Kibertəhlükəsizlik. Firewall: düzgün başa düşülməli olan şəbəkə təhlükəsizliyinin təməli

Şəbəkənin qorunması mövzusu açılanda ilk söylənən söz firewall-dur. Onu hər yerdə qururlar: ev routerlərində, korporativ data-mərkəzlərində, bulud infrastrukturunun sərhəd qovşaqlarında. Lakin insanların çoxu onu "nəyisə bloklayan bir şey" kimi başa düşür — və orada dayanır.

Bu, baha başa gələn kobud bir sadələşdirmədir.

Firewall — əvvəlcədən müəyyən edilmiş qaydalara əsasən bağlantıların icazəsini və ya bloklanmasını qərara alan şəbəkə trafikini idarəetmə sistemidir. Bu nə antivirusdur, nə müdaxilə aşkarlama sistemidir, nə də bütün təhdidlərdən qoruyan sehrli bir vasitədir. Bu — fərqli etibar səviyyələrinə malik zonalar arasında nəzarət olunan sərhəd məntəqəsidir.

Nə üçün o təməldir? Çünki istənilən qoruma perimetr nəzarətindən başlayır. Nəzarətsiz girişi olan şeyi qorumaq mümkün deyil. Firewall — çoxqatlı müdafiənin ilk və məcburi qatıdır, onsuz digər alətlər mənasını itirir.

Tarixi inkişaf: paket filtrindən NGFW-ya

Müasir firewall-u anlamaq üçün onun evolyusiyasını izləmək lazımdır — hər nəsil əvvəlkinin bağlaya bilmədiyi konkret təhdidlərə cavab olaraq yaranıb.

1988 — Packet Filtering. İlk firewall-lar IP-paket səviyyəsində işləyirdi. Onlar başlığa baxırdı: mənbə IP-ünvanı, təyinat IP-ünvanı, port, protokol. Parametrlər qaydaya uyğun gəlsə — paket keçirdi. Sadə və sürətli, lakin kor: firewall bu paketin hansı bağlantının hissəsi olduğunu və içəridə nə olduğunu bilmirdi.

1994 — Stateful Inspection. Check Point FireWall-1-i buraxdı və oyunun qaydalarını dəyişdi. Artıq firewall bağlantıların vəziyyətini izləyirdi — TCP-paketin artıq qurulmuş seans çərçivəsində qanuni cavab olduğunu, yeni icazəsiz qoşulma cəhdi olmadığını bilirdi.

2000-ci illər — Application Layer və Proxy Firewall. Təhdidlər tətbiq səviyyəsinə keçdi: HTTP üzərindən hücumlar, veb-trafikdə SQL-inyeksiyalar, icazə verilmiş portlar daxilindəki zərərli məlumatlar. Tətbiq qatı protokollarını anlayan alətlər lazım oldu.

2010-cu illər — NGFW (Next-Generation Firewall). Palo Alto Networks, Fortinet, Check Point yeni nəsil firewall-ları bazara çıxardı — bunlar stateful inspection, dərin paket yoxlaması, IPS, tətbim və istifadəçi nəzarətini bir cihazda birləşdirdi. Bu gün NGFW korporativ bazarın standartıdır.

Firewall-un əsas növləri

Packet Filtering Firewall

Ən sadə növdür. OSI modelinin 3-cü və 4-cü qatlarında (şəbəkə və nəqliyyat) işləyir. Hər paketi müstəqil olaraq meyarlar toplusuna görə təhlil edir: mənbə IP, təyinat IP, mənbə portu, təyinat portu, protokol (TCP/UDP/ICMP).

Nümunə: istənilən IP-ünvandan 443 portuna (HTTPS) daxil olan bütün TCP-trafikinə icazə ver.

Üstünlükləri: yüksək sürət, resurslara az yük, sadə konfiqurasiya. Çatışmazlıqları: bağlantı kontekstini görmür, məzmunu təhlil etmir, IP-saxtakarlığa və tətbiq səviyyəsindəki hücumlara qarşı həssasdır.

Harada rast gəlinir: ev və SOHO-routerləri, Cisco kommutatorlarında əsas ACL-lər.

