FortiGate, pfSense a MikroTik: jak fungují firewally a který si vybrat?

Rozhodnout se pro určitý typ firewallu může být oříšek. Hodně záleží na tom, jakým způsobem potřebujete filtrovat provoz a jaké máte nároky na bezpečnost. Abychom vám to usnadnili, sepsali jsme jak firewally fungují a rozdíly mezi řešeními pfSense, MikroTik a FortiGate, které nabízíme v MasterDC. Z praxe jsme dali dohromady i pár užitečných tipů, na co si dát při výběru pozor.

Veronika Jakubová
  • Veronika Jakubová

  • 28. 01. 2021
  • 9 min čtení
Zkopirovat do schránky

Firewall je běžnou součástí nejen firemního IT, ale i osobních počítačů. Jeho činnost je užitečná při jakékoli internetové komunikaci. Během ní dochází ke vzájemnému kontaktu dvou sítí, které mají zpravidla různou úroveň zabezpečení i důvěryhodnosti. Firewall tyto sítě bezpečně odděluje a zajišťuje, aby veškerý provoz přicházející do chráněné sítě prošel filtrací.

Během filtrace dochází ke kontrole provozu a rozhoduje se, zda je bezpečné ho pustit do chráněné sítě. Právě způsob, jakým se jednotlivé firewally rozhodují o bezpečnosti či nebezpečnosti daného druhu provozu, je od sebe vzájemně odlišuje.

Pro lepší představu komunikace v počítačových a telekomunikačních sítích poslouží referenční model sedmivrstvé architektury. Každá vrstva má jasně definované funkce potřebné pro komunikaci. Firewally se od sebe liší hlavně podle úrovně, v níž provoz filtrují.

Schéma referenčního modelu ISO/OSI
Referenční model ISO/OSI, příklad řešení komunikace v počítačových a telekomunikačních sítích pomocí vrstevnatého modelu, zdroj: matureplus.4fan.cz

Rozdělení firewallů podle způsobu filtrace provozu

Starší firewally kontrolují pouze zdroj provozu a jeho cíl. Kontrola zdrojové a cílové IP adresy a portu se odehrává na úrovni síťové vrstvy. Firewall tak blokuje provoz podle toho, z jakého uzlu nebo sítě přichází.

Jenže data se pro přenos segmentují do menších částí, tzv. paketů, a každý paket v sobě nese jen zlomek informace o povaze dat. Kompletní zpráva se sestavuje až v cíli, tedy na straně příjemce. Proto může firewall zkoumající pouze kontrolní informace (zdroj a cíl) jen těžko zjistit, jestli původní zpráva obsahuje či neobsahuje nějaké hrozby. Dalším problémem je i fakt, že původ paketu se dá snadno zfalšovat. Aby firewall dokázal rozpoznat škodlivý obsah v paketu, musí mezi jednotlivými pakety hledat souvislosti.

Nevíte si rady s výběrem?

Nechte to na nás. V nabídce MasterDC máme firewally se základními i pokročilými funkcemi. S výběrem řešení či jejich kombinací vám poradíme a připravíme jej přímo pro váš server nebo interní firemní síť.

Více o firewallech

Hledání souvislostí a analýza aplikační vrstvy

Pokročilejší firewally, firewally druhé generace, zkoumají pakety na úrovni transportní vrstvy a pakety si uchovávají, dokud o nich nemají dostatečné množství informací. Firewall druhé generace už dokáže rozpoznat, zda je příchozí paket součástí stávajícího spojení, nebo začátkem nového. Může se rovněž stát, že paket není součástí žádného spojení. Zvýšené množství individuálně příchozích paketů je strategií určitých DoS (Denial of Service) útoků, jejichž cílem je firewall přetížit.

Aby firewall odhalil DoS útok, musí ke každému dalšímu paketu přistupovat s vědomím o tom předchozím. Jistým způsobem si pamatovat jeho „stav“, proto se pro tyto firewally vžil pojem stavové firewally. Základní přenosové mechanismy ale vyřizují každý požadavek samostatně, bez ohledu na zpracování požadavku předchozího, a proto se souvislosti mezi pakety ztrácejí.

Skryté hrozby se nejúčinněji odhalují až ve vrstvě aplikační, v níž už o paketech lze zjistit mnohem více, než jen odkud přicházejí, kam směřují a data jaké povahy přenášejí. Firewall, který zkoumá paket na úrovni aplikační vrstvy, tak činí přes aplikační bránu (proxy) a umí odhadnout, jestli se paket pokouší obejít jeho bránu pomocí protokolu na povoleném portu nebo jestli používá protokol ke špatným účelům. Toto řešení je ale náročnější na hardware, má vyšší latenci a požadavky zpracovává pomaleji.

