Principy firewallů

Realita dnešního světa diktuje firmám, aby propojovaly své privátní sítě s veřejným Internetem - nejčastěji kvůli možnosti přístupu svých uživatelů ke zdrojům veřejného Internetu, ale mnohdy i kvůli možnosti vzdáleného přístupu do firemní sítě, například pro potřeby zaměstnanců pohybujících se v terénu. Totéž platí pro privátní sítě nejrůznějších dalších subjektů (třeba škol, úřadů apod.), a do budoucna se to bude týkat i domácích počítačových sítí. Na místě je ale opatrnost, velící zhodnotit co a jak je v sázce, jaká jsou rizika a možná ohrožení privátní sítě a jejích zdrojů, a realizovat takové propojení které zajistí potřebnou úroveň zabezpečení. Možných řešení je celá řada, od nejjednodušších a nejlacinějších po nejsložitější a nejdražší. Obecně se přitom takováto řešení označují jako firewally. jaké jsou základní principy jejich činnosti?

S rozvojem počítačových sítí je neodmyslitelně spojen i trend k jejich vzájemnému propojování. Důvodem je tzv. síťový efekt, neboli skutečnost že většina služeb počítačových sítí získává svou hodnotu až teprve poté, kdy mohou fungovat v prostředí vzájemně propojených sítí o určité minimální velikosti. Ukázkovým příkladem může být dnešní Internet a ze služeb elektronická pošta - možnost používat elektronickou poštu v malé lokální síti zcela oddělené od zbytku světa přináší jen malou užitnou hodnotu. Jakmile je ale příslušná síť propojena např. s Internetem, mohou uživatelé využívat elektronickou poštu ke komunikaci s jinými uživateli prakticky po celém světě, a užitná hodnota elektronické pošty jako služby se tak výrazně zvyšuje. Nejinak je tomu v případě WEB-u a dalších internetových služeb.

Proti snaze o vzájemné propojování počítačových sítí, resp. jejich připojování k Internetu, však stojí obavy provozovatelů těchto sítí z neoprávněného přístupu z vnějšího prostředí (z Internetu) do vlastní sítě. Jde například o obavu, aby se někdo nepovolaný nedostal k informacím či dalším zdrojům, které se nachází v připojené síti ale nejsou určeny pro "vnější" uživatele. Stejně tak může jít o obavu, aby někdo "zvenčí" neproniknul do připojené sítě a nepodniknul zde nějaké nežádoucí akce, například nesmazal obsah disků, nezměnil data, neprovedl zde určité transakce či neovlivnil jejich průběh apod. Konkrétních způsobů provedení takovýchto činů přitom může být opět celá široká škála, od neoprávněného získání vzdáleného přístupu nepovolanou osobou až třeba po působení tzv. trojských koňů či virů, a již samotný rozbor těchto možností by vydal za celý rozsáhlý soubor článků.

Naštěstí je ale dnes k dispozici celá řada možností, jak připojovanou síť ochránit a zabezpečit ji proti nežádoucím průnikům a dalším druhům ohrožení. Možných řešení je opravdu velké množství a liší se jak v ceně resp. v nákladech na své pořízení a provoz, tak samozřejmě i v tom, jak vysokou míru zabezpečení poskytují. Důležité je totiž uvědomit si, že žádné zabezpečení není nikdy ideálně stoprocentní, vždy zřejmě bude existovat nějaká možnost jeho překonání. V praxi proto jde spíše o vhodnou volbu kompromisu mezi požadovanou mírou zabezpečení a náklady, které je na to provozovatel ochoten vynaložit. Aby to ale nebylo až tak jednoduché, tento kompromis ovlivňují i další faktory - například to, zda realizovaná opatření ztěžují práci uživatelů chráněné sítě či ji alespoň zpomalují či jinak ovlivňují - obecně je asi možné konstatovat, že čím větší je míra zabezpečení, tím více jsou omezováni i uživatelé chráněné sítě ve svých aktivitách.

další část