Přejít na obsah
Domů

Firewall (síť) — brána pro řízení a ochranu síťového provozu

Shrnutí funkcí, typů a nasazení síťových firewallů: principy filtrování, stavová kontrola, aplikační brány, NAT, integrace s VPN a doporučené provozní postupy.

Firewall je síťové zařízení nebo software, jehož úkolem je řídit a omezovat přenos dat mezi dvěma či více sítěmi tak, aby chránil důvěryhodné prostředí před neautorizovaným přístupem. Umisťuje se obvykle na okraj sítě (perimeter) mezi interní sítí a méně důvěryhodným prostředím, jako je internet nebo jiné sítě. Firewall rozhoduje o povolení či zahození provozu podle předem definovaných pravidel a politik.

Galerie obrázků

1 Obrázek

Základní principy a režimy

Existují různé principy filtrování provozu:

  • Filtr paketů — zpracovává hlavičky paketů (IP adresy, porty, protokoly) a podle pravidel povolí či zablokuje přenos.
  • Stavová kontrola (stateful inspection) — sleduje stav spojení a povolí jen pakety, které patří ke známým relacím.
  • Aplikační brány a proxy — pracují na úrovni aplikací (HTTP, SMTP, FTP apod.), mohou provádět hlubší inspekci obsahu a kontrolu protokolů.
  • Host-based firewall — běží přímo na koncovém systému a chrání jednotlivý počítač nebo server proti nepovolanému provozu.

Funkce nad rámec filtrování

Moderní firewally často kombinují další funkce: překlad adres (NAT), podpora VPN tunelů, detekce a prevence průniků (IDS/IPS), filtrování URL a kontrolu aplikací (tzv. next-generation firewall). Tyto integrované funkce usnadňují správu bezpečnosti, ale zároveň zvyšují nároky na výkon a správnou konfiguraci.

Nasazení a architektura

Firewally se nasazují v různých topologiích: jako hranové zařízení mezi LAN a internetem, jako interní segmentační brány mezi odděleními, nebo v DMZ pro veřejné služby. Ve velkých sítích bývá firewall nasazen na dedikovaném hardwareu, zatímco u domácích a menších instalací postačí software běžící na běžném serveru či routeru.

Pravidla, správa a logování

Pravidla firewallu definují, jaký provoz je povolen nebo blokován; typicky se skládají z kritérií jako zdrojová cílová adresa, port a protokol. Správa pravidel vyžaduje přehlednou politiku, testování a pravidelné revize. Firewally generují záznamy (logy), které slouží pro audit, odhalování incidentů a ladění konfigurace; integrace logů do systému typu SIEM zlepšuje schopnost rychle reagovat na anomálie.

Omezení a rizika

Firewall omezuje síťový přístup, ale není všelékem: neodhalí chyby v aplikačním kódu, neochrání před phishingem ani plně neřeší kompromitované přihlašovací údaje či vnitřní hrozby. Nesprávně nastavená pravidla mohou nechtěně povolit rizikový provoz. Pro komplexní zabezpečení je nutné kombinovat firewally s dalšími opatřeními (antiviry, zabezpečené konfigurace, školení uživatelů).

Doporučené postupy

  • Uplatňovat zásadu nejmenších oprávnění (default deny) a explicitně povolovat pouze potřebný provoz.
  • Pravidelně revidovat a dokumentovat pravidla a politiky.
  • Monitorovat logy a upozornění, provádět zálohy konfigurace a testy obnovy.
  • Zajistit aktualizace softwaru a případné podpůrné bezpečnostní služby.

Další zdroje

Pro podrobnější technické informace a návody k implementaci lze konzultovat dokumentaci konkrétních produktů a standardní odbornou literaturu: návod k softwarovému firewallu, přehled typů pravidel: popis pravidel a politik, a základní pojmy síťového provozu: definice paketu.

Poznámka: Volba typu firewallu a jeho umístění závisí na konkrétních požadavcích na bezpečnost, výkon a správu. U složitějších prostředí se doporučuje konzultace s odborníkem.

Různé druhy firewallů.

