytkeä palomuurin pois päältä.

Palomuurin voi kytkeä pois päältä.