AlegsaOnline.com

Palomuuri: määritelmä, toiminta ja verkkoliikenteen suojaus

Palomuuri — määritelmä, toiminta ja tehokas verkkoliikenteen suojaus: selkeä opas palomuuriratkaisuihin kotiverkoille ja yrityksille.

Tekijä: Leandro Alegsa

21-01-2026

Palomuuri on tietoturvan peruskäsitteitä: se on ohjelmisto (tai laitteeseen asennettu ohjelmisto), joka valvoo ja säätelee sisä- ja ulkoverkon välistä verkkoliikennettä. Palomuuri sijoitetaan yleensä suojattavan verkon (luotettava) ja ulkopuolisen verkon (vähemmän luotettava), kuten WAN:n tai Internetin, väliin. Sen tehtävänä on estää luvaton pääsy suojattuun verkkoon ja sallia hyväksytty liikenne.

Määritelmä ja sijoittelu

Palomuuri toimii verkon reunalla: se tarkastelee verkon yli kulkevia tietopaketteja ja päättää kunkin haittaako se vai sallitaanko se. Palomuuri voi olla erillinen laite (esim. laitteistopalomuuri), ohjelmisto palvelimella tai osa reititintä. Kun suuri verkko pitää suojata, palomuuriohjelmisto usein ajetaan omalla tietokoneellaan tai laitteellaan, joka ei tee muuta kuin palomuurin tehtäviä.

Kuinka palomuuri toimii

Palomuurissa on joukko sääntöjä, joita sovelletaan jokaiseen pakettiin. Säännöt määrittelevät, sallitaanko paketti, hylätäänkö se vai käsitelläänkö se erityisellä tavalla (esim. lokitetaan tai muokataan).

Pakettisuodatus: Tarkistaa paketin lähde- ja kohde-IP-osoitteet sekä portit ja päättää säännön perusteella.
Tilaohjattu tarkastus (stateful inspection): Seuraa yhteyden tilaa ja sallii vain paketteja, jotka kuuluvat olemassa olevaan, luvalliseen yhteyteen.
Sovellustason tarkastus (Deep Packet Inspection): Tutkii paketin sisältöä ja protokollaa (esim. HTTP, FTP) ja voi estää haitallisen sisällön tai sovelluskerroksen hyökkäykset.

Palomuurin tyypit ja ominaisuudet

Pakettisuodatinpalomuuri: Nopea ja yksinkertainen; toimii pääasiassa verkko- ja kuljetuskerroksen tiedoilla (IP, portit).
Tilaohjattu palomuuri: Yleinen nykyaikaisissa verkoissa; seuraa yhteysistuntoja ja tarjoaa parempaa suojaa kuin pelkkä pakettisuodatus.
Sovellustason (proxy) palomuuri: Toimii välittäjänä asiakkaan ja palvelimen välillä ja voi tarkistaa ja suodattaa sovellustason liikennettä.
Next-Generation Firewall (NGFW): Yhdistää perinteiset palomuuritoiminnot, sovellustietouden, tunkeutumisen eston (IPS), käyttäjä- ja sisältöpohjaisen suodatuksen sekä usein myös evästeiden ja HTTPS:n tarkastuksen.
NAT ja porttiohjaukset: Monet palomuurit suorittavat osoitteenmuunnoksia (NAT) ja hallinnoivat porttien uudelleenohjausta (port forwarding).

Säännöt, politiikat ja lokitus

Palomuurisäännöt muodostavat yrityksen tai kotiverkon turvallisuuspolitiikan toteutuksen. Hyviä käytäntöjä ovat:

Oletusarvoisesti estä (default deny): Salli vain nimenomaisesti hyväksytty liikenne.
Selkeät säännöt ja järjestys: Sääntöjen järjestyksellä on merkitys — yleiset säännöt voivat peittää alleen tarkan säännön, joten järjestä säännöt huolellisesti.
Lokitus ja seuranta: Kirjaa hylätyt ja epäilyttävät yhteydet; lokit auttavat vikojen selvittämisessä ja hyökkäysten tunnistamisessa.
Päivitykset: Pidä palomuurin ohjelmisto ja säännöt ajan tasalla uusien uhkien torjumiseksi.

Rajoitukset ja lisäsuojaus

Palomuuri ei ole yksinään riittävä suojausratkaisu. Se suojaa verkkorajaa, mutta ei välttämättä estä sisäisiä uhkia, huonosti suojattuja loppupisteitä tai salaamatonta haitallista sisältöä, joka näyttää lailliselta. Siksi on suositeltavaa yhdistää palomuuri muihin suojauskerroksiin, kuten:

päivitettyihin käyttöjärjestelmiin ja sovelluksiin,
päätepisteiden virustorjuntaan ja EDR-ratkaisuihin,
verkkojen segmentointiin ja VLAN-eihin,
tunkeutumisen havaitsemis- ja estojärjestelmiin (IDS/IPS).

Käytännön vinkkejä

Suosi selkeitä ja mahdollisimman vähäisiä (least privilege) sääntöjä.
Tee säännölliset auditoinnit: tarkista säännöt, turhat portit ja avoimet palvelut.
Ota käyttöön hälytykset epäilyttävistä tapahtumista ja käsittele lokit säännöllisesti.
Testaa palomuurin asetukset ja säännöllisesti myös verkkoyhteyksien toimivuus muuttuneissa olosuhteissa.

