Next generation firewally – pancíř proti kybernetickým útokům

Nedodržujete ve firmě pravidla požární ochrany třeba tím, že necháváte permanentně otevřené protipožární dveře? Pak vás může kontrola hasičského sboru „obdarovat“ pořádně tučnou pokutou. Pokud na druhou stranu necháte otevřené softwarové protipožární dveře (firewall), nebo dokonce žádné nemáte, sankcí od „softwarové policie“ se opravdu bát nemusíte. Kybernetického útoku ovšem ano a věřte, že jeho následky vás mohou stát řádově víc než pokuta od hasičů. Přečtěte si, k čemu slouží firewally nové generace a jak zvýší vaši kybernetickou bezpečnost.
Next generation firewally – pancíř proti kybernetickým útokům

Jak jsme psali už v článku o infostealerech, 70 % českých firem nedrží krok s aktuálním kyberzabezpečením. Pojďme tedy parafrázovat jeden známý výrok: „Neptejte se, co může kybernetická bezpečnost udělat pro vás – ptejte se, co můžete udělat vy pro kybernetickou bezpečnost svojí firmy!“. Proč? Třeba proto, že kybernetická kriminalita a počty hackerských útoků narůstají meziročně o vyšší stovky procent – své by o tom mohly po ztrátě dat vyprávět velké podniky i státní instituce. Zcela zásadním prvkem – dalo by se dokonce říct „první linií ochrany kyberbezpečnosti– jsou právě firewally. A právě o nich budou následující řádky.

Firewall – co to je?

Analogii s protipožárními dveřmi jsme v úvodu článku nepoužili jen tak náhodou. Původní význam slova „firewall“ skutečně označoval protipožární dveře či zeď, která měla zajistit, aby se požár v budově již dále nešířil. Později se tento výraz používal pro podobná využití v letadlech nebo automobilech, do IT se dostal až koncem osmdesátých let minulého století. K čemu slouží firewally v IT?

Firewally jsou tím prvním strážcem i jakousi opevněnou branou, která stojí mezi počítači vaší firmy (respektive vaší firemní sítí) a internetem (tedy vnější sítí). Jejich cílem je poskytnout firmě ochranu před hrozbami, které by do ní mohly proniknout z internetu. Brána firewall tedy vytváří bezpečnostní bariéru mezi důvěryhodnou sítí a nedůvěryhodnou sítí, jako je internet. Využívá k tomu sadu pravidel, podle kterých kontroluje, zda je komunikace v rámci síťového provozu bezpečná. Jakmile ale firewall narazí na nějakou anomálii, která nastaveným pravidlům neodpovídá, upozorní na možné nebezpečí nebo podezřelé datové pakety rovnou zablokuje.

→ Tip: mohlo by vás zajímat, jak posílíte svoji ochranu firemních dat.

 

Vývoj od prvních generací až po next generation firewally

Co je to firewall, to jsme si stručně (a obecně) vysvětlili, abychom se ale mohli více věnovat problematice tzv. next generation firewallů (tj. firewallů nové generace), musíme trochu zabrousit do historie a specifikovat funkce a význam jednotlivých generací.

Nultá generace firewallů

Jednalo se o routery (síťové směrovače), které poskytovaly jen naprosté minimum bezpečnostních prvků a v zásadě měly podobnou funkci jako dnešní routery, tj. směrování datových paketů a zajišťování síťové komunikace.

První generace firewallů

První generace firewallu (1988) využívala tzv. paketový filtr. Ten monitoroval síťové adresy a porty datových paketů. Následně určoval, zda mají být povolené nebo naopak zablokované. Tento základní systém položil základy dnešních bezpečnostních funkcí moderních firewallů. S expanzí internetu a rostoucím počtem kybernetických útoků se význam firewallů výrazně zvýšil.

Druhá generace firewallů

Počátkem devadesátých let dvacátého století vyvinuli odborníci společnosti AT&T druhou generaci firewallů. Ty staví na základech svých předchůdců, ale rozšiřují svoji funkčnost až na transportní vrstvu (4. vrstva) modelu OSI. To umožňuje firewallům analyzovat a uchovávat datové pakety do chvíle, než se shromáždí dostatečně relevantní informace pro rozhodnutí o jejich stavu. Tento proces, známý jako stavová kontrola paketů, sleduje všechna síťová připojení a určuje, zda je konkrétní paket začátkem nového připojení, součástí již existujícího připojení, nebo jestli není spojený s žádným dosavadním připojením.

Třetí generace firewallů

V roce 1994 vznikla třetí generace známá také jako transparentní aplikační firewall, a to přidáním funkcí, jako je IP filtr a transparentní socket. Hlavní předností těchto funkcí je rozpoznávání chování konkrétních aplikací a protokolů. Aplikační firewall v sobě tedy spojuje klasické stavové kontrolní technologie a hloubkovou kontrolu aplikací. Analyzuje protokoly na aplikační vrstvě (např. u protokolů HTTP a FTP) a identifikuje potenciální odchylky v jejich chování, které mohou znamenat kybernetický útok. Firewall tak může identifikovat situace, kdy se nežádoucí aplikace nebo služba snaží obejít ochranu nebo dochází ke zneužívání konkrétního komunikačního protokolu. To poskytuje silnější a cílenější ochranu proti různým hrozbám v síti.

