Firewall (síť) — brána pro řízení a ochranu síťového provozu
Shrnutí funkcí, typů a nasazení síťových firewallů: principy filtrování, stavová kontrola, aplikační brány, NAT, integrace s VPN a doporučené provozní postupy.
Firewall je síťové zařízení nebo software, jehož úkolem je řídit a omezovat přenos dat mezi dvěma či více sítěmi tak, aby chránil důvěryhodné prostředí před neautorizovaným přístupem. Umisťuje se obvykle na okraj sítě (perimeter) mezi interní sítí a méně důvěryhodným prostředím, jako je internet nebo jiné sítě. Firewall rozhoduje o povolení či zahození provozu podle předem definovaných pravidel a politik.
Galerie obrázků
1 ObrázekZákladní principy a režimy
Existují různé principy filtrování provozu:
- Filtr paketů — zpracovává hlavičky paketů (IP adresy, porty, protokoly) a podle pravidel povolí či zablokuje přenos.
- Stavová kontrola (stateful inspection) — sleduje stav spojení a povolí jen pakety, které patří ke známým relacím.
- Aplikační brány a proxy — pracují na úrovni aplikací (HTTP, SMTP, FTP apod.), mohou provádět hlubší inspekci obsahu a kontrolu protokolů.
- Host-based firewall — běží přímo na koncovém systému a chrání jednotlivý počítač nebo server proti nepovolanému provozu.
Funkce nad rámec filtrování
Moderní firewally často kombinují další funkce: překlad adres (NAT), podpora VPN tunelů, detekce a prevence průniků (IDS/IPS), filtrování URL a kontrolu aplikací (tzv. next-generation firewall). Tyto integrované funkce usnadňují správu bezpečnosti, ale zároveň zvyšují nároky na výkon a správnou konfiguraci.
Nasazení a architektura
Firewally se nasazují v různých topologiích: jako hranové zařízení mezi LAN a internetem, jako interní segmentační brány mezi odděleními, nebo v DMZ pro veřejné služby. Ve velkých sítích bývá firewall nasazen na dedikovaném hardwareu, zatímco u domácích a menších instalací postačí software běžící na běžném serveru či routeru.
Pravidla, správa a logování
Pravidla firewallu definují, jaký provoz je povolen nebo blokován; typicky se skládají z kritérií jako zdrojová cílová adresa, port a protokol. Správa pravidel vyžaduje přehlednou politiku, testování a pravidelné revize. Firewally generují záznamy (logy), které slouží pro audit, odhalování incidentů a ladění konfigurace; integrace logů do systému typu SIEM zlepšuje schopnost rychle reagovat na anomálie.
Omezení a rizika
Firewall omezuje síťový přístup, ale není všelékem: neodhalí chyby v aplikačním kódu, neochrání před phishingem ani plně neřeší kompromitované přihlašovací údaje či vnitřní hrozby. Nesprávně nastavená pravidla mohou nechtěně povolit rizikový provoz. Pro komplexní zabezpečení je nutné kombinovat firewally s dalšími opatřeními (antiviry, zabezpečené konfigurace, školení uživatelů).
Doporučené postupy
- Uplatňovat zásadu nejmenších oprávnění (default deny) a explicitně povolovat pouze potřebný provoz.
- Pravidelně revidovat a dokumentovat pravidla a politiky.
- Monitorovat logy a upozornění, provádět zálohy konfigurace a testy obnovy.
- Zajistit aktualizace softwaru a případné podpůrné bezpečnostní služby.
Další zdroje
Pro podrobnější technické informace a návody k implementaci lze konzultovat dokumentaci konkrétních produktů a standardní odbornou literaturu: návod k softwarovému firewallu, přehled typů pravidel: popis pravidel a politik, a základní pojmy síťového provozu: definice paketu.
Poznámka: Volba typu firewallu a jeho umístění závisí na konkrétních požadavcích na bezpečnost, výkon a správu. U složitějších prostředí se doporučuje konzultace s odborníkem.
Různé druhy firewallů.
