Brána firewall je jedním z nejoblíbenějších zařízení pro zabezpečení počítačů a sítí, které profesionálové používají k ochraně podnikových prostředků IT a sítí.

Stejně jako protipožární dveře v budovách, které chrání místnosti před případným požárem a brání šíření plamenů v budově, má podobnou funkci i bezpečnostní brána firewall, která zabraňuje průniku škodlivých paketů a provozu do chráněných počítačových prostředků a jejich poškození.

Na tomto webu jsem napsal stovky článků kolem firewallů Cisco ASA, které představují klasický příklad hardwarových síťových firewallů.

Existují však i jiné typy firewallů, například hostitelské firewally, které v tomto příspěvku také probereme a porovnáme.

Co je to síťová brána firewall

Jak už název napovídá, tento typ brány firewall se používá hlavně k ochraně celých počítačových sítí před útoky a také k řízení síťového provozu tak, aby se k serverům a prostředkům IT dostaly pouze povolené pakety.

Výše uvedený obrázek ukazuje několik síťových firewallů Cisco ASA. Jak vidíte, jedná se o hardwarová zařízení obsahující několik ethernetových portů pro připojení k síti (od SMB až po velké podnikové sítě).

Tyto porty jsou obvykle porty o rychlosti 1 Gb/s s elektrickými konektory RJ45, ale můžete se setkat i s optickými porty (např. porty o rychlosti 1 Gb/s, 10 Gb/s atd.) pro připojení k optickým kabelům pro větší vzdálenosti a větší šířku pásma.

Fyzické porty síťového firewallu jsou připojeny k síťovým přepínačům, aby bylo možné firewall implementovat v rámci sítě LAN.

V nejjednodušší podobě můžete připojit několik fyzických portů brány firewall k různým síťovým přepínačům, abyste zajistili řízený přístup mezi různými segmenty sítě.

Nejoblíbenějším případem použití síťového firewallu je situace, kdy se používá jako hraniční zařízení internetu k ochraně podnikové sítě LAN před internetem, jak je znázorněno na následujícím schématu:

Výše uvedená síť je jedním z nejoblíbenějších případů použití síťových firewallů, jak se používají v podnikových sítích. Jak vidíte, jeden port brány firewall je připojen k síťovému přepínači Switch-1, ve kterém jsou umístěna všechna klientská zařízení LAN podnikové sítě.

Další fyzický port brány firewall je připojen k jinému síťovému přepínači Switch-2, který se připojuje k webovému serveru.

Ve výše uvedeném scénáři se nám tedy podařilo oddělit veřejně přístupný webový server od zbytku podnikové sítě prostřednictvím bezpečnostního zařízení. To je dobrý bezpečnostní postup, protože pokud dojde ke kompromitaci webového serveru hackerem, nebude k chráněné vnitřní zabezpečené síti žádný přístup.

Brána firewall musí být nakonfigurována tak, aby povolovala provoz z internetu směrem k webovému serveru na určitém portu TCP (port 443 pro HTTP nebo port 80 pro HTTP).

Všechen ostatní provoz bude bránou firewall zablokován (tj.tj. nebude povolen žádný přímý provoz z Internetu směrem do vnitřní podnikové sítě).

Síťový firewall navíc povolí i odchozí provoz z podnikové sítě směrem do Internetu, aby poskytl přístup k Internetu hostitelům vnitřní sítě LAN.

Jak je popsáno ve výše uvedeném případu použití, síťový firewall je zodpovědný za povolování nebo zakazování síťových paketů mezi sítěmi (pomocí pravidel přístupu na 3. a 4. vrstvě OSI). To je nejzákladnější funkce brány firewall.

Nejnovější generace bran firewall (nazývané „brány firewall nové generace“) také kontrolují provoz na aplikační vrstvě, aby identifikovaly škodlivý provoz a útoky na aplikační úrovni (např. viry, pokusy o vniknutí, útoky SQL injection atd. atd.).

Co je hostitelská brána firewall

Jak název napovídá, hostitelská brána firewall je softwarová aplikace nainstalovaná na hostitelských počítačích nebo serverech, která je chrání před útoky.

Přestože výše zobrazená síť není doporučena v reálných scénářích, ilustruje, jak se hostitelská brána firewall používá.

Všimněte si, že nejlepší možností by bylo kombinovat síťovou bránu firewall i bránu firewall na bázi hostitele pro lepší ochranu pomocí vrstveného přístupu.

Brána firewall na bázi hostitele je nainstalována přímo jako software na hostiteli a řídí příchozí a odchozí provoz na konkrétního hostitele a z něj.

Klasickým příkladem hostitelské brány firewall je brána firewall systému Windows, která je standardně dodávána ve všech operačních systémech Windows.

Protože je tento typ ochrany vázán na samotného hostitele, znamená to, že poskytuje ochranu hostiteli bez ohledu na to, k jaké síti je připojen.

Příklad pokud jste připojeni k podnikové síti, jste již chráněni síťovou bránou firewall. Pokud nyní vezmete svůj notebook s hostitelskou bránou firewall a připojíte jej k externí síti WiFi, brána firewall stále poskytuje ochranu počítači.

Navíc některé hostitelské brány firewall poskytují také ochranu před útoky aplikací. Protože je tento typ ochrany nainstalován na skutečném hostiteli, má přehled o aplikacích a procesech spuštěných na hostiteli, a proto může brána firewall chránit před malwarem, který se snaží infikovat systém.

Jednou ze slabin takové brány firewall je, že ji může vypnout útočník, kterému se podařilo získat přístup k hostiteli na úrovni správce.

Pokud je hostitel napaden hackerem s právy správce, lze bránu firewall na bázi hostitele vypnout, což je u brány firewall na bázi sítě nemožné.

Srovnání síťových a hostitelských firewallů

Charakteristika	Síťový firewall	Hostitelský firewall
Umístění	Vnitř sítě (buď u na hranici/perimetru nebo uvnitř sítě LAN)	Na každém hostiteli
Hardware/Software	Hardwarové zařízení	Softwarová aplikace
Výkon	Vysoký výkon (šířka pásma, souběžná připojení atd.)	Nízký výkon (protože je softwarový)
Úroveň ochrany	Síťová ochrana plus ochrana na úrovni aplikace (pokud používáte bránu Next Generation Firewall)	Síťová ochrana plus ochrana na úrovni aplikace (u některých modelů)
Použití-případy	Především v podnikových sítích	Jak v osobních počítačích v domácích sítích, tak i v podnikových sítích jako dodatečná ochrana na hostitelích.
Segmentace sítě	Velká segmentace a řízení na úrovni VLAN / 3. vrstvy, ale nelze omezit provoz mezi hostiteli ve stejné VLAN	Velká mikrosegmentace na úrovni hostitele, i když hostitelé patří do stejné VLAN.
Mobilita	Jakmile je firewall implementován uvnitř sítě, je velmi obtížné jej odstranit nebo změnit.	Vysoká mobilita, protože je vázán na každého hostitele.
Správa	Může být spravován z centrálního serveru pro správu firewallu nebo přímo na samotném zařízení	Těžko se spravuje, pokud v síti existují stovky hostitelů.
Jak snadno obejít	Síťové brány firewall nemohou útočníci obejít.	Snadněji obejít. Pokud útočník kompromituje hostitele pomocí exploitu, může firewall vypnout.

.