Nejsofistikovanější firewally se označují jako firewally nové generace (next generation firewall). Kombinují funkce výše zmíněných, navíc ale implementují i tzv. „deep inspection“, řekněme tedy hloubkovou inspekci. Na rozdíl od stavových a aplikačních firewallů zkoumají velmi detailně celý paket a jeho obsah a představují tak účinnou ochranu před malwarovými útoky a jinými vnějšími hrozbami. Přesný výčet funkcí u těchto zařízení v podstatě neexistuje, jelikož se jedná o pokročilá a flexibilní komerční řešení.

  Plusy Minusy Úroveň ochrany
Paketové firewally Nenáročnost na výkon, nízká cena a rychlá filtrace Povrchová kontrola, nekontroluje aplikační vrstvu a protokoly, neověřuje uživatele. Vyšší zranitelnost – nekontroluje data obsažená v paketech.
Stavové firewally Kontrolují celé spojení, včetně dat obsažených v paketech. Neověřují uživatele a mohou podléhat DoS útokům. Poskytují standardní úroveň ochrany.
Aplikační firewally Sítě zcela oddělují a zajišťují anonymitu uživatele. Nepodléhají geolokačním omezením. Nejsou kompatibilní se všemi síťovými protokoly, vyžadují dodatečnou konfiguraci a mohou mít negativní vliv na výkon. Pokud se správně nakonfigurují, poskytují vysokou ochranu webových aplikací a serverů.
Firewally nové generace Hloubková analýza paketů, odfiltrování spamu a kontrola jednotlivých aplikací. Vyšší cena, pro správnou funkčnost vyžadují konfiguraci. Nasazení doporučujeme provádět s odborníkem. Zajišťují velmi vysokou úroveň ochrany.

Vybrat softwarový nebo hardwarový firewall?

Vedle toho jak detailně potřebujete provoz filtrovat, musíte vyřešit ještě jednu důležitou otázku. Chcete firewall instalovat na jednotlivá zařízení, nebo si pořídit hardwarovou variantu a zdroje firewallu tak od zařízení v interní síti zcela oddělit?

Počítejte s tím, že softwarová varianta bude muset využívat určitou část RAM a CPU daného zařízení a může tedy snižovat jeho výkon. Pokud chcete firewallem ochránit několik zařízení, je potřeba ho implementovat na každé zvlášť a stejně tak ho pokaždé nakonfigurovat a udržovat jeho aktuálnost. Když je ale firewall přítomen v daném zařízení, dokáže během filtrování příchozí a odchozího provozu lépe rozlišovat jednotlivé programy.

Ve formě hardwaru je firewall od interní sítě oddělen a na rozdíl od softwaru má své vlastní zdroje. Filtruje data, která odcházejí z a přicházejí do interní sítě, nikoli data proudící mezi zařízeními umístěnými v síti. Zvláštně pro rozsáhlé IT infrastruktury a sítě je hardwarový firewall praktičtější. Jeho konfigurace a údržba se provádí na jednom místě, současně ale vyžaduje určité odborné znalosti.

MikroTik: stavový firewall v podobě hardware

Firma MikroTik vyvíjí tzv. RouterOS, jehož součástí firewall je. Ten má vlastní hardware RouterBOARD, který lze využít jako aktivní síťový prvek. Výkonný router s operačním systémem RouterOS (založeném na Linuxu) kromě routingu podporuje i server VPN (virtuální privátní síť) a právě firewall.

Firewall operačního systému RouterOS spadá do kategorie stavových firewallů, takže dokáže odhalit pakety, které nejsou součástí spojení a jsou nedůvěryhodné. Firewall od MikroTiku filtruje IP adresy, protokoly portů, síťová rozhraní, zdrojové MAC adresy a možnosti TCP (protokol transportní vrstvy).

Vlastní hardware (RouterBOARD) zajišťuje vysoký výkon a vyšší odolnost vůči přetížení. Veškeré konfigurace a údržba se tak provádějí centrálně přes SSH, program Winbox, který kopíruje textové rozhraní, nebo grafické rozhraní dostupné přes webový prohlížeč.

PfSense: softwarový stavový firewall

Podobným způsobem jako firewall v RouterOS filtruje provoz i stavový firewall open source softwaru pfSense. PfSense si, stejně jako MikroTik, pamatuje informace o zkontrolovaných připojeních, díky čemuž dokáže další pakety snáze a rychleji odbavovat. Data uchovává v tabulce stavů, která zahrnuje např. zdroj, protokol a číslo portu, což je dostatek údajů pro identifikaci konkrétního i souvisejícího spojení.