Stateful Firewall

Vəziyyət cədvəli (state table) vasitəsilə şəbəkə bağlantılarının vəziyyətini izləyir. Paketin qaydalara uyğun qurulmuş TCP-seansnın hissəsi olduğunu bilir. Qanuni cavab trafikini icazəsiz qoşulma cəhdlərindən ayırd edə bilir.

Nümunə: şəbəkə daxilindəki müştəri xarici serverə bağlantı başladır — stateful firewall ayrıca qayda tələb etmədən cavab trafikinə avtomatik icazə verir.

Üstünlükləri: bağlantı kontekstini başa düşür, bir sıra hücumlardan (SYN flood, IP spoofing) qoruyur. Çatışmazlıqları: payload-ı təhlil etmir, tətbiqləri idarə etmir.

Harada rast gəlinir: SMB səviyyəsindəki əksər korporativ firewall-lar, daxili Windows Defender Firewall.

Proxy Firewall

Vasitəçi kimi işləyir: müştəri proxy-yə qoşulur, proxy təyinat serverinə ayrıca bağlantı qurur. Müştəri və server heç vaxt birbaşa əlaqə saxlamır. Proxy tətbiq qatı protokolunu (HTTP, FTP, DNS) tam olaraq ayrıştırır və məzmunu təhlil edə bilir.

Nümunə: korporativ şəbəkədə bütün HTTP/HTTPS-trafik URL-ləri kateqoriyalara görə yoxlayan, sorğuları loglayan və qadağan olunmuş resursları bloklayan Squid proxy-serverdən keçir.

Üstünlükləri: tətbiq səviyyəsində dərin nəzarət, keşləmə imkanı, trafikin tam görünürlüğü. Çatışmazlıqları: yüksək gecikmə, əhəmiyyətli resurs tələb edir, mürəkkəb konfiqurasiya, bütün protokollar üçün uyğun deyil.

Next-Generation Firewall (NGFW)

NGFW — əvvəllər ayrı cihazlar tələb edən imkanların əlavə edilməsi ilə stateful firewall-un inkişafıdır. Əsas komponentlər: Dərin Paket Yoxlaması (DPI), Tətbiq Müəyyənləşdirməsi (portdan asılı olmayaraq tətbiqi müəyyənləşdirir), İstifadəçi Kimliyi (yalnız IP deyil, istifadəçiyə əsaslanan siyasətlər), IPS/IDS (daxili müdaxilə aşkarlama və qarşısını alma sistemi), SSL/TLS Inspection.

Nümunə: NGFW 443-cü portda veb-saytın HTTPS-trafiki deyil, BitTorrent tuneli getdiyini görür — və onu port deyil, tətbiq imzasına əsasən bloklayır.

Üstünlükləri: maksimum görünürlük, çevik siyasət, vahid idarəetmə nöqtəsi. Çatışmazlıqları: yüksək qiymət, güclü avadanlıq tələb edir, mürəkkəb konfiqurasiya.

Bazar liderləri: Palo Alto PA-Series, Fortinet FortiGate, Check Point Quantum, Cisco Firepower.

Web Application Firewall (WAF)

WAF HTTP/HTTPS səviyyəsində veb-tətbiqlərin qorunmasına ixtisaslaşıb. Sorğu və cavabları təhlil edir, OWASP Top 10 sinifindən olan hücumlardan qoruyur: SQL-inyeksiyalar, XSS, CSRF, Path Traversal və digərləri. İki rejimdə işləyir: detection (yalnız loglar) və prevention (bloklayır).

Nümunə: bank internet-bankçılığının önünə WAF yerləşdirir. Sorğu parametrindəki SQL-inyeksiya cəhdi dərhal bloklanır, insidentlər loglanır və SIEM-ə göndərilir.

Harada rast gəlinir: Cloudflare WAF, AWS WAF, F5 BIG-IP ASM, ModSecurity (açıq mənbəli).

