Firewall Evolution
| Generation |
Inspection |
Capability |
Example |
| Stateless |
Headers only (IP, Port) |
Simple allow/deny |
Block port 23 (Telnet) |
| Stateful |
Connection state tracking |
Track SYN/ACK, allow return traffic |
Allow outbound, block unsolicited inbound |
| NGFW |
Deep Packet Inspection (DPI) |
Application awareness (Layer 7) |
Block Facebook, allow Gmail |
Example: User browses to website:
Stateless: Must configure rules for outbound (port 443) AND inbound (ephemeral
ports 1024-65535)
Stateful: Allow outbound 443, auto-allow return traffic (remembers connection)
NGFW: "Allow HTTPS, but block social media apps even if they use port 443"
IDS vs IPS
🔍 IDS (Intrusion Detection)
- Mode: Passive (monitors copy of traffic)
- Action: Alert only
- Risk: Can't stop attacks
- Benefit: No false positive disruption
VS
🛡️ IPS (Intrusion Prevention)
- Mode: Inline (traffic flows through it)
- Action: Block malicious packets
- Risk: False positives block legitimate traffic
- Benefit: Active protection
Example: SQL injection attack detected:
IDS: Sends alert to admin, attack continues
IPS: Drops malicious packet, blocks attacker IP
SASE (Secure Access Service Edge)
SASE = Network + Security in the cloud
Components:
- SD-WAN: Intelligent routing
- SWG (Secure Web Gateway): URL filtering, malware scanning
- CASB: Cloud app security (monitor SaaS usage)
- FWaaS (Firewall as a Service): Cloud-based firewall
- ZTNA (Zero Trust Network Access): Identity-based access
Traditional: Remote employee → VPN → Corporate datacenter → Internet (slow,
insecure)
SASE: Remote employee → Nearest SASE PoP (cloud) → Secured direct internet access
(fast, secure)
Firewall Evolution
Stateless Firewall (පරම්පරාව 1):
- Packet headers බලලා විතරයි (IP ලිපිනය, port අංකය)
- සරල නීති: "Port 23 අවහිර කරන්න" (Telnet අනාරක්ෂිත නිසා)
- ගැටලුව: සම්බන්ධතා තත්ත්වය නිරීක්ෂණය කරන්නේ නැහැ. Inbound සහ outbound වලට නීති
දෙකයි ඕන
Stateful Firewall (පරම්පරාව 2):
- සම්බන්ධතා තත්ත්වය මතක තබා ගන්නවා (SYN, SYN-ACK, ACK)
- ඔයා website එකකට සම්බන්ධ උනාම (outbound), ප්රතිචාරය auto-allow (සම්බන්ධතාව මතක තබා ගන්නවා)
- උදාහරණය: ඔයා port 443 වලින් HTTPS ඉල්ලීමක් යවනවා. Firewall එක: "හරි,
ප්රතිචාරයටත් allow කරමු" (අතින් නීතියක් ඕන නෑ)
NGFW (Next-Generation Firewall):
- Deep Packet Inspection (DPI) - packet එකේ අන්තර්ගතයටත් බලනවා
- යෙදුම් දැනුවත්භාවය: Port එකට පමණක් බලන්නේ නැහැ, යෙදුමට බලනවා
- උදාහරණය: Facebook සහ Gmail දෙක HTTPS use කරනවා (port 443). NGFW එකට කියන්න
පුළුවන් "Facebook අවහිර කරන්න, Gmail allow කරන්න" (port එකයි, apps දෙක වෙනස්)
IDS vs IPS
IDS (Intrusion Detection System):
- Passive නිරීක්ෂණය: Network traffic එකේ පිටපතක් බලනවා (traffic ප්රවාහය බලපෑමට
ලක් කරන්නේ නැහැ)
- ක්රියාව: සැක සහිත ක්රියාකාරකම් හඳුනාගත්තොත් අනතුරු ඇඟවීමක් යවනවා විතරයි
(අවහිර කරන්නේ නැහැ)
- භාවිත අවස්ථාව: නිරීක්ෂණ-පමණක් පරිසර, පර්යේෂණ
- උදාහරණය: SQL injection ප්රහාරය හඳුනාගත්තා → Admin එකට email අනතුරු ඇඟවීම
(ප්රහාරය දිගටම යනවා)
IPS (Intrusion Prevention System):
- Inline යෙදවීම: Traffic එක IPS එකෙන් හරහා යන්න ඕන (සක්රීය පාලනය)
- ක්රියාව: අනිෂ්ට packets හඳුනාගත්තොත් අතහැර දමනවා, ප්රහාරක IP
අවහිර කරනවා
- අවදානම: False positive උනාම (නීත්යානුකූල traffic අත් අනිෂ්ට කියන වැරදි)
සාමාන්ය පරිශීලකයින්ටත් අවහිර වෙන්න පුළුවන්
- උදාහරණය: SQL injection හඳුනාගත්තා → Packet අතහැර දමනවා → ප්රහාරක IP blacklist
කුමන එක භාවිතා කරන්නද?
තීරණාත්මක පද්ධති → IPS (සක්රීය ආරක්ෂාව)
ඉගෙනීම/පරීක්ෂණය → IDS (passive, බාධා නැත)
SASE (Secure Access Service Edge)
SASE කියන්නේ network + security විශේෂාංග තික cloud එකේ තනි වේදිකාවක් වගේ ඒකාබද්ධ කරන
එක.
සාම්ප්රදායික ගැටලුව: දුරස්ථ සේවකයෙක් වැඩ කරන්න ඕන:
සේවකයා → VPN → සමාගම් datacenter → Internet ප්රවේශය
ගැටලුව: මන්දගාමී (traffic datacenter එකෙන් වට ගමනක්), අනාරක්ෂිත (තනි ලක්ෂ්යය)
SASE විසඳුම: සේවකයා → ළඟම cloud PoP → සෘජු internet (ආරක්ෂිත + වේගවත්)
Cloud PoP එකේ ආරක්ෂක සේවා ක්රියාත්මක වෙනවා: Firewall, URL පෙරීම, malware පරිලෝකනය
සංරචක:
- SD-WAN: බුද්ධිමත් routing (MPLS, 5G, broadband ඒකාබද්ධ)
- SWG (Secure Web Gateway): URL පෙරීම ("සූදු වෙබ් අඩවි අවහිර"), malware පරිලෝකනය
- CASB: Cloud යෙදුම් ආරක්ෂාව. උදාහරණය: Office 365 භාවිතය නිරීක්ෂණය, DLP
ප්රතිපත්ති බලාත්මක කිරීම
- FWaaS: Cloud firewall (සාම්ප්රදායික firewall hardware එකට ප්රතිස්ථාපනය)
- ZTNA (Zero Trust): පරිශීලක අනන්යතාවය සත්යාපනය කරලා පමණක් ප්රවේශය (VPN එකට
ප්රතිස්ථාපනය)
භාවිත අවස්ථාව: සමාගමේ සේවකයින් 50% දුරස්ථ. සාම්ප්රදායික VPN මිල අධික + මන්දගාමී.
SASE යෙදවීමෙන් ඕනෑම කෙනෙක් ඕනෑම තැනකින් ආරක්ෂිත, වේගවත් ප්රවේශය.