Yhteenvetona: Palomuuri on keskeinen osa verkon suojausta. Se valvoo ja säätelee sisä- ja ulkoverkon välistä liikennettä käyttäen määriteltyjä sääntöjä, jotka päättävät, pääseekö paketti läpi vai hylätäänkö se. Suojaustason parantamiseksi palomuurin käyttö kannattaa yhdistää muihin turvallisuustoimiin ja pitää säännöt sekä ohjelmisto ajan tasalla. Kun suuri verkko on suojattava, palomuuriohjelmisto toimii usein tietokoneessa, joka ei tee mitään muuta.

Palomuuri suojaa useita tietokoneita lähiverkossa luvattomalta käytöltä.

Erilaisia palomuureja.

Pakettien suodatus / verkkokerros

Tieto kulkee internetissä pieninä palasina, joita kutsutaan paketeiksi. Jokaiseen pakettiin on liitetty tiettyjä metatietoja, kuten mistä se tulee ja mihin se pitäisi lähettää. Helpointa on tarkastella metatietoja. Sääntöjen perusteella tietyt paketit hylätään tai hylätään. Kaikki palomuurit pystyvät tähän. Se tehdään verkkokerroksessa.

Pakettien tilatarkastus

Yksinkertaisen pakettisuodatuksen (edellä) lisäksi tällainen palomuuri seuraa myös yhteyksiä. Paketti voi olla uuden yhteyden alku, tai se voi olla osa olemassa olevaa yhteyttä. Jos se ei ole kumpikaan näistä kahdesta, se on luultavasti hyödytön ja se voidaan hylätä.

Sovelluskerroksen palomuurit

Sovelluskerroksen palomuurit eivät tarkastele vain metatietoja, vaan ne tarkastelevat myös varsinaista siirrettävää dataa. Ne tietävät, miten tietyt protokollat, esimerkiksi FTP tai HTTP, toimivat. Sen jälkeen ne voivat tarkistaa, onko paketissa oleva data kelvollista (kyseiselle protokollalle). Jos se ei ole, se voidaan hylätä.

Muita asioita, joihin palomuureja käytetään

Tunnelointi

Palomuurit voivat tarjota turvallisen yhteyden kahden verkon välille. Tätä kutsutaan tunneloinniksi. Tiedot voidaan salata. Se puretaan toisessa päässä. Koska palomuurit tekevät tämän, muu verkko ei tiedä siitä mitään. Vaihtoehtoisesti voidaan tarjota suojattu yhteys (yritysverkkoon).

Verkko-osoitteiden kääntäminen (NAT)

Palomuurit voivat hyvin usein kääntää IP-osoitteita. Näin monet tietokoneet voivat jakaa muutaman julkisen IP-osoitteen. Palomuuri kääntää julkisten ja yksityisten IP-osoitteiden välillä.

Palomuurityypit

Yleensä palomuureja on kahdenlaisia:

Ohjelmistopohjaiset palomuurit: näitä käytetään usein lisäohjelmina tietokoneissa, joita käytetään muihin tarkoituksiin. Niitä kutsutaan usein henkilökohtaisiksi palomuureiksi, jotka voidaan päivittää henkilökohtaisiin tietokoneisiin.

Merkittäviä tuotemerkkejä ovat OPNsense, pfsense, comodo jne.

Laitteistopohjaiset palomuurit: Laitteistopohjaiset palomuurit toimivat erillisessä tietokoneessa (tai laitteessa). Ne ovat usein suorituskyvyltään parempia kuin ohjelmistopalomuurit, mutta ne ovat myös kalliimpia.

Merkittäviä tuotemerkkejä ovat PaloAlto, WiJungle, Checkpoint, Cisco jne.

Mitä palomuurit eivät voi suojata

Palomuurit voivat suojata joiltakin internetistä tulevilta ongelmilta (viruksilta ja hyökkäyksiltä). Ne eivät voi suojata viruksilta, jotka tulevat tartunnan saaneesta mediasta (kuten USB-muistitikulla olevasta tartunnan saaneesta toimistodokumentista).

Kysymyksiä ja vastauksia

K: Mikä on palomuuri?

A: Palomuuri on tietoturvassa käytettävä ohjelmisto, joka valvoo luotettavien ja vähemmän luotettavien verkkojen välistä verkkoliikennettä ja soveltaa sääntöjoukkoa jokaiseen pakettiin.

K: Mitä palomuuri tekee?

V: Palomuuri suojaa verkon osaa luvattomalta käytöltä soveltamalla sääntöjoukkoa jokaiseen sen läpi kulkevaan verkkoliikennepakettiin.

K: Mitä verkkoja palomuuri suojaa?

V: Palomuuri asetetaan suojattavan verkon (luotettava) ja ulkopuolisen verkon (vähemmän luotettava), kuten WAN- tai Internet-verkon, väliin.

K: Mihin palomuuri sijoitetaan verkossa?

V: Palomuuri sijoitetaan luotettavan verkon ja ulkopuolisen verkon (vähemmän luotettava), kuten WAN:n tai Internetin, väliin.

K: Mitä sääntöjä palomuuri soveltaa?

V: Palomuurin sääntökokonaisuus määrittää, pääseekö verkkoliikennepaketti läpi luotettuun verkkoon vai hylätäänkö se.

K: Miten palomuuri toimii?

V: Palomuuri valvoo luotettavien ja vähemmän luotettavien verkkojen välillä kulkevaa verkkoliikennettä ja soveltaa sääntöjoukkoa kuhunkin pakettiin päättääkseen, voiko se kulkea läpi vai ei.

K: Suojaako palomuuri koko verkon?

V: Ei, palomuuri suojaa vain yhtä verkon osaa luvattomalta käytöltä.