Növlər üzrə müqayisə cədvəli

NövOSI qatıMəzmun təhliliSessiya vəziyyətiTətbiq nəzarətiMəhsuldarlıqTipik tətbiqPacket FilteringL3–L4YoxYoxYoxÇox yüksəkRouterlər, əsas ACL-lərStatefulL3–L4YoxBəliYoxYüksəkSMB şəbəkələri, perimetrProxyL7QismənBəliQismənAşağıKorporativ proxyNGFWL3–L7Dərin (DPI)BəliBəliOrtaKorporativ perimetrWAFL7 (HTTP)TamBəliYalnız HTTPOrtaVeb-tətbiqlər

İş prinsipləri: ACL, qaydalar və təhlükəsizlik siyasəti

ACL (Access Control List)

ACL — firewall-un trafikə ardıcıl olaraq yuxarıdan aşağıya tətbiq etdiyi qaydaların sıralı siyahısıdır. İlk uyğun gələn qayda paketin taleyini müəyyənləşdirir — qalanları yoxlanılmır. Qaydaların sırası kritik əhəmiyyət daşıyır.

Qaydalar toplusunun nümunəsi (sintaksis şərtidir):

# Qayda 1: istənilən mənbədən veb-serverə HTTPS-ə icazə ver

ALLOW TCP any → 192.168.1.10:443

# Qayda 2: SSH-ə yalnız administrator şəbəkəsindən icazə ver

ALLOW TCP 10.0.0.0/24 → 192.168.1.10:22

# Qayda 3: daxili resolver-ə DNS-sorğularına icazə ver

ALLOW UDP any → 192.168.1.5:53

# Qayda 4 (implicit deny): qalanların hamısını blokla

DENY any any → any

4-cü qayda implicit deny adlanır — konfiqurasiyada həmişə görünmür, lakin siyahının sonunda həmişə nəzərdə tutulur.

Deny by Default siyasəti

Təhlükəsizliyin fundamental prinsipi: açıq icazə verilməyən hər şey qadağandır. Bu, permit by default-un (qadağan edilməyənə icazə ver) əksidir. Deny by default konfiqurasiyada daha çox səy tələb edir, lakin proqnozlaşdırıla bilən nəticə verir: naməlum trafik heç vaxt defolt olaraq keçməyəcək.

Trafik yoxlanması

Müasir firewall-lar bir neçə yoxlama səviyyəsi həyata keçirir. Stateful inspection paketin qanuni seans çərçivəsinə aid olduğunu yoxlayır. DPI payload-ı tətbiq protokolu səviyyəsinə qədər ayrıştırır. SSL Inspection (TLS-in MITM-şifrəsizləşdirməsi) firewall-a şifrələnmiş trafikin analiz edilməsinə imkan verir — firewall TLS-bağlantısını sonlandırır, şifrəsini açır, analiz edir və serverə yenidən şifrələyir.

Hardware vs Software Firewall

Hardware firewall — trafik yoxlama vəzifələri üçün optimallaşdırılmış, öz prosessoru, yaddaşı və əməliyyat sistemi olan fiziki cihаzdır. Bir neçə min dollardan yüz minlərə qədər başa gəlir. Yüksək məhsuldarlıq (1 Gbit/san-dan data-mərkəzlərində terabitlərə qədər) və yük altında proqnozlaşdırıla bilən iş təmin edir.

Nümunələr: Palo Alto PA-5400, Fortinet FortiGate 6000, Cisco Firepower 9300.

Software firewall — universal serverdə və ya virtual maşın kimi işləyən proqramdır. Məhsuldarlığı işlədiyi avadanlıqla məhdudlaşır. Əhəmiyyətli dərəcədə ucuzdur, buludda miqyaslandırmaq və yerləşdirmək daha asandır.

Nümunələr: pfSense, OPNsense, Windows Defender Firewall, Linux-da iptables/nftables, Palo Alto və Fortinet-dən bulud NGFWv-ləri.

Korporativ infrastrukturada hər iki növ eyni anda istifadə olunur: şəbəkənin perimetrində hardware NGFW, host səviyyəsində və bulud mühitlərində software firewall.

Network Firewall vs Host-Based Firewall

Network firewall şəbəkə seqmentini bütövlükdə qoruyur — zonalar arasındakı sərhəddə durur və ondan keçən bütün trafikə nəzarət edir. Bir firewall arxasındakı yüzlərlə və ya minlərlə hostu örtür. Təhlükəsizlik komandası tərəfindən mərkəzləşdirilmiş şəkildə idarə olunur.

