Firewall

První zápis nemám.

může být tvořen 

aplikační bránou

-

paketovým filtrem

-

a ještě něčím (kombinací?)

-

Paketový filtr

filtruje pakety na úrovni síťové vrstvy a transportní vrstvy

-

většinou implementováno přímo na směrovači, ale může být také na 
serverech nebo přímo na stanicích

-

nebezpečím jsou fragmenty – každý fragment obsahuje pouze IP adresy a 
pokud se nesestaví celá zpráva, nelze provádět kontrolu portů a TCP a UDP 
hlaviček

-

mají vysokou rychlost, ale nízké zabezpečení

-

obvykle bývá kontrola prováděna na přechodu z 2. do 3. vrstvy

-

zkoumá co obsahují hlavičky paketů – IP adresu odesílatele a příjemce, na 
základě toho se rozhoduje, zda paket propustí nebo ne

-

může zakázat tok od určitého vnějšího uzlu nebo tok k určitému vnitřnímu 
uzlu

-

možno třídit podle čísel portů a je možné tak zakázat určitému uzlu určitou 
službu (přijímat, užívat, …)

-

je to sada filtrovacích pravidel

-

/sada pravidel, podle kterých se dá filtrovat

-

vstupní filtr

-

výstupní filtr

-

přenosový filtr

-

podle čeho se dá filtrovat

IP adresy rozhraní

○

typ protokolu

○

příznaky v TCP segmentu (ACK, SYN, …)

○

množina zdrojových/cílových adres

○

číslo portu

○

směrování k jedné stanici

○

fragmentace jde zakázat

○

-

existují všeobecná pravidla, kde se deaktivuje vše kromě povolených věcí

"deaktivovat všechny služby kromě výslovně povolených"

○

"blokovat směrem ven všechny aktualizace protokolů týkající se vnitřní 
sítě"

○

"deaktivovat fragmentaci"

○

atp.

○

-

Aplikační brána

pracuje na aplikační vrstvě

-

nekontroluje transportní vrstvu, zabývá se pouze obsahem paketu

-

zadrží všechny pakety a u povolených spojeních navazuje spojení znovu

-

její činnost je bezpečnější, neboť se přístup uskutečňuje na základě
autentizace

-

proxy server

zástupná služba pro každou povolenou službu