Firewall není jedinou funkcionalitou pfSense, podobně jako u RouterBOARDU. Může fungovat jako LAN, WAN nebo VPN router, hotspot či DNS server. Poslouží i k přesměrování portů nebo překladu síťových adres (NAT).

Výhoda softwarové varianty spočívá v její flexibilitě a škálovatelnosti. Zdroje pro provoz firewallu lze podle potřeby postupně zvyšovat, nebo naopak snižovat. Spustíte ho tedy na jednom zařízení, ale můžete ho zprovoznit i na samostatném serveru a ochránit rozsáhlejší síť.

PfSense stojí na základech FreeBSD, operačního systému typu UNIX, proto je kompatibilní s takovými systémy. Instalovat ho můžete na libovolný hardware, který splňuje FreeBSD Hardware Notes, ale i do virtuálních prostředí (VMware, KVM, atp.). Správa systému se provádí jednoduše přes uživatelské rozhraní.

FortiGate: firewall nové generace pro specifické potřeby

FortiGate firewall od společnosti Fortinet využívá umělou inteligenci a strojové učení pro hloubkovou analýzu paketů („deep packet inspection“), tedy specializovanou kontrolu i složitějších protokolů.

Díky automatickým updatům z Fortinet cloudu je firewall schopen rozpoznat nejen známé útoky, ale i nejnovější typy virů a jiných obsahových hrozeb nebo doposud neznámého malware. Známé útoky a škodlivé kódy typu worm rozpozná ještě před tím, než zasáhnou konkrétní zařízení nebo síť a automaticky je zmírní.

FortiGate firewally jsou k dispozici v hardwarových variantách vhodných především pro firemní sítě nebo k propojení poboček, jelikož zvládají objemnější datové toky. Pro clustery nebo infrastruktury, k nimž je problém přistupovat fyzicky, např. máte-li část svého IT u Amazon Web Services nebo Azure, jsou dostupné softwarové verze FortiGate firewallu.

Vedle firewallů nové generace poskytuje firma i specializované aplikační firewally pro ochranu webových aplikací (Web Application Firewall) nebo elektronické pošty (Antispam filtr).

Funkce MikroTik, pfSense a FortiGate firewallu přehledně

Základní funkce MikroTik pfSense FortiGate
Vysoká dostupnost NE ANO ANO
Komfortní web management NE ANO ANO
Zónový firewall / filtrace IP NE ANO ANO
Překlad síťových adres (NAT) ANO ANO ANO
Přesměrování portů ANO ANO ANO
Pokročilé funkce NE NE ANO
Hloubková analýza NE NE ANO
Detekce a prevence průniků (IPS/IDS) NE NE ANO
Antivirus NE NE ANO
Blokace botnet IP/Domain NE NE ANO
Identifikace neznámého malware NE NE ANO
Identifikace ohniska malware NE NE ANO
Kontrola textových dokumentů NE NE ANO
Dvoufaktorová autentizace NE NE ANO

Na co se zaměřit při výběru firewallu?

Finální volba nemusí padnout na jeden konkrétní firewall. Různé typy můžete kombinovat a vytvořit tak vícevrstvé řešení pro silnější ochranu. Pro rozhodování bude ale klíčová velikost IT infrastruktury, pro niž vybíráte bezpečnostní řešení.

V prvé řadě zvažte, zda chcete instalovat softwarový firewall na každé zařízení zvlášť, nebo je výhodnější implementace na samostatný hardware. Oddělení firewallu na samostatný hardware je nákladnější a k ruce budete potřebovat někoho, kdo už má se setupem a správou firewallu nějaké zkušenosti.

Doporučujeme se zaměřit také na propustnost v pps (packets per second) a Mbps. Podle tohoto údaje pak budete volit výslednou hardwarovou nebo softwarovou konfiguraci. Zvláště filtrace objemnějšího průtoku dat vyžaduje výkonný hardware. Neopomeňte ani rozdíly mezi intenzitou provozu v různých denních či nočních hodinách.

Počet a typ firewallových bran by měl reflektovat bezpečnostní nároky dané sítě. Klientům, kteří mají vysoké požadavky na bezpečnost a nakládají s citlivými daty, nejčastěji implementujeme firewally nové generace.

Firewally jsou ve své podstatě velmi flexibilní a při správné konfiguraci a údržbě vás dobře ochrání i nekomerční varianty jako třeba pfSense. Využijte možnosti kombinovat několik řešení, díky níž vytvoříte ze svého IT nedobytnou pevnost. A pokud si s výběrem nebo konfigurací firewallu nevíte rady, obraťte se na nás.

Líbil se vám článek? Ano / Ne