Cachující WWW proxy brány
Proxy brány, popsané v předchozím odstavci, lze úspěšně využít i pro další úkoly, které jsme již zmiňovali při popisu možných přínosů firewallů. Zdůrazněme si znovu, že proxy brána je vždy specializovaná na určitou konkrétní službu resp. aplikaci (například na WWW), a díky tomu dokáže rozumět specifice příslušné aplikace.
Jde-li o WWW proxy bránu, pak je pro ni typické, že si uchovává WWW stránky, které skrz ni prochází, ve své vyrovnávací paměti (označované též jako "cache paměť"). Smysl je takový, že když následně někdo další z chráněné sítě vznese požadavek na tutéž WWW stránku, proxy brána ji nemusí znovu "stahovat" z veřejného Internetu a tím zatěžovat příslušné přenosová cesty (spotřebovávat přenosovou kapacitu). Místo toho může příslušnou stránku okamžitě poskytnout přímo ze své vyrovnávací (cache) paměti.
Stateless vs. stateful inspection
Přenosové mechanismy i služby dnešních počítačových sítí mohou fungovat dvěma základními způsoby, které je možné označit jako stavové (statefull) a bezestavové (stateless). Bezestavový způsob fungování znamená, že každý jednotlivý požadavek je zpracováván nezávisle na ostatních požadavcích (tj. zcela nezávisle na dosavadní "historii"), zatímco při stavovém způsobu fungování zpracování každého požadavku obecně ovlivňuje zpracování všech dalších požadavků (tj. zpracování zde záleží na "historii"). Například služba WWW funguje bezestavově, protože každý jednotlivý požadavek WWW klienta (browseru) na server (např. požadavek na načtení jedné WWW stránky) je vyřizován bez jakékoli závislosti na předchozích požadavcích od téhož klienta (i jiných klientů).
Při využití naší analogie s hlídači na bráně do středověkého hradu lze bezestavový či naopak stavový způsob fungování připodobnit k absenci či přítomnosti paměti hlídačů - při bezestavovém způsobu fungování jsou značně zapomětliví a vůbec si nepamatují si, kdo kolem nic prošel před chvílí. Nedokáží se proto dívat přísněji (či naopak benevolentněji) na časté návštěvníky. naproti tomu při stavovém způsobu fungování mají dobrou paměť a o každém si pamatují, po určitou dobu nazpět, kdy, s čím event. proč bránou procházel.
Bezestavovým (stateless) či stavovým (stateful) způsobem mohou fungovat i firewally, a to jak charakteru paketových filtrů, tak i aplikačních bran. Firewally fungující bezestavovým způsobem hodnotí každý požadavek na přenos (každý "kus" přenášených dat) vždy samostatně, bez ohledu na jiné požadavky, a nedokáží tudíž odhalit případné souvislosti mezi jednotlivými požadavky. Naproti tomu firewally fungující stavovým způsobem mohou posuzovat jednotlivé požadavky v kontextu ostatních požadavků, a mají tak šanci rozpoznat určité relace (sessions), tvořené vzájemně souvisejícími požadavky. Obecně tedy dokáží poskytnout vyšší stupeň ochrany, resp. vyhovět požadavkům na zabezpečení, které jsou odvozeny i od průběhu určitých relací.
Dvounohé firewally
Pokud jde o celkovou "architekturu" firewallů, zde připadají v úvahu dvě základní možnosti. Jednou z nich je "dvounohý firewall" (na principu tzv. multihomed host), a druhým je řešení na principu tzv. demilitarizované zóny. Zastavme se nejprve podrobněji u první z obou možností.
 |
Představu "dvounohého firewallu" ukazuje obrázek, ze kterého je názorně vidět že jde o řešení které vyžaduje uzel který má (alespoň) dvě síťová rozhraní, připojená do dvou různých sítí, mezi kterými pak zajišťuje potřebné propojení. Pokud vám to připomíná roli směrovače, který má také za úkol propojovat mezi sebou dvě jinak samostatné sítě, pak máte pravdu - toto řešení skutečně plní roli směrovače a přenáší síťové pakety z jedné sítě do druhé. Jeho role firewallu pak spočívá v tom, že rozhodování takovéhoto uzlu (o předání konkrétního paketu či naopak nepředání) je náročnější než u běžného směrovače, protože je založeno na detailnějším zkoumání přenášených paketů a jejich obsahu. Může se přitom jednat o rozhodování na základě informací síťové a transportní vrstvy, neboli na základě síťových adres a tzv. portů - pak jde o firewall na principu paketového filtru. Stejně tak je ale možné, aby se jednalo i o aplikační bránu, která posuzuje přenášená data až na úrovni aplikační vrstvy - ať již v provedení obsahového filtru, tak i v provedení využívající proxy brány.