Filtrování paketů / síťová vrstva
Data se po internetu šíří po malých částech, které se nazývají pakety. Ke každému paketu jsou připojena určitá metadata, například odkud přichází a kam má být odeslán. Nejjednodušší je podívat se na metadata. Na základě pravidel jsou pak určité pakety zahozeny nebo odmítnuty. To umí všechny firewally. Provádí se to na síťové vrstvě.
Stavová kontrola paketů
Kromě jednoduchého filtrování paketů (výše) tento typ firewallu také sleduje připojení. Paket může být začátkem nového spojení nebo může být součástí stávajícího spojení. Pokud není ani jedním z nich, je pravděpodobně zbytečný a může být zahozen.
Brány firewall aplikační vrstvy
Firewally aplikační vrstvy se nedívají pouze na metadata, ale také na skutečná přenášená data. Vědí, jak fungují určité protokoly, například FTP nebo HTTP. Mohou se pak podívat, zda jsou data, která jsou v paketu, platná (pro daný protokol). Pokud nejsou, mohou je zahodit.
Další věci, ke kterým se firewally používají
Tunelování
Firewally mohou zajistit bezpečné spojení mezi dvěma sítěmi. Tomu se říká tunnellng. Data mohou být šifrována. Na druhém konci se dešifrují. Protože to dělají firewally, zbytek sítě o tom neví. Alternativou je zajištění zabezpečeného přístupu (do podnikové sítě).
Překlad síťových adres (NAT)
Brány firewall mohou velmi často překládat IP adresy. Mnoho počítačů tak může sdílet několik veřejných IP adres. Firewall překládá mezi veřejnými a soukromými IP adresami.
Typy firewallů
Obecně existují dva typy firewallů:
- Softwarové firewally: často se spouštějí jako další programy v počítačích, které se používají k jiným účelům. Často se označují jako osobní firewally, které mohou být aktualizovány na osobních počítačích.
Mezi významné značky patří OPNsense, pfsense, comodo atd.
- Hardwarové brány firewall: Hardwarové firewally jsou provozovány na vyhrazeném počítači (nebo zařízení). Často nabízejí lepší výkon než softwarové firewally, ale jsou také dražší.
Mezi významné značky patří PaloAlto, WiJungle, Checkpoint, Cisco atd.
Před čím firewally nemohou chránit
Firewally mohou chránit před některými problémy (viry a útoky), které přicházejí z internetu. Nemohou chránit před viry, které pocházejí z infikovaných médií (například infikovaný kancelářský dokument na USB flash disku).
Otázky a odpovědi
Otázka: Co je to firewall?
Odpověď: Firewall je software používaný v počítačové bezpečnosti, který monitoruje síťový provoz mezi důvěryhodnými a méně důvěryhodnými sítěmi a na každý paket aplikuje sadu pravidel.
Otázka: Co dělá firewall?
Odpověď: Brána firewall chrání část sítě před neoprávněným přístupem tím, že na každý procházející paket síťového provozu aplikuje sadu pravidel.
Otázka: Jaké sítě brána firewall chrání?
Odpověď: Brána firewall je umístěna mezi sítí, která má být chráněna (důvěryhodná), a vnější sítí (méně důvěryhodná), jako je WAN nebo Internet.
Otázka: Kde je firewall v síti umístěn?
Odpověď: Firewall je umístěn mezi důvěryhodnou sítí a vnější sítí (méně důvěryhodnou), například WAN nebo Internetem.
Otázka: Jaká pravidla používá brána firewall?
Odpověď: Soubor pravidel brány firewall určuje, zda paket síťového provozu může projít do důvěryhodné sítě, nebo zda bude zahozen.
Otázka: Jak brána firewall funguje?
Odpověď: Brána firewall monitoruje síťový provoz procházející mezi důvěryhodnou a méně důvěryhodnou sítí a na každý paket aplikuje sadu pravidel, která rozhodnou, zda může projít, nebo ne.
Otázka: Chrání brána firewall celou síť?
Odpověď: Ne, brána firewall chrání pouze jednu část sítě před neoprávněným přístupem.
Související články
Autor
AlegsaOnline.com Firewall (síť) — brána pro řízení a ochranu síťového provozu Leandro Alegsa
URL: https://cs.alegsaonline.com/art/34494
