Firewall IDS/IPS Antivirus Honeypots QoS VPN LDAP
PKI Autentizace Šifrování High Availability

Firewall

Firewall je systém, který řídí a propouští,blokuje a zaznamenává provoz mezi jednotlivými, předem definovanými sítěmi, podle pravidel nadefinovaných administrátorem. Je jasné, že těchto částí může být omezený počet daný technickými možnostmi konkrétního firewallu například počet síťových rozhraní, propustnost a mnoho dalších parametrů. Pro vyšší názornost budeme při popisu dále uvažovat, že firewall má dvě síťová rozhraní (vnitřní a vnější). Toto je typický příklad a v praxi to bývá mnohdy výrazně složitější. V praxi se nejčastěji setkáváme se třemi typy firewallů.

 

Firewall

 

Paketový filter

Firewall označovaný jako paketový filter se dnes již v podstatě nepoužívá. Je to asi první typ firewallu. Podstata této technologie spočívá v tom, že firewall má sadu pravidel, která specifikují pouze adresu či rozsah adres, protokol (např., TCP, UDP,AH atd.) a port či rozsah portů. Na základě těchto pravidel firewall vyhodnotí každý příchozí paket a buď ho propustí nebo zamítne. Zamítnout paket lze v podstatě dvěma způsoby. Paket zamítne a pošle odesílateli informaci, že tento provoz nebyl propuštěn, nebo jej odmítne a nikomu nic neoznamuje. Z pohledu odesílatele pak pakety mizí v „černé díře“. Tento typ firewallu pracuje na druhé a třetí vrstvě ISO-OSI modelu.

Stavový firewall

Tento typ firewallu vznikl z výše zmíněného paketového filtru, avšak doznal významných rozšíření a vylepšení. Zde již budu popisovat pouze zmíněná vylepšení a rozšíření. Na rozdíl od paketového filteru pracuje stavový firewall na druhé až páté vrstevě ISO-OSI modelu. Z toho je jasné, že je zde velmi výrazné rozšíření jeho praktických možností. Stavový firewall je ve srovnání s paketovým filterem schopen sledovat navázané TCP relace a udržovat si jejich tabulku. Tento princip pak nenutí administrátora otevírat zbytečné porty zvenku do vnitřní sítě. Stačí, když se v konfiguraci firewallu zadá, že pakety, které vzniknou jako odpověď na spojení, které bylo navázáno z vnitřní sítě mají být propuštěny i opačným směrem. Je na snadě, že toto řešení zajišťuje vyšší bezpečnost, Je nutné říci, že tento způsob je použitelný pouze u spojovaných protokolů. Pro nespojované protokoly je nutné psát pravidla pro oba směry.

State full inspection firewall

Jedná se o firewall pracující na druhé až sedmé vrstvě ISO-OSI modelu, což umožňuje mnoho dalších možností oproti stavovému firewallu. Tento firewall má veškeré funkcionality stavového firewallu, ale navíc umožňuje provoz komplexně analyzovat včetně obsahu. Z toho také vyplývá, že pokud administrátor povolí službu www a zakáže službu ssh a neukázněný uživatel chce toto opatření obejít tím, že si na druhé straně firewallu nakonfiguruje službu ssh tak, aby běžela na portu 80 (standardní port pro službu www), tak tento typ firewallu tento nežádoucí provoz odhalí na základě znalosti charakteristiky jednotlivých protokolů a zmíněný provoz nepropustí. Další jeho podstatnou odlišností je skutečnost, že umožňuje vytvářet virtuální relace a je tak chopen provozovat statefull technologii i pro nespojovné protokoly, jako je například UDP. Nevýhodou tohoto typu firewallu jsou vyšší náročnost na hardware, která vyplývá ze skutečnosti, že veškerá průchozí data jsou analyzována komplexně a nikoli pouze na základě hlaviček paketů, jak je tomu u předešlých typů firewallu. Další nezanedbatelnou nevýhodou je skutečnost, že v současné době není k dispozici nekomerční varianta tohoto typu firewallu a jejich cena rozhodně není zanedbatelná. Dále je nutné připomenout pravidlo, které platí téměř všude, že čím sofistikovanější řešení, tím vyšší jsou kladeny nároky na odbornost jeho „obsluhy“.

Důležité je, že firewall není schopen ochránit interní síť před autorizovanými uživateli a před útoky, které nejsou vedeny přes firewall (například z vnitřní sítě). Uživatel, který úspěšně prokázal svoji identitu je oprávněn k provádění akcí v souladu s bezpečnostní politikou. Z toho vyplývá nutnost implementace silných autentizačních mechanismů. Stejně tak firewall není schopen kontrolovat vlastní data vstupující do interní sítě, což otevírá otázku řešení antivirové problematiky.