Host-based firewall konkret cihaz səviyyəsində — noutbukda, serverdə, virtual maşında işləyir. Məhz həmin hostdakı trafikə nəzarət edir, haradan gəldiyindən asılı olmayaraq: internetdən, lokal şəbəkədən və ya eyni network firewall-un arxasındakı başqa bir hostdan.

Nə üçün hər ikisi vacibdir? Network firewall bir seqment daxilindəki hostlar arasındakı trafiqi (lateral movement) görmür. Təcavüzkar artıq şəbəkənin içindədirsə, host-based firewall onun hərəkət imkanlarını məhdudlaşdıran son müdafiə xəttidir. Zero Trust konsepsiyası məhz bunun üzərində qurulub: daxili şəbəkəyə etibar şərtsiz olmamalıdır.

SOC və korporativ infrastrukturda praktiki tətbiq

Tipik korporativ arxitektura

Böyük şirkət şəbəkəni zonalanma prinsipinə görə qurur. DMZ (Demilitarized Zone) ictimaiyyətə açıq xidmətləri ehtiva edir — veb-server, poçt relay-i, VPN-konsentrator. Internal network — iş stansiyaları və daxili xidmətlər. Restricted zone — kritik sistemlər (verilənlər bazaları, ERP, maliyyə sistemləri). Hər zona arasında deny by default siyasəti ilə firewall durur.

İnternetdən trafik → perimetrdəki NGFW → DMZ → Daxili NGFW → daxili serverlər → Database firewall → verilənlər bazaları. Hər keçiddə — qaydalar, loglama, xəbərdarlıq.

SOC-dakı rolu

SOC (Security Operations Center) firewall-dan eyni anda həm məlumat mənbəyi, həm də reaksiya aləti kimi istifadə edir. Firewall logları hadisələrin korrelyasiyası üçün SIEM-ə (Splunk, IBM QRadar, Microsoft Sentinel) gedir. Anormal trafik — gözlənilməz portda bağlantı, gedən trafikin kəskin artması, məlum C2-serverlərlə bağlantılar — xəbərdarlıq yaradır.

İnsident zamanı SOC analitiki firewall-da IP-ünvanı və ya domen dərhal bloklaya bilər — bu, məhdudlaşdırma üzrə ən sürətli hərəkətlərdən biridir. Yetkin SOC-larda bu, SOAR-platformaları vasitəsilə avtomatlaşdırılıb: SIEM təhdidi aşkar etdi → SOAR firewall-a əmr göndərdi → IP insanın iştirakı olmadan saniyələr içində bloklandı.

Üstünlüklər və məhdudiyyətlər

Firewall-un yaxşı etdiyi şeylər

Çevik siyasətə əsasən şəbəkə resurslarına girişi idarə edir. Loglama vasitəsilə şəbəkə trafikinin görünürlüğünü təmin edir. Lazımsız portları və xidmətləri bağlayaraq hücum səthi azaldır. Şəbəkəni fərqli etibar səviyyəli zonalara seqmentləşdirir. IPS ilə birlikdə məlum exploitləri və hücum imzalarını bloklayır.

Firewall-un etmədiyi şeylər

İcazə verilmiş trafik daxilindəki təhdidlərdən qorumur — əgər təcavüzkar 443 portunu istifadə edərsə, packet filtering firewall onu fərq etməz. Oğurlanmış hesab məlumatlarını aşkar etmir. SSL Inspection olmadan şifrələnmiş trafikin görünüşü yoxdur (SSL Inspection isə öz məxfilik və məhsuldarlıq risklərini yaradır). İcazə verilmiş qaydalar çərçivəsində fəaliyyət göstərən daxili təhdidlərdən qorumur. Endpoint protection, DLP, IAM və digər müdafiə komponentlərini əvəz etmir.

Müasir problemlər

Bulud mühitləri

Ənənəvi perimetr modeli bulud mühitlərində işləmir. AWS, Azure və ya GCP-də fiziki şəbəkə sərhədi yoxdur — internet üzərindən əlaqə saxlayan virtual seqmentlər, mikro-xidmətlər və API-lər var. Bulud provayderləri yerli alətlər təklif edir (AWS Security Groups, Azure NSG), lakin bunlar korporativ NGFW-lardan əhəmiyyətli dərəcədə sadədir. Həll — Cloud-Native NGFW (Palo Alto VM-Series, Fortinet FortiGate VM) və ya SASE (Secure Access Service Edge) — firewall funksiyalarının bulud xidmətinə köçürüldüyü modeldir.

