Adaptivní firewall

Chytrá ochrana před útoky, která je součástí pětiúrovňového systému filtrování

Adaptivní firewall je tou nejdůležitější součástí našeho pětiúrovňového systému filtrování útoků, který chrání všechny u nás provozované aplikace a řešení. Adaptivní firewall mění své chování podle aktuální situace a zátěže. Zjednodušeně řečeno funguje tak, že určuje, které země jsou pro dany web či službu důležité a relevantní a pak podle aktuální situace v případě potřeby aplikuje na příchozí provoz určitá omezení.

Adaptivní firewall - schema 2 / ZCOM

V případě, kdy je zátěž serveru nízká tedy propouští veškerý platný provoz, který není zjevným útokem. Při vyšším počtu požadavků pak firewall aplikuje na příchozí provoz různá omezení a provoz z méně důvěryhodných adres může podrobit testu (Javascript nebo Captcha), který oddělí skutečné uživatele od botů. V krizové situaci pak firewall propouští jen provoz z trhů, které jsou pro danou službu relevantní.

Praktickou funkci Adaptivního firewallu můžeme popsat třeba na příkladu e-shopu, který typicky doručuje zboží zákazníkům v České republice a na Slovensku. Když je provoz na serveru nízký, propustí Adaptivní firewall na web všechny uživatele (ty, kteří nebyly vyřazeni některým z předchozích stupňů ochrany před útoky) přímo.

Když se zátěž zvýší na určitou míru, přesměruje firewall uživatele ze zemí či IP adres s nízkou reputací (či nízkou důležitostí pro daný e-shop) na Javascriptový nebo Captcha test. Tak firewall snadno odliší skutečného lidského uživatele a robota. Skutečného uživatele pak uloží do krátkodobého seznamu ověřených uživatelů, takže při návratu na web nemusí procházet znovu testem, boty firewall zablokuje. Když je zátěž na serveru vysoká (a je jedno, zda z důvodu útoku nebo třeba úspěšné reklamní akce klienta), propouští firewall na web e-shopu jen zákazníky z těch nejdůležitějších zemí, v tomto případě tedy Česka a Slovenska. I zákazníci z dalších zemí EU pak procházejí testem. V úplně extrémním případě podrobí firewall testu veškerý provoz krom toho na seznamu povolených a to jak aplikačních tak globálních (Google, Heureka, další vyhledávače pro různé země,..). Touto metodou ochráníme maximum zdrojů serveru pro využití reálnými uživateli.

Ještě před Adaptivním firewallem ovšem provoz filtrují předchozí úrovně naší ochrany před útoky. Adaptivní firewall je v tomto případě až čtvrtou úrovní z pěti. Jak ochrana funguje, ukazuje pětice bodů níže.

Adaptivní firewall - schema 1 / ZCOM

Pětiúrovňový systém filtrování útoků

BGP Blackhooling

První úroveň filtrování slouží pro zablokování největších útoků, umí filtrovat i útoky v objemech přes 100 Gbit/s. Základním principem je zahazování provozu z nežádoucích sítí. Používá se výjimečně, jelikož výjimečné jsou i útoky tohoto rozsahu.

Basic filter

Druhou úrovní je jemnější filtrace na vstupních bodech (routerech) do naší sítě a to na základě typu paketů, zdrojových sítí a cílových adres. Tato úroveň slouží pro filtraci útoků v objemu do 100 Gbit/s.

Standard filter

Třetí úrovní je klasický firewall, který filtruje pakety se záměrně vadnými hlavičkami a útoky jako syn_flood, různé UDP floody, UDP amplification, HTTPS handshake flood, tradiční DoS a další.

Adaptive filter (Adaptivní firewall)

Filtr Adaptivního firewallu pracuje na úrovni HTTP požadavku přímo na daném webserveru a to až za HTTPS dekódováním. Díky tomu dovede filtr pracovat s obsahem požadavků a řešit priority i na základě jednotlivých URL nebo na základě typu požadavku (POST, GET).

Application filter

Pátou vrstvou je dodatečná filtrace, kterou je možné nastavit podle potřeb konkrétní aplikace. Jde například povolit přístup přihlášeným uživatelům, zablokovat IP po zadání neplatných přihlašovacích údajů, v reputaci sítí se může promítnout počet objednávek z dané země a řešit se dají i mnohá další kritéria.