Nová generace firewallů (NGFW – next generation firewall)

A konečně se dostáváme v zásadě až do současnosti, byť next generation firewally datují svůj počátek až do roku 2012. Z hlediska funkčnosti a principu se stále jedná o firewally třetí generace (tj. aplikační firewally) s tím rozdílem, že poskytují výrazně „širší“ a „hlubší“ kontrolu v aplikačním zásobníku. To znamená, že kromě hloubkové kontroly paketů, portů, protokolů a jejich blokování přidávají také pokročilou kontrolu na úrovni aplikací a blokování malwaru.

→Tip: Přečtěte si, co je malware a jak se proti němu bránit.

NGFW (next generation firewally) podrobně

Statické blokování nežádoucích datových paketů je sice chvályhodná věc, která má i v současnosti své opodstatnění, ale doba se přeci jen trochu změnila a internet „zdivočel“. Na kybernetickou bezpečnost mají v současnosti zásadní vliv aktuální hrozby – webové útoky malwaru, cílené útoky, útoky na aplikační vrstvě a další. Pravdou je, že více než 80 % veškerého malwaru kybernetických útoků využívá slabá místa v aplikacích, ne přímo slabiny v síťových komponentách a službách. Jinými slovy si se zcela základními firewally (s jednoduchou kontrolou paketů a uzavíráním portů) už dnes – v éře cloudových služeb a mobilních zařízení – nemusí nutně vystačit.

Bezpečnostní funkce next generation firewallu jsou tedy o poznání komplexnější než funkce tradičního firewallu, který je schopný blokovat a povolovat průchod pouze na základě IP adresy. NGFW díky systémům detekce a ochrany proti narušení (IDS/IPS) umí určit, zda datové pakety neobsahují malware či jiné kybernetické hrozby.

NGFW umožňují detailní kontrolu datových toků podle známých protokolů a aplikací, což zahrnuje i schopnost blokovat například HTTP spojení, pokud rozpoznají pokusy o tunelování nebo nesrovnalosti v datových hlavičkách. Jejich součástí jsou také systémy pro detekci útoků (IDS), které skenují provoz podobně jako antivirové programy, používají databázi signatur a heuristickou analýzu k identifikaci potenciálních kybernetických hrozeb. Zvyšují bezpečnost tedy i tím, že dokážou identifikovat neobvyklé nebo podezřelé vzorce v síťovém provozu, jako jsou například DDoS útoky.

→ Tip: Zjistěte více informací v článku DDoS útoků je 5× více než před 2 lety – jak se můžete bránit?

Co znamenají výše uvedené vlastnosti a funkcionality next generation firewallů v praxi?

 • Lepší kontrola šifrování – NGFW lze nastavit tak, že kontrolují příchozí a odchozí šifrovaný SSL provoz předtím, než pakety dosáhnou svého cíle.
 • Lepší detekce kybernetických útoků – díky souběžnému monitorování více vrstev mají NGFW výrazně „lepší přehled“ o typech kybernetických útoků, „ví“, na kterou aplikaci je každý datový paket cílený, a podle toho aplikují další pravidla a intenzivnější kontroly.
 • Reakce na aktuální hrozby – NGFW mohou využívat interní nebo i externí služby, aby zabránily kybernetickým útokům. Mohou tak načítat data o hrozbách a automaticky aktualizovat vlastní pravidla filtrování na základě nových aktualizací.
 • Výrazné zvýšení produktivity – díky možnosti podrobného filtrování provozu, ať už na úrovni aplikací nebo konkrétních webových stránek, budou mít vaši zaměstnanci přístup pouze ke zdrojům, které potřebují ke své práci. Spadá sem i bezpečná možnost pracovat kdykoliv a odkudkoliv díky vzdálenému přístupu do IT infrastruktury prostřednictvím SSL VPN.
 • Získáte komplexní pohled na bezpečnost IT ve vaší firmě a schopnost lépe se bránit ztrátě dat.
 • Možnost nahradit více jednoúčelových zařízení v síti komplexním NGFW řešením.
 • Funkce korelace a automatizace – filtrace důležitých událostí, automatické nastavení detekčních jednotek podle typu provozu v síti, zohlednění útoků podle jejich nebezpečnosti v konkrétním prostředí. Interní korelační nástroje automaticky vyhodnocují zařízení, které by mohly být kompromitované nebo vzdáleně ovládané.
 • Flexibilní reporting a možnost napojení prakticky na libovolný SIEM.

