Dzisiaj wracamy do pracy magisterskiej o zaporach ogniowych. Miłego czytania!
Zapora sieciowa w swej istocie jest raczej koncepcją, a nie produktem. Celem istnienia zapór jest przyznanie, bądź odmowa przyznania połączenia danemu użytkownikowi do danej usługi sieciowej. W bardziej ogólnym sensie zapora sieciowa składa się z odpowiedniego oprogramowania i sprzętu. Oprogramowanie może być typu freeware, shareware lub komercyjne. Sprzęt może być jakimkolwiek urządzeniem, na którym pracuje dany program.
Firewall zabezpiecza połączenie z Internetem w takim stopniu w jakim jest to możliwe za pomocą sprawdzania i zatwierdzania lub odrzucania prób połączenia między siecią wewnętrzną użytkownika a sieciami zewnętrznymi. Silne ściany ogniowe chronią sieć na poziomie wszystkich warstw – od warstwy łącza danych w górę do warstwy aplikacji.
Ściana ogniowa jest umieszczana na granicach sieci – w punktach, które zapewniają dostęp do innych sieci. Z tego powodu ściana uważana jest za gwaranta bezpiecznej granicy. Pojęcie gwaranta bezpiecznej granicy jest ważne, ponieważ bez niego każda stacja w sieci musiałaby samodzielnie wykonywać funkcje ściany, niepotrzebnie zużywać swoje zasoby obliczeniowe i zwiększać ilość czasu potrzebnego do połączenia, uwierzytelniania i szyfrowania danych. Ściany ogniowe pozwalają scentralizować wszystkie zewnętrzne usługi sieciowe na komputerach, które są dedykowane i zoptymalizowane pod kątem tej pracy.
Z natury rzeczy ściany ogniowe tworzą wąskie gardło między sieciami wewnętrznymi a zewnętrznymi, ponieważ cały ruch przechodzący między sieciami musi przechodzić przez pojedynczy punkt kontroli. Jest to niewielka cena, która płaci się za bezpieczeństwo. Ponieważ zewnętrzne połączenia wykorzystujące linie dzierżawione są względnie wolne w porównaniu do szybkości współczesnych komputerów, zwłoka spowodowana przez ścianę ogniową może być całkowicie pominięta.
Firewall działa w oparciu o trzy podstawowe mechanizmy:
- filtrowanie pakietów (ang. packet filtering) polega na tym, że odrzucane są pakiety TCP/IP z nieautoryzowanych hostów i próby połączenia z nieautoryzowanymi usługami.
Translacja adresów sieciowych NAT (ang. Network address translation) polega na dokonywaniu zmiany adresu IP hosta wewnętrznego w celu ukrycia go przed zewnętrznym monitorowaniem. Mechanizm ten jest również nazywany maskowaniem adresu IP (ang. IP masquerading).
Usługi proxy – ściana ogniowa może dokonywać połączenia na poziomie aplikacji w imieniu wewnętrznego hosta, przerywane jest wtedy połączenie na poziomie warstwy sieciowej pomiędzy hostami wewnętrznymi i zewnętrznymi.
Duża część ścian ogniowych wykonuje jeszcze dwie inne usługi bezpieczeństwa.
- szyfrowane uwierzytelnianie – użytkownicy sieci publicznej muszą udowodnić swoją tożsamość wobec ściany ogniowej zanim uzyskają dostęp do sieci wewnętrznej.
Szyfrowane tunelowanie – pozwala na ustanowienie bezpiecznego połączenia między dwoma prywatnymi sieciami za pośrednictwem publicznego medium typu Internet. Dzięki temu dwie fizycznie rozdzielone sieci mogą użyć do komunikowania się Internetu zamiast linii dzierżawionej. Tunelowanie jest także nazywane wirtualnymi sieciami prywatnymi.
Przedstawione mechanizmy wykorzystywane są do zapewnienia bezpieczeństwa we wszystkich prawie ścianach ogniowych. Aktualnie na rynku istnieją setki tego typu produktów wzajemnie rywalizujących ze sobą. Oczywiście użytkownicy mogą korzystać tylko z niektórych wymienionych wyżej funkcji za pomocą odpowiednich urządzeń lub serwerów na przykład użytkownik może mieć router filtrujący pakiety i na odrębnym komputerze serwer proxy. Wtedy albo filtr pakietów musi przepuszczać ruch do serwera proxy, albo serwer proxy musi znajdować się na zewnątrz sieci użytkownika i nie mieć ochrony zapewnianej przez filtr pakietów. Obydwa rozwiązania są bardziej niebezpieczne niż używanie pojedynczej ściany ogniowej, która wszystkie funkcje ma zgrupowane w jednym miejscu.