Filtrování paketů / síťová vrstva

Data se po internetu šíří po malých částech, které se nazývají pakety. Ke každému paketu jsou připojena určitá metadata, například odkud přichází a kam má být odeslán. Nejjednodušší je podívat se na metadata. Na základě pravidel jsou pak určité pakety zahozeny nebo odmítnuty. To umí všechny firewally. Provádí se to na síťové vrstvě.

Stavová kontrola paketů

Kromě jednoduchého filtrování paketů (výše) tento typ firewallu také sleduje připojení. Paket může být začátkem nového spojení nebo může být součástí stávajícího spojení. Pokud není ani jedním z nich, je pravděpodobně zbytečný a může být zahozen.

Brány firewall aplikační vrstvy

Firewally aplikační vrstvy se nedívají pouze na metadata, ale také na skutečná přenášená data. Vědí, jak fungují určité protokoly, například FTP nebo HTTP. Mohou se pak podívat, zda jsou data, která jsou v paketu, platná (pro daný protokol). Pokud nejsou, mohou je zahodit.

 

Další věci, ke kterým se firewally používají

Tunelování

Firewally mohou zajistit bezpečné spojení mezi dvěma sítěmi. Tomu se říká tunnellng. Data mohou být šifrována. Na druhém konci se dešifrují. Protože to dělají firewally, zbytek sítě o tom neví. Alternativou je zajištění zabezpečeného přístupu (do podnikové sítě).

 

Překlad síťových adres (NAT)

Brány firewall mohou velmi často překládat IP adresy. Mnoho počítačů tak může sdílet několik veřejných IP adres. Firewall překládá mezi veřejnými a soukromými IP adresami.

 

Typy firewallů

Obecně existují dva typy firewallů:

  • Softwarové firewally: často se spouštějí jako další programy v počítačích, které se používají k jiným účelům. Často se označují jako osobní firewally, které mohou být aktualizovány na osobních počítačích.

Mezi významné značky patří OPNsense, pfsense, comodo atd.

  • Hardwarové brány firewall: Hardwarové firewally jsou provozovány na vyhrazeném počítači (nebo zařízení). Často nabízejí lepší výkon než softwarové firewally, ale jsou také dražší.

Mezi významné značky patří PaloAlto, WiJungle, Checkpoint, Cisco atd.

 

Před čím firewally nemohou chránit

Firewally mohou chránit před některými problémy (viry a útoky), které přicházejí z internetu. Nemohou chránit před viry, které pocházejí z infikovaných médií (například infikovaný kancelářský dokument na USB flash disku).

 

Otázky a odpovědi

Otázka: Co je to firewall?

Odpověď: Firewall je software používaný v počítačové bezpečnosti, který monitoruje síťový provoz mezi důvěryhodnými a méně důvěryhodnými sítěmi a na každý paket aplikuje sadu pravidel.

Otázka: Co dělá firewall?

Odpověď: Brána firewall chrání část sítě před neoprávněným přístupem tím, že na každý procházející paket síťového provozu aplikuje sadu pravidel.

Otázka: Jaké sítě brána firewall chrání?

Odpověď: Brána firewall je umístěna mezi sítí, která má být chráněna (důvěryhodná), a vnější sítí (méně důvěryhodná), jako je WAN nebo Internet.

Otázka: Kde je firewall v síti umístěn?

Odpověď: Firewall je umístěn mezi důvěryhodnou sítí a vnější sítí (méně důvěryhodnou), například WAN nebo Internetem.

Otázka: Jaká pravidla používá brána firewall?

Odpověď: Soubor pravidel brány firewall určuje, zda paket síťového provozu může projít do důvěryhodné sítě, nebo zda bude zahozen.

Otázka: Jak brána firewall funguje?

Odpověď: Brána firewall monitoruje síťový provoz procházející mezi důvěryhodnou a méně důvěryhodnou sítí a na každý paket aplikuje sadu pravidel, která rozhodnou, zda může projít, nebo ne.

Otázka: Chrání brána firewall celou síť?

Odpověď: Ne, brána firewall chrání pouze jednu část sítě před neoprávněným přístupem.

Související články

Autor

AlegsaOnline.com Firewall (síť) — brána pro řízení a ochranu síťového provozu

URL: https://cs.alegsaonline.com/art/34494

Sdílet