Zero Trust

Zero Trust konsepsiyası deyir: heç kimə və heç nəyə defolt olaraq etibar etmə — nə xarici istifadəçilərə, nə daxili hostlara, nə xidmətlərə. Bu, perimetr müdafiəsindən hər ayrı resursun qorunmasına prinsipial keçiddir. Zero Trust-arxitekturasında firewall qalır, lakin onun rolu dəyişir: perimetri qorumaqdansa — mikro-seqmentasiya və şərqi-qərb trafikinə (şəbəkə daxilindəki hostlar arasında) nəzarət.

Şifrələnmiş Trafik Yoxlaması

Bu gün internet trafikinin 90%-dən çoxu TLS ilə şifrələnib. Bu o deməkdir ki, ənənəvi firewall yalnız bağlantının metadata-sını görür — IP və port — payload-ı isə yox. Təhdidlər HTTPS daxilində gizlənir. SSL/TLS Inspection (bəzən SSL Interception adlanır) firewall-a trafikin şifrəsini sürətlə açmağa imkan verir, lakin bu yeni problemlər yaradır: məhsuldarlığın azalması, bütün cihazlarda etibar edilən kök sertifikatının zəruriliyi, məxfilik üzrə hüquqi məsələlər.

Key Takeaways

Firewall — nəzarətdir, sehrli vasitə deyil. O, qaydaları nə qədər düzgün yazılıb və ətrafındakı şəbəkə arxitekturası nə qədər düşünülübsə, o qədər effektiv işləyir.

Deny by default — seçim deyil, standartdır. Trafikinə defolt olaraq icazə verən istənilən siyasət — mütləq tapılacaq bir təhlükəsizlik boşluğudur.

Firewall növü vəzifəyə görə seçilir. Packet filtering əsas seqmentasiya üçün uyğundur; WAF — veb-tətbiqlər üçün; NGFW — korporativ perimetr üçün. Universal həll yoxdur.

Loglama məcburidir. Logsuz firewall — kor keşikçidir. SIEM ilə inteqrasiya firewall-u maneədən kəşfiyyat məlumatları mənbəyinə çevirir.

Host-based və network firewall bir-birini tamamlayır. Biri olmadan digəri kor nöqtələr buraxır: şəbəkə daxilindəki lateral movement və ya host səviyyəsindəki təhdidlər.

SSL Inspection zəruridir, lakin ehtiyat tələb edir. Onsuz trafikin 90%-nə kordur. Onunla — şifrəsi açılmış məlumatların düzgün idarə olunmasına cavabdehlik daşıyırsınız.

Nəticə: sistem kimi firewall, sistemin özü kimi deyil

Firewall — istənilən şəbəkə arxitekturasının əvəzolunmaz elementidir. Onsuz seqmentləşdirilmiş, idarə olunan infrastruktur qurmaq mümkün deyil. Lakin kibertəhlükəsizliyin tarixi güclü perimetr firewall-u olan, lakin phishing məktubu, oğurlanmış hesab məlumatları və ya veb-tətbiqdəki zəiflik vasitəsilə sındırılmış şirkətlərin nümunələri ilə doludur.

Firewall istifadəçilərin təlimini, son cihazlarda EDR-i, zəifliklərin idarə edilməsini, IAM-i və minimal imtiyaz siyasətini əvəz edə bilməz. O, yalnız bütün bu elementlərlə birlikdə işləyir.

Firewall-u düzgün başa düşmək — onun sistemdəki yerini başa düşməkdir: zəruri təməl, lakin dam, divar və qala deyil. Təhlükəsizlik dərinliyə görə qurulur, firewall isə bir çox qatdan yalnız birincisidir.

Kiber təhlükəsizlik sahəsini dərindən öyrənmək istəyirsinizsə, JET School-da Kibertəhlükəsizlik kursuna qoşulun!