Bezpečnostní brána (Firewall) je typický kontrolní hraniční mechanismus často značovaný jako tzv. perimetr obrany. Účelem firewallu je zabránit neoprávněnému přístupu do vyhrazené sítě resp. z okolních sítí, omezením odchozího a příchozího provozu vyhrazené sítě.
Všechna příchozí a odchozí data dané sítě tedy procházejí firewallem, který podrobně zkoumá každý paket a blokuje ty pakety, které nesplňují nastavená bezpečnostní kritéria. Firewally mohou být implementovány jako čistě hardwarové či softwarové nebo jako kombinace obou platforem [8].
Firewally uplatňují nastavené zásady zabezpečení tím, že omezují přístup k vymezeným síťovým prostředkům. V analogii s fyzickým zabezpečením je firewall ekvivalentem k zámku na vstupních dveřích nebo na dveřích uvnitř budovy – umožňuje tak vstup pouze oprávněným uživatelům, kteří jsou vlastníky klíče nebo přístupové karty umožňující vstup. Firewally jsou dnes dostupné i v provedeních vhodných pro domácí použití. „Domácí“ firewall vytváří ochrannou vrstvu mezi sítí uživatele a vnějším síťovým prostředím. Ve skutečnosti firewall replikuje chráněnou síť přímo na jejím vstupu tak, že umožňuje příjem a vysílání autorizovaných dat bez výrazného navýšení zpoždění. Jsou zde však integrovány vestavěné filtry provozu, které brání průniku neautorizovaným nebo potenciálně nebezpečným materiálům do systému. Kromě toho, firewally poskytují důležité přihlašovací a prověřovací funkce. Díky těmto funkcím mohou správci získat poměrně detailní přehled o provozu v dané síti, např. jaký typ a objem provozu je danou sítí přenášen včetně počtu pokusů o průnik do dané sítě.
Národní institut pro standardy a technologie NIST (The National Institute of Standards and Technology) 800-41, [9] dělí firewally do tří základních kategorií – nestavový firewall (paketový filtr – Packet Filter Firewall), stavový firewall (Stateful Packet Inspection Firewall) a aplikační firewall (brána, resp. Proxy Firewall). Předchozí tři kategorie však nepředstavují tři zcela nezávislé jednotky, ale naopak navzájem spolupracující jednotky. Většina moderních firewallů totiž integruje všechny tři výše uvedené funkcionality v jednom fyzickém zařízení, a to z důvodu celkového zlepšení funkčnosti a případně i výkonnosti firewallu.
Nestavový firewall (paketový filtr) je ve své podstatě směrovací zařízení (Router), které má navíc funkce umožňující správu přístupových práv na systémové úrovni a umožňuje tak propracované řízení komunikačních relací. Díky těmto funkcím je pak možné detailně filtrovat síťový provoz na základě charakteru analyzovaného provozu. Tyto firewally jsou obvykle cíleně rozmístěny v rámci síťové infrastruktury založené na modelu TCP/IP. Hlavními přednostmi nestavových firewallů jsou jejich operační rychlost (Speed) a pružnost konfigurace (Flexibility). Naopak jejich slabinou je jejich neschopnost zabránit útokům, které využívají potenciálně zranitelná místa konkrétních aplikací (tyto firewally totiž neumožňují kontrolu dat na vyšších (aplikačních) vrstvách referenčního modulu RM-OSI (Reference Model of Open System Interconnection)).