Určitou nevýhodou next generation firewallů je, že někdy analyzovaný paket posuzují několikrát. Tím se zvyšuje doba zpoždění, což v některých případech může negativně ovlivnit výkonnost celé sítě. Existuje i určité riziko, že se v rozsáhlém kódu firewallu může objevit chyba, která by mohla ohrozit celý systém. Je to jakási daň za extrémně pokročilé kontrolní a bezpečnostní funkce – jak známo, s narůstající komplexitou (jakéhokoliv) systému bohužel klesá i jeho spolehlivost, resp. roste počet chyb.

NGFW z odlišného úhlu pohledu

Dosud jsme rozebírali problematiku next generation firewallů z technického hlediska. V kostce lze prohlásit, že zatímco tradiční firewally poskytují základní úroveň ochrany, NGFW poskytují mnohem sofistikovanější a cílenější bezpečnostní funkce.

Jaká jsou další hlediska?

 • Zlepšení bezpečnostních politik – NGFW poskytují pokročilé možnosti reportování a analýzy, což umožňuje IT specialistům lépe porozumět povaze hrozeb a efektivněji reagovat na incidenty. Detailní reporty a analýzy pomáhají identifikovat slabá místa v síti a poskytují cenné informace pro zlepšení bezpečnostních postupů a politik společnosti.
 • NGFW zvyšují důvěru a spokojenost zákazníků – demonstrují závazek firmy chránit zákaznická data. I takovýto faktor – pokud se správně komunikuje – může znamenat konkurenční výhodu a způsob, jak si udržet loajální klientelu.
 • Vyšší náklady – vysoké počáteční náklady a potřeba odborných znalostí pro správnou konfiguraci a správu next generation firewallů mohou být především pro menší firmy určitou překážkou. Možností je samozřejmě alternativní řešení, jako jsou systémy sjednoceného řízení hrozeb nebo IT outsourcing.

 

Tipy pro výběr next generation firewallu

Při výběru NGFW doporučujeme zvážit následující:

 • Při výběru NGFW je důležité ověřit jeho možnosti konfigurace. Měl by pokrývat širokou škálu funkcí, být rozšiřitelný a snadno použitelný.
 • Výkonnost je zcela zásadní, může totiž ovlivnit celou síť. Je důležité, aby firewall disponoval výkonovou rezervou, podporoval multithreading a umožňoval škálování na moderní síťové standardy.
 • Stejně jako klasické firewally mohou být NGFW hardwarové, softwarové nebo cloudové, jejich vhodnost závisí na velikosti a typu vaší firmy i vašich potřebách kybernetického zabezpečení.
 • Pro úspěšné zprovoznění i správu firewallu je zásadní kvalitní zákaznická podpora, a to zejména při nastavování, upgradu a řešení problémů.

→ Tip: Přečtěte si případovou studii týkající se instalace next generation firewallů pro společnost Bohemia Properties.

Vyplatí se používat next generation firewall?

I když se dnes většina aplikací může zdát neškodná, útočníci jsou stále zdatnější a dokáží proniknout do sítí novými způsoby. S tím, jak se sítě stávají složitějšími, je i kontrola jejich stávajícího zabezpečení a slabých míst náročnější. Je proto potřeba i vylepšovat SW či HW, který je kontroluje. Takovým vylepšením jsou právě NGFW, které si s rozpoznáním hrozeb poradí mnohem lépe než předchozí verze firewallů. Bezpečnostní hledisko by mělo být na prvním místě, a z hlediska bezpečnosti nezbývá než konstatovat: ano, vyplatí se.

→ Tip: Mohla by vás zajímat stručná příručka kybernetické bezpečnosti.

 

Obraťte se na nás

Spolupracujeme s řadou výrobců NGFW – vždy vybereme takové řešení, které nejlépe odpovídá vašim specifickým potřebám. V sektoru IT nás nic nezaskočí. Pohybujeme se v něm už více než 25 let. Naše technická divize má 100+ specialistů, což nám zajišťuje 100% zastupitelnost a dostupnost 24/7. Obraťte se na nás, rádi pomůžeme i vám.

Řešení pro veřejný i komerční sektor

-
S námi už vám nikdo neohrozí data
-
S námi máte vždy IT náklady pod kontrolou
-
Dostupnost 24/7 a 100% zastupitelnost
-
Vstupní audit zdarma

Máte zájem o vyzkoušení nebo dotaz?

Máte-li nějaké dotazy, nechte nám na sebe kontakt. V pracovní době se vám nejpozději do 24 hodin ozveme. Pokud nemáte kontaktní formuláře rádi, kontaktujte nás na telefonním čísle: (+420) 270 002 811 nebo e-mailu: poptavky@totalservice.cz.
- Vaše data jsou chráněna.
Zaujal vás článek?
Sdílejte ho na sociálních sítích

Buďte s námi ve spojení

-
TOTAL SERVICE a.s.

Metropolitan Building
U Uranie 954/18
170 00 Praha 7
-

Vzdálená podpora:

get.teamviewer.com/
totalservice