Güvenlik duvarı türleri nelerdir kısaca şu şekilde sıralayalım; Paket Süzmeli Güvenlik Duvarları (packet fitlering FW), Kararlı Paket İzleme GD (stateful packet inspection FW), Uygulama Geçityolu GD (application gateway FW), Devre Düzeyli Geçityolu (circuit level FW). Bu başlıkları açıklamadan kısaca güvenlik duvarı hakkında bilgi verelim; Temel olarak firewall ağ sistemlerini internet ortamından gelecek kötü kodlar, virüsler, hackerlar ve zararlı web siteleri gibi birçok olumsuz içerikten korumak için tasarlanmış donanımlardır.
Güvenlik Duvarı türleri
Paket Süzmeli GD (Packet Filtering FW)
Paket filtreleme, en basit paket izleme metodudur. En yaygın kullanımı yönlendirici veya dual-homed geçit yollarındandır.
Paket filtreleme işlemi şu şekilde yapılmaktadır:
- Her bir paket güvenlik duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı kurallar veya filtreler doğrultusunda incelenir.
- Paketin kabul edilme veya reddedilme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir.
- Her bir paket diğer paketlerden bağımsız şekilde incelenir.
Paket filtreleme;
- Kaynak IP adresi
- Hedef IP adresi
- Protocol tipi (TCP/UDP)
- Kaynak port
- Hedef port
gibi verileri tarar ve belirtilen eylemleri ona göre işletir. Örneğin izin verilen bir uygulama için bu veriler geçerli ise izin işletilmektedir. Aksi hâlde o paketleri durdurmak yolu ile o uygulamanın çalışması engellenmiş olur.
Paket süzmeli güvenlik duvarı, oldukça hızlıdır ve maliyeti düşüktür. Bu güvenlik duvarı kullanıldığında; istemcilerin ek bir ayarlama yapmasına gerek yoktur. Uygulamalardan bağımsız çalışır.
Paket süzmeli güvenlik duvarı, “ya hepsi ya hiçbiri” mantığıyla çalıştıklarından bazen tehlikesiz paketleri engelleyebilecekleri gibi bazen de tehlikeli paketlere izin verebilirler. Bu yüzden izinlerin ve kısıtlamaların çok iyi hazırlanması gerekir.
Kararlı Paket İzleme GD (Stateful Packet Inspection FW)
Paket filtreleme mantığıyla çalışır. Fakat paketleri daha geniş kapsamlı tarayarak paket başlık bilgisini edinir ve bu bilgiyi dinamik durum tablosuna ekler. Bu işlem, sıradaki tüm paketler için uygulanır ve başlık bilgileri (packet header information) karşılaştırılarak bağlantının aynı olup olmadığı belirlenir.
Bu güvenlik duvarı ile izin ve yasaklar aşağıdaki değişkenler doğrultusunda verilir:
- Kaynak IP adresi
- Hedef IP adresi
- Protokol tipi (TCP/UDP)
- Kaynak port
- Hedef port
- Bağlantı durumu
Son maddedeki Bağlantı durumu değişkeni, dinamik durum tablosuna göre belirlenmektedir. Bağlantı aynı ise izinler işler. Bağlantının durumunu hatırlayabilme özelliği sayesinde paket filtrelemeden daha güvenliklidir.
Dinamik paket inceleyen güvenlik duvarları basit paket filtreleyen güvenlik duvarlarına göre daha fazla güvenlik sağlar. Dinamik paket inceleyen güvenlik duvarları paket başlık bilgisini daha derinden incelediğinden istenmeyen veya hakkı olmayan erişimlere göre daha iyi bir koruma sağlar.
Fakat paket filtreleme ile mantıkta çalıştıklarından bazen tehlikesiz paketleri engelleyebilecekleri gibi bazen de tehlikeli paketlere izin verebilmektedir. Ayrıca daha geniş kapsamlı inceleme yaptıklarından ayarlanmaları daha karışık hâle gelebilmekte.
Uygulama Geçit yolu/Vekil Sunucular GD (Application Gateway/Proxies FW)
Uygulama geçit yolları/vekil sunucular, iki uç nokta arasında bir aracı olarak düşünülebilmektedir. İki ağ ortamının arasına kurulurlar. Bir bağlantı kaynaktan ağ geçidi/vekil sunucuya; diğeri ağ geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağ geçidi/vekil sunucu aracılığı ile görüşebilmektedir.
Bu güvenlik duvarı, paket filtreleme ve dinamik paket izlemeden farklı olarak uygulama geçityolu/vekil sunucu iletişimin en uç noktasındaki tüm durumları görüntüleyebilmektedir ve bu sayede daha ayrıntılı inceleme yapabilmektedir. Örneğin, bir yazı içeren posta mesajı ile resim içeren posta mesajı arasındaki farkı anlayabileceği gibi Java kullanan web sayfası ile kullanmayan arasındaki farkı da bilir.
Güvenlik açısından uygulama geçit yolu/vekil sunucu izleme yöntemi, diğer paket izleme yöntemlerine göre oldukça mükemmeldir.
Dezavantajı ise uyguladığı bu geniş kapsamlı tarama yüzünden iletişimi yavaşlatmasıdır. Kendisine bağlanan istemci sayısı arttıkça yavaşlık artacaktır. Ayrıca kendisine bağlanan istemciler özel yazılımlara ve ayarlamalara ihtiyaç duyar.
Geçityolu Donanımı GD (Circuit Level Gateway FW)
Paket filtreleyen güvenlik duvarlarından farklı olarak geçityolu donanımı, sadece paketleri incelemez, TCP veya UDP oturumlarını izler. Bir oturum kurulduktan sonra geçityolu donanımları bu oturuma ait bütün paketlerin geçmesi için portu açık bırakır. Port oturum kapanana kadar açık kalır.
Performans açısından avantajlıdır. Fakat açılmış oturumdan gelen tüm paketlere izin verileceğinden güvenlik açığı meydana gelebilir.
- emresupcin
- Güvenlik
- 1 Şubat 2021 - 14:11
- Yorum Yok
- 333 Görüntülenme
application gateway firewall firewall firewall türleri firewall türleri nelerdir güvenlik duvarı güvenlik duvarı türleri packet filtering firewall paket filtreleme
