Funkce firewallů

Součástí základního "ujasňování si" věcí kolem připojování privátní sítě by měla být i rozvaha o tom, co všechno by mělo cílové řešení zajišťovat, kromě svého primárního účelu, kterým je ochrana privátní sítě před nežádoucím přístupem zvenčí. Dnešní firewally totiž dokáží plnit i celou řadu dalších funkcí, a jejich koncepci je proto vhodné volit i s ohledem na to, které z těchto "dalších" funkcí mají být využívány a v jaké míře. Jde zejména o tyto funkce:

• regulace přístupu vlastních uživatelů (uživatelů chráněné privátní sítě) do veřejného Internetu. Provozovatel firemní sítě může např. chtít zakázat svým zaměstnancům přístup k některým serverům (např. erotickým), nebo naopak povolit přístup jen k některým konkrétně určeným serverům, či tyto aktivity alespoň určitým způsobem regulovat (nebo i jen evidovat, tak aby mohl následně vyhodnotit chování uživatelů). Stejně tak může chtít regulovat využívání určitých služeb (např. ICQ apod.), či může chtít vázat příslušná omezení na konkrétní časové intervaly (například na stanovenou pracovní dobu) apod.
• antivirová ochrana - provozovatel připojené sítě může požadovat, aby firewall chránil tuto síť před nakažením počítačovými viry, což se může týkat jak přicházející elektronické pošty, tak například i pošty odcházející (aby nedošlo k zavirování externích uzlů), i dalšího druhu provozu (například přenosu textových souborů s makroviry)
• optimalizace připojení - některé druhy firewallů mohou napomáhat efektivnějšímu využití přípojky dané sítě k vnějším sítím, typicky k Internetu. Jde o to, že v rámci firewallu může fungovat tzv. cache server, který v sobě uchovává některé objekty často požadované uživateli chráněné privátní sítě (nejčastěji: WWW stránky). Z vnějšího prostředí je pak sám stahuje (a tím zatěžuje přípojku) jen při prvním požadavku na ně, zatímco při dalších požadavcích na stejný objekt poskytne jeho kopii, kterou si uchoval. Díky tomu pak uživatelé připojené sítě mohou vystačit s pomalejší a tudíž lacinější přípojkou (k Internetu), než jakou by ke stejnému způsobu práce potřebovali bez právě popsané funkce firewallu.
• řešení problému s IP adresami - jedním z nepříjemných problémů dnešního Internetu je nedostatek číselných adres (IP adres). Každý uzel, který má být připojen k Internetu, musí mít přidělenu takovouto adresu, která je navíc unikátní (stejnou adresu nesmí mít žádný jiný počítač). Dnes jsou tyto adresy navíc závislé i na způsobu, jakým je připojení realizováno (jsou závislé na poskytovateli připojení). Se získáním potřebného počtu IP adres však mohou být v praxi spojeny určité problémy. Při použití firewallu (většiny druhů firewallů) však popsané pravidlo přestává platit - za firewallem mohou být použity takové IP adresy, které nejsou unikátní a ani nejsou závislé na konkrétním providerovi, který připojení zajišťuje.
• veřejné zpřístupnění zdrojů - ačkoli se provozovatelé připojených sítí především snaží chránit své zdroje (včetně nejrůznějších informací) před neoprávněným přístupem zvenčí, přesto u některých konkrétních zdrojů (informací) mají zájem na jejich zpřístupnění i pro uživatele z vnějších sítí. Jde například o prezentaci firmy, její obchodní nabídky atd. - obecně o cokoli, co si provozovatel privátní sítě sám určí za veřejné. V rámci firewallu pak bývá takovéto zveřejnění realizováno - například formou WWW serveru či FTP serveru, který je přístupný jak "zevnitř" (z chráněné sítě), tak i "z vně".
• vzdálený přístup oprávněných uživatelů - provozovatelé firemních sítí (intranetů) velmi často vyžadují, aby uživatelé měli přístup ke zdrojům a službám těchto chráněných sítí i v případě, kdy se nachází mimo dosah této sítě (jsou například v terénu, u zákazníka apod.). V takovémto případě jsou oprávnění uživatelé v pozici vzdálených uživatelů, a součástí řešení firewallu bývá i umožnění jejich vzdáleného přístupu.
• zabezpečená komunikace - veřejný Internet představuje nezabezpečený přenosový kanál, v tom smyslu že data která jsou přes něj přenášena nejsou žádným způsobem šifrována či jinak zabezpečena proti neoprávněnému "odposlechu". Potřebné zabezpečení je ale možné realizovat na vyšších úrovních (na úrovni transportní či aplikační vrstvy), a fakticky tak data šifrovat (kódovat) ještě před tím, než jsou předána k přenosu do veřejného Internetu. Takovéto řešení ale vyžaduje, aby "na druhé straně" byl někdo, kdo zakódovaná data vrací zpět do jejich původní podoby. V praxi mohou vše zajišťovat koncové uzly, které spolu komunikují. Stejně tak ale může potřebné šifrování (kódování) za účelem zabezpečení přenášených dat realizovat dvojice firewallů připojených k Internetu, která mezi sebou vytváří zabezpečený tunel. Díky němu pak mohou být propojeny například dvě chráněné privátní sítě skrze veřejný Internet, bez toho že by si jejich vnitřní uzly musely uvědomovat existenci zabezpečujících mechanismů a jakkoli se jí přizpůsobovat (bezpečný tunel mezi firewally je pro ně koncové uzly neviditelný) . Pomocí takovýchto tunelů mezi jednotlivými firewally lze dokonce realizovat celé privátní sítě (VPN, Virtual Private Network) vedoucí skrze veřejný Internet.
• sdílení přístupu k Internetu - především u velmi malých sítí, tvořených jen několika málo počítači, je jedním z požadavků na jejich fungování to, aby vůbec umožňovaly přístup k Internetu všem uzlům připojené sítě. V zásadě jde o nahrazení funkce klasického směrovače, který je pro tuto roli jinak nezbytný.