Vnější zabezpečení
Firewally

Jedním z nejčastěji nasazovaných a propagovaných bezpečnostních opatření pro použití v internetu je „firewall“. Firewally si získaly pověst obecného všeléku na mnohé, ne-li všechny bezpečnostní problémy Internetu. Nejsou však jimi. Je to jen jeden z nástrojů v boji o zabezpečení systému. Úroveň zabezpečení, kterou firewall poskytuje, se může měnit, stejně jako úroveň zabezpečení konkrétního stroje. Objevují se zde tradiční kompromisy mezi bezpečností, snadností použití, výší nákladů, složitostí atd.

Firewall je zařízení sloužící k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení pomocí předem definovaných pravidel pro komunikaci mezi sítěmi, které od sebe odděluje. Tato pravidla dříve zahrnovala pouze identifikaci zdroje a cíle dat (zdrojovou a cílovou adresu sítě/zařízení) a zdrojový a cílový port. V současné době však moderní firewally pracují rovněž s informacemi o stavu spojení a se znalostí kontrolovaných protokolů.

Dříve nežli je firewall nainstalován, je vhodné, aby si příslušná organizace stanovila soubor pravidel s cílem zajistit ochranu svých aktiv, počítačových systémů, osobních údajů a dalších citlivých dat. Tento soubor pravidel nazýváme též zásadami zabezpečení. Tento dokument zajistí, že budou v celé firemní síti dodržována jednotná pravidla, kterými se budou správci zařízení při jejich nastavování řídit.

Firewall může fungovat dvěma základními způsoby – buď může komunikaci blokovat, nebo ji povolovat. Je důležité si uvědomit, že pro zabránění šíření jakýchkoliv síťových ilegálních aktivit, je vždy výhodné kontrolovat jak provoz do sítě přicházející, tak i provoz ze sítě odcházející.

Firewally lze kategorizovat následovně:

Paketové filtry jsou nejjednodušší a nejstarší formou zabezpečení provozu. Pracují pouze s informace o zdrojové a cílové adrese a portu, tj. na třetí (síťové) a čtvrté (transportní) vrstvě ISO/OSI modelu. Mezi jejich výhodu patří jejich rychlost, takže tento princip se používá dodnes.

Aplikační brány neboli Proxy servery, slouží ke kontrole spojení iniciovaných klientskými aplikacemi. Brána funguje jako prostředník mezi klientem a cílovým serverem, takže původní spojení rozdělí na dvě: klient–brána a brána–server, což umožňuje filtrovat požadavky na nežádoucí cílová zařízení. Kontrola se tedy provádí na sedmé (aplikační) vrstvě ISO/OSI modelu.

Stavové paketové filtry si oproti klasickým paketovým filtrům ukládají i informace o povolených spojeních, které využívají pro rychlejší vyhodnocení dalších paketů, které s již povoleným paketem (resp. spojením) souvisejí. To je nejenom rychlejší, ale zároveň zefektivňuje konfiguraci, neboť stačí nastavit jeden směr a pakety odpovědí již budou automaticky povoleny.

Stavové paketové filtry s kontrolou protokolů jsou moderní stavové paketové filtry, které kromě informací o stavu spojení a schopnosti dynamicky otevírat porty pro řídící a datová spojení složitějších známých protokolů, umožnují kontrolovat i spojení na aplikační úrovni známých dat a protokolů. Lze tak například odhalit pokus o spojení hypertextového protokolu (HTTP), kdy se nejedná o požadavek na WWW server, nýbrž o tunelování jiného protokolu (jiná aplikace snažící se komunikovat na stejném portu).