Che cos’è un firewall?

Un firewall è un dispositivo di sicurezza di rete che monitora il traffico di rete in ingresso e in uscita e autorizza o blocca i pacchetti di dati in base a un insieme di regole di sicurezza. Il suo scopo è creare una barriera tra la rete interna e il traffico in ingresso proveniente da fonti esterne (come internet) per bloccare il traffico dannoso, ad esempio virus e hacker.

I firewall analizzano attentamente il traffico in ingresso in base a regole prestabilite e filtrano il traffico proveniente da fonti non protette o sospette, allo scopo di prevenire gli attacchi. I firewall controllano il traffico presso i punti di ingresso nel computer, ovvero le porte, dove le informazioni vengono scambiate con i dispositivi esterni. Ad esempio, “L’indirizzo di origine 172.18.1.1 è autorizzato a raggiungere la destinazione 172.18.2.1 sulla porta 22".

Gli indirizzi IP potrebbero essere paragonati a delle case e i numeri delle porte alle stanze interne. Solo le persone affidabili (indirizzi di origine) sono autorizzate ad accedere alla casa (indirizzo di destinazione); il filtro, poi, è ancora più specifico, visto che all’interno della casa l'accesso è consentito solo a determinate stanze (porte di destinazione), a seconda che la persona sia il proprietario, il figlio o un ospite. Il proprietario può entrare in tutte le stanze (qualsiasi porta), mentre i figli e gli ospiti sono ammessi solo in alcune (porte specifiche).

I firewall possono essere software o hardware, anche se è preferibile averli entrambi. Un firewall software è un programma installato in ciascun computer e regola il traffico attraverso numeri di porte e applicazioni, mentre un firewall fisico è un’apparecchiatura installata tra la rete e il gateway.

I firewall con filtro di pacchetti, cioè il tipo di firewall più comune, esaminano i pacchetti e ne impediscono il passaggio se non rispettano un set di regole di sicurezza stabilito. Questo tipo di firewall controlla gli indirizzi IP di origine e di destinazione del pacchetto. Se i pacchetti soddisfano una regola “consentita” del firewall, sono ritenuti affidabili e possono accedere alla rete.

I firewall con filtro di pacchetti si dividono in due categorie: stateful e stateless. I firewall stateless esaminano i pacchetti singolarmente e senza contesto, quindi sono bersagli più facili per gli hacker. Invece, i firewall stateful ricordano le informazioni sui pacchetti passati in precedenza e sono considerati molto più sicuri.

Sebbene efficaci, i firewall con filtro di pacchetti forniscono in ultima analisi una protezione molto basica e possono essere alquanto limitati: ad esempio, non sono in grado di determinare se i contenuti della richiesta inviata avranno effetti negativi sull’applicazione di destinazione. Se una richiesta malevola proveniente da un indirizzo di origine affidabile viene autorizzata e causa, ad esempio, l’eliminazione di un database, il firewall non avrebbe modo di saperlo. I firewall di nuova generazione e i firewall proxy sono meglio equipaggiati per rilevare questo tipo di minacce.

I firewall di nuova generazione (NGFW) uniscono la tecnologia firewall tradizionale con altre funzionalità, come l’ispezione del traffico crittografato, i sistemi di prevenzione delle intrusioni, l’antivirus e molto altro. In particolare, includono la Deep Packet Inspection (DPI). Mentre i firewall basici analizzano solo le intestazioni dei pacchetti, la Deep Packet Inspection esamina i dati all’interno del pacchetto stesso, permettendo agli utenti di identificare, classificare o bloccare in maniera più efficace i pacchetti che contengono dati dannosi. Ulteriori informazioni su Forcepoint NGFW sono disponibili qui.

I firewall proxy filtrano il traffico di rete a livello dell’applicazione. Diversamente dai firewall basici, il proxy agisce da intermediario tra due sistemi finali. Il client deve inviare una richiesta al firewall, dove viene analizzata in base a una insieme di regole di sicurezza e, quindi, autorizzata o bloccata. In particolare, i firewall proxy monitorano il traffico per protocolli di livello 7 come HTTP e FTP e usano l'ispezione stateful e Deep Packet Inspection per rilevare il traffico dannoso.

I firewall Network Address Translation (NAT) consentono a più dispositivi con indirizzi di rete indipendenti di connettersi a internet utilizzando un solo indirizzo IP, e mantenendo nascosti i singoli indirizzi IP. Di conseguenza, gli hacker che monitorano una rete per identificare gli indirizzi IP non possono acquisire dettagli specifici, e questo offre una maggiore protezione dagli attacchi. I firewall NAT sono simili ai firewall proxy, dato che agiscono da intermediari tra un gruppo di computer e il traffico esterno.

I firewall Stateful Multilayer Inspection (SMLI) filtrano i pacchetti a livello di rete, trasporto e applicazione, confrontandoli con pacchetti di affidabilità nota. Come i firewall NGFW, anche i firewall SMLI esaminano l’intero pacchetto e ne consentono il passaggio solo se supera ogni singolo livello. Questi firewall esaminano i pacchetti per determinare lo stato della comunicazione (da cui il loro nome) e garantire che tutte le comunicazioni avviate avvengano esclusivamente con fonti affidabili.