Zdrojová adresa |
Zdrojový port |
Cílová adresa |
Cílový port |
Akce |
Popis |
|
1 |
libovolná |
libovolný |
192.168.1.0 |
> 1023 |
povoleno |
Pravidlo povolující návrat TCP spojení do interní subsítě |
2 |
192.168.1.1 |
libovolný |
libovolná |
libovolný |
zakázáno |
Chrání systém firewallu před přímým připojením |
3 |
libovolná |
libovolný |
192.168.1.1 |
libovolný |
zakázáno |
Omezuje přímý přístup externích uživatelů k systému firewallu |
4 |
192.168.1.0 |
libovolný |
libovolná |
libovolný |
povoleno |
Interní uživatelé mohou přistupovat k externím serverům |
5 |
libovolná |
libovolný |
192.168.1.2 |
SMTP |
povoleno |
Umožňuje externím uživatelům zasílat e-maily |
6 |
libovolná |
libovolný |
192.168.1.3 |
HTTP |
povoleno |
Povoluje externím uživatelům přístup na WWW server |
7 |
libovolná |
libovolný |
libovolná |
libovolný |
zakázáno |
Vše, co není v předcházejících případech povoleno, je explicitně zakázáno |
Stavový firewall (Stateful Packet Inspection Firewall) umožňuje tzv. dynamické filtrování paketů. Jedná se tedy o zařízení, které monitoruje stav aktivních připojení a následně pak používá tyto informace pro rozhodnutí, které síťové pakety mohou přes firewall projít, a které naopak ne. Tyto firewally již umožňují analýzu paketů až po úroveň aplikační vrstvy modelu RM-OSI. Zaznamenáním informací o konkrétní relaci jakými jsou např. IP adresa a čísla portů, pak může dynamické filtrování paketů realizovat mnohem vyšší míru zabezpečení a prověřováním určitých hodnot v záhlaví přenášených paketů sledovat stav jednotlivých připojení po určitou vymezenou dobu. Odchozí pakety, které očekávají určitý typ příchozích paketů, jsou firewallem sledovány a pouze ty příchozí pakety, které nesou tu správnou informaci resp. správnou odpověď na odeslaný dotaz, jsou přes firewall přeneseny. Každý nově přijatý paket je porovnáván se stavovou tabulkou firewallu tak, aby bylo možné určit, zda stav paketu není v rozporu s jeho očekávaným stavem. Tradiční stavové firewally neprověřují užitečnost obsahu dat síťových paketů a ve své podstatě ani nemají dostatečnou inteligenci pro rozlišení jednoho druhu webového provozu od druhého (např. provozu legitimní aplikace a případného útoku).
Aplikační firewall (Proxy Firewall) neboli aplikační brána, je poměrně novým přírůstkem mezi tradičními bezpečnostními zařízeními. Navíc však v sobě aplikační firewall kombinuje klasické stavové kontrolní technologie se schopností provádět hloubkovou kontrolu aplikací. Tato schopnost v sobě zahrnuje možnost analýzy protokolů na aplikační vrstvě, např. u protokolů HTTP (Hyper Text Transfer Protocol) a FTP (File Transfer Protocol) a monitorováním provozu porovnávat neškodné aktivity protokolů s aktuální aktivitou daného protokolu, a tím identifikovat potenciální odchylky v jejich chování, které mohou znamenat potenciální útok. Tyto vlastnosti umožňují firewallu povolit či naopak zakázat přístup aplikaci k dostupným síťovým prostředkům v závislosti na tom, jakým způsobem se aplikace chová v síti.
Firewall nové generace NGFW (Next-Generation FireWall) je integrovanou síťovou platformou, která kombinuje tradiční firewall s dalšími síťovými zařízeními s filtrovací funkcionalitou. Do kategorie firewallů nové generace patří např. aplikační firewally využívající přímou hloubkovou analýzu paketů DPI (Deep Packet Inspection), systémy prevence potenciálních útoků IPS (Intrusion Prevention System) a/nebo další techniky jakými jsou např. odposlechy SSL (Secure Socket Layer) a SSH (Secure SHell), filtrování webových stránek (Website Filtering), správa kvality služeb QoS (Quality of Service) a šířky pásma (Bandwidth Management), antivirovou kontrolu a integraci řešení třetích stran (např. Active Directory) [10]. Ve skutečnosti tyto techniky představují sjednocený koncept správy hrozeb UTM (Unified Threat Management). Hlavní nevýhodou firewallů NGFW je, že často využívají samostatné interní moduly pro zajištění jednotlivých bezpečnostních funkcí. To znamená, že analyzovaný paket pak může být podroben několikanásobnému procesu posuzování, aby bylo možné určit jeho oprávnění vstupu do dané sítě. Tento vícenásobný systém zpracování však zvyšuje dobu zpoždění, a následně tak může zcela zásadním a negativním způsobem ovlivnit výkonnost celé sítě.