Obr. ze stránek stránek http://weblopedi.net/41-firewall-nedir.html.
Firewall lze označit jako zařízení nebo software, které reguluje síťová spojení a přenos mezi komponenty počítačové sítě.
Zabezpečuje a řídí síťový provoz mezi sítěmi a různou úrovní důvěryhodnosti a zabezpečení. Můžeme říci, že funguje jako kontrolní
bod, který určuje pravidla pro komunikaci mezi sítěmi, a ty od sebe odděluje. Historicky tato pravidla vždy zahrnovala identifikaci cíle
a zdroje dat. Tedy zrojovou a cílovou IP adresu, zdrojový a cílový port. V dnešní době je toto vše pro firewally současného typu nedostatečné,
modernější typy se opírají i o informace o stavu spojení, znalost kontrolovaných protokolů a někdy i s prvky IDS. Firewall prakticky představuje
množinu pravidel, která říkají, jaké pakety síťové úrovně propustit, a jaké neopak nahradit. Tj. např. IP a ICMP pakety.
Obsah
Termín firewall byl nejprve významem pro zeď, která měla zabránit pořážáru uvnitř budovy. Dale jako plech, který odděluje motoru vozidla, nebo v letadle
prostor pro cestující. Technologie firewallu se objevila na konci 80.let 20. století., v době, kdy byl internet zcela
novou technologií, pokud jde o jeho celosvětové použití a konektivitu. Jeho předchůdci v zabezpečování sítě byly směrovače, jež
se najvíce používali právě ke konci 80. let, kdy se objevil firewall.
Obr. ze stránek stránek
http://weblopedi.net/41-firewall-nedir.html.
Během svého vývoje se firewally řadily do několika kategorií.
Tato forma firewallu je nejstarší a dalo by se říci i nejjednodušší. Její pravidla přesně uvádějí, z jaké adrasy,
a z jakého portu, na jakou adresu a port může být doručen procházející paket. Kontrola se tedy provádí na třetí a čtvrté
vrstvě modelu síťové komunikace OSI.
Výhodou je vysoká rychlost zpracování, díky které se tento typ firewallu používá ještě dnes. Nejvíce na místech kde je
potřeba důkladnější analýza procházejících dat nebo přesnost. Spíše jde o vysokorychlostní přenosy velkýcj množství dat.
Nevýhodou je nízká úroveň kontroly, která se týká kontroly procházejících spojení, zejména u složitějších protokolů. Nejen, že nedostačuje
ke kontrole vlastního spojení, ale pro takové spojení je potřeba otevřít i porty a směry spojení, které jsou nebo mohou být
využiity jinými protokoly, než správce bezpečnosti zamýšlel povolit.
Mezi paketové filtry patří např. ACL (Access Control Lists) ve starších verzích operačního systému IOS na routrech spol. Cisco Systems.
Neobjevily se o mnoho déle, než jednoduché paketové filtry. Byly to firewally, které již zcela oddělily sítě, mezi které byly postaveny.
Mohou být také nazývány Proxy firewally. Pomocí aplikační brány probíhá veškerá komunikace formnou dvou spojení. Nejprve
se k proxy připojí klient, to je ten, který spojení vyvolá. Proxy toto spojení zpracuje, a dále podle požadavků klienta otevře nové spojení k serveru,
kde klientem je aplikační brána. Brána dostane data od serveru, které pak předá klientovi. Kontrola se provádí na sedmé vrstvě síťového modelu OSI.
Od toho je odvozen název aplikační brány.
Výhodou je poměrně vysoké zabezpečení známých protokolů.
Nevýhodou je zde vysoká náročnost na používaný HW. Původní aplikační brány ještě vyžadovaly, aby uměl klient komunikovat s aplikační bránou
a uměl dost dobře chránit svůj operační systém. Tyto nedostatky byly však časem odstraňovány. Tento vývoj byl však postupně zastaven
po nástupu stavových paketových filtrů. Aplikační brány se v této podobě používají už jen ve velice specializovaných nasezeních.
Typyckými představiteli aplikačních bran byly např. The Firewall Toolkit. Z něj pak vycházející Gauntlet společnosti TIS, později zakoupený společností NAI.
Tyto filtry provádějí kontrolu stejně jako jednoduché paketové filtry, ale ukládají navíc informace o spojích které jsou povolené.
Ty se pak nohou hodit při rozhodování, zda může být povolené spojení, a následovně být propuštěno. Nebo zda musí znovu projít procesem o rozodování.
Tento systém urychluje zpracování paketů již povolených spojení. Dále lze v pravidlech pro firewalle uvádět jen směr navázání spojení
a ten pak bude schopen povolit i odpovědní pakety. U známých protokolů i další spojení, která daný protokol používá.
Jednou z největších výhod těchto filtrů je vysoká rychlost, slušná úroveň zabezpečení a velice jednoduchá konfigurace. Díky zjednodušení
konfigurace je zde i nižší pravděpodobnost chybného nastavení pravidel obsluhou.
Nevýhodou oproti jin7m aplikačním bránám je obecně nižší bezpečnost.
Mezi představitele patří např. FireWall spol. Check Poin do verze 4.0, starší verze Cisco PIX, Cisco IOS Firewall a atd.
Moderní paketové filtry mají podobné funkce jako předešlé druhy filtrů, ale také mají funkci, kterou v marketingové terminologii
různých společností nazýváme Deep Inspection nebo Application Intelligence. To znamená, že firewally kontrolují procházející
spojení až na úrovenň korektnosti procházejících dat známých protokolů i aplikací. Novodobou technologií se v oblasti firewall stávají tzv. in-line IDS(Introsion
Detection Systems - systémy pro detekci útoků). Tyto systémy pracují podobně jako antiviry. Ty jsou pomocí databáze schopny odhalit
vzroce i ve zdánlivě nesouvisejících pokusech o spojení.
Výhodou těchto systémů je opět vysoká rychlost kontroly, i když je zřejmé zpomalení proti stavovým filtrům. Další výhodou je vysoká úroveň bezpečnosti, kontroly
procházejících protokolů při zachování relativně snadné konfigurace.
Nevýhodou je pravděpodobnost, že v některé části jejich kódu bude zneužitelná chyba, která povede ke kompromitování celého systému.
Patří sem např. Check Point FireWall-1 (od verze 4.1, nyní NGX), produkty řady Netscreen a atd.
Obr. ze stránek stránek http://statnice.dqd.cz/_media/home:prog:osi_model.jpg?cache=.
Více o Firewall: výsledky vyhledávání na google
