Firewall lub zapora ogniowa, zapora sieciowa

połączenie sprzętowej i programowej ochrony zasobów sieci LAN przed dostępem z zewnątrz (np. z sieci publicznych, w tym Internetu). Oprogramowanie instalowane jest zazwyczaj na wydzielonym serwerze pełniącym rolę pośrednika między sieciami. Do jego podstawowych zadań należy monitorowanie wszystkich wchodzących i wychodzących informacji i odmawianie żądań dostępu uznanych za niebezpieczne. Inną pożyteczną cechą firewalla jest możliwość wykorzystania ich do rejestrowania i śledzenia wszelkich przychodzących pakietów (auditing). Stacje umieszczane w pierwszej linii obrony, określane również jako bastion host, są punktami przez które przechodzą wszystkie informacje do sieci lokalnej i na zewnątrz. Dzięki takiemu scentralizowaniu dróg dostępu do sieci w jednym komputerze można łatwo zarządzać systemem ochrony.

Rodzaje zapór ogniowych:

  • Na rynku dostępnych jest wiele produktów sprzedawanych pod nazwą „firewall”, lecz różnią się one poziomem oferowanych zabezpieczeń. Filtry pakietowe (Network Level) na podstawie adresu źródłowego i docelowego oraz portu pojedynczego pakietu decydują, czy dana przesyłka może zostać przesłana dalej, czy też nie. Zwyczajny router nie jest zwykle w stanie takiej decyzji podjąć, lecz bardziej nowoczesne konstrukcje mogą przechowywać wewnętrzne informacje o stanie połączeń przechodzących przez niego, zawartości niektórych strumieni danych itp. Filtry pakietowe są zwykle bardzo szybkie, jednak ich wadą jest, że podane kryteria selekcji mogą okazać się niewystarczające dla niektórych usług internetowych, przez co do sieci byłyby przepuszczane niepożądane pakiety, a wtedy… Jedną z możliwych prób ataku może być umieszczenie pakietów wyższego poziomu w fałszywych ramkach MAC lub protokołu warstwy 3 (sieciowa) i 4 (transportowa) modelu ISO/OSI. Często wystarczy tylko zmienić adres nadawcy pakietu. W takim przypadku filtr pakietowy jest bezradny.
  • Bramki typu Circuit Level są w stanie przyporządkowywać pakiety do istniejących połączeń TCP i dzięki temu kontrolować całą transmisję. Zaawansowane systemy potrafią także kojarzyć pakiety protokołu UDP, który w rzeczywistości kontroli połączeń nie posiada.
  • Firewalle Application Level to, generalnie rzecz ujmując, hosty, na których uruchomiono proxy servers, które nie zezwalają na bezpośredni ruch pakietów pomiędzy sieciami oraz rejestrują i śledzą cały ruch przechodzący przez niego. Proxy potrafią więc niejako odseparować „wiarygodną” część sieci od podejrzanej; mogą magazynować najczęściej żądane informacje – klient kieruje swoje zadanie do proxy, który wyszukuje obiekt w swoich lokalnych zasobach i zwraca zamawiającemu. Dla każdej aplikacji (czyli usługi sieciowej, np. http, ftp, telnet, smtp, snmp, …) istnieje osobny proxy, dla którego definiowane są reguły według których podejmowana jest decyzja o zaakceptowaniu bądź odrzuceniu połączenia. Niewątpliwym minusem tego rozwiązania jest konieczność stosowania wielu proxy do obsługi różnych aplikacji; jeżeli dla danego protokołu nie jest dostępny odpowiedni proxy, to dane przesyłane w tym formacie nie będą w ogóle przepuszczane przez bramkę. Na rynku dostępne są też systemy z proxy definiowanymi przez użytkownika funkcjonującymi jednakże nie na płaszczyźnie aplikacji, lecz analogicznie do filtrów pakietowych i bramek Circuit Level.

    Na ścianę ogniową składać się może wiele różnorodnych technik obronnych, m.in.:

  • filtrowanie pakietów, czyli sprawdzanie śródeł pochodzenia pakietów danych i akceptowanie jedynie tych z określonych domen bądś adresów IP (niepożądana zawartość WWW);
  • stosowanie procedur identyfikacji użytkownika, np. przy pomocy haseł bądś cyfrowych certyfikatów;
  • uzupełnienie programów obsługujących pewne protokoły (np. FTP lub Telnet) o mechanizmy zabezpieczające,
  • umożliwiają dostęp jedynie do usług skonfigurowanych przez administratora, które mogą być bezpiecznie użytkowane;
  • zapewniają pełne bezpieczeństwo przez sprawdzanie zawartości komunikacji sieciowej WWW, FTP, SMTP, Telnet i Rlogin;
  • realizują funkcję SSN (ang. Secure Server Network);
  • tłumaczenie i ukrywanie prywatnych adresów IP chronionej sieci komputerowej przez utajnienie rzeczywistych adresów sieci prywatnej oraz tłumaczenie „w locie” adresów niewłaściwych, dzięki temu możliwe jest wykonywanie identyfikacji i autoryzacji – ukrywanie infrastruktury sieci wewnętrznej;
  • współdziałają z systemami wykrywania włamań, które w razie wykrycia włamywacza niezwłocznie powiadamiają o tym, aby niebezpieczny kanał komunikacji sieciowej został w porę zablokowany;
  • mogą współpracować z programami antywirusowymi, kontroli antywirusowej poddawane są wszystkie przychodzące z Internetu pliki, wiadomości lub cały generowany ruch (również złośliwe aplety Java);
  • szyfrowanie przesyłanych informacji przy zastosowaniu sprawdzonych technik kryptograficznych oraz efektywnych algorytmów generowania i dystrybucji kluczy szyfrowania (DES, RC-4, FWZ-1, MD5, SHA-1, SKIP, IPSec, IKE), dane są zabezpieczone w zakresie utrzymywania ich poufności, integralności i wiarygodności zapewniając bardzo wysoki poziom bezpieczeństwa transmitowanych informacji;
  • umożliwiają zarządzanie i dostęp do urządzeń SNMP w sieci lokalnej, Intranecie lub sieci rozległej bez wystawiania systemu na niebezpieczeństwo;
  • współpracują z najważniejszymi systemami potwierdzania autentyczności, prowadzone dla wszystkich (ponad 100) kontrolowanych usług sieciowych;
  • skanowanie WWW pod względem zawartości apletów Java, procedur ActiveX i innych potencjalnie niebezpiecznych dodatków do HTML;
  • wykrywanie i blokowanie najbardziej niebezpiecznych technik włamań np. spoofing, SYN Flood, LAND, Ping of Death, WinNuke;
  • zapewniają bezpieczny serwer poczty elektroniczne