Portál AbcLinuxu, 25. dubna 2024 19:28
Upoutávka na zajímavý článek z LinuxBIZ, který podrobně popisuje toto téma.
Softwarový firewall - každý znás si může pod tímto označením představit softwarový produkt se zcela rozdílnými vlastnostmi. Také termíny "SOHO" a "SME" jsou velice široké a zahrnují firmy nebo organizace od jedno či více uživatelů v domácí kanceláři až po firmy s desítkami či stovkami uživatelů s firemní centrálou a pobočkami v každém kraji, okrese nebo s pobočkami například v EU. Rozsah vlastností i počet možných uživatelů závislých na softwarovém firewallu je značný.
Co je to softwarový firewall? Můžete to být specializovaný softwarový produkt poskytovaný zdarma na základě GPL licence nebo komerční produkt nabízený jeho výrobcem, distributorem nebo vaším dodavatelem IT. Bez ohledu na konkrétní detaily implementace takového systému je firewall hraničním bodem mezi interní počítačovou sítí a Internetem, který kontroluje a řídí veškerý příchozí i odchozí datový provoz a propouští pouze provoz odpovídající definované bezpečnostní politice. Pojďme se podívat, jaké hlavní bezpečnostní moduly by dobrý firewall měl mít, a řekněme si, proč jsou tyto moduly pro bezpečnost interní sítě tak důležité (obr. 1).
Firewall kontroluje síťové informace (paketové hlavičky) a aplikační informace (data) a dle nastavených pravidel detekuje a případně blokuje nebezpečnou komunikaci. Kontrolu síťových informací zajišťuje základní kámen každého moderního firewalu, tzv. stateful packet filter - paketový filtr, který na základě definovaných pravidel rozhoduje, zda mohou pakety projít do zabezpečené interní sítě nebo na aplikační proxy servery. Stateful packet filter automaticky otevírá potřebné porty a zároveň tyto porty uzavírá při ukončení datové komunikace. Firewall umožňuje pomocí paketového filtru a několika síťových rozhraní rozdělit interní síť na několik segmentů (event. vytvořit tzv. demilitarizovanou zónu - DMZ) a do těchto segmentů nebo DMZ zóny umístit servery nebo služby poskytované pro ostatní uživatele v Internetu nebo obchodní partnery. Důvodem pro oddělení takových systémů od interních sítí je bezpečnost celého systému. Filozofií řešení je restrikce - povolení přístupu jen k nezbytně nutným službám, pouze na nezbytně nutnou dobu a pouze do nezbytně nutných sítí.
Důležitou vlastností paketového filtru je schopnost řídit kvalitu služeb (QoS). Paketový filtr by měl umožňovat zvýšení nebo snížení priority různých typů síťových protokolů pro zajištění korektní funkce kritických firemních aplikací.
Pokud vás článek firmy Annex NET s.r.o. zaujal, celý si jej můžete přečíst na portálu LinuxBIZ.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.