Firewall – hrozby, napadení, blokové schéma FW, NAT, PAT, proxy, DMZ, tvorba pravidel pro přenosové filtry

Kromě  toho  mohou  firewally  poskytovat  další  (vedlejší)  funkce  –  regulaci  přístupu  uživatelů 
k internetu, funkce NAT, umožňování vzdáleného přístupu či VPN. 

Typy firewallů 

Paketový filtr 

Filtruje pakety na úrovni síťové a transportní vrstvy. Většinou je implementován přímo na routeru, 
může však být také na serverech nebo na koncových stanicích. Nebezpečím jsou fragmenty – každý 
fragment  obsahuje  pouze  IP  adresy  a  pokud  se  nesestaví  celá  zpráva,  nelze  provádět  kontrolu 
portů a TCP a UDP hlaviček. Řídí se sadou pravidel. 

Mají  vysokou  rychlost,  ale  poskytují  nízké  zabezpečení.  Obvykle  bývá  kontrola  prováděna  na 
přechodu z 2. do 3. vrstvy. Zkoumá, co obsahují hlavičky paketů – IP adresu odesílatele a příjemce 
– na základě toho se rozhoduje, zda bude paket propuštěn nebo ne. 

Může zakázat tok od určitého vnějšího uzlu nebo tok k určitému vnitřnímu uzlu. Je možné třídit 
podle čísel portů a je možné tak zakázat určitému uzlu určitou službu přijímat, využívat atp. 

Filtry se rozlišují vstupní, výstupní a přenosový. Filtrovat lze podle spousty faktorů  – IP adresa 
rozhraní, typ protokolu, příznaky v TCP segmentu (ACK, SYN, …), množina zdrojových/cílových 
adres, číslo portu, směrování k jedné stanici, fragmentace, … 

Existují všeobecná pravidla, kde se deaktivuje vše kromě povolených věcí, taková pravidla mohou 
znamenat  např.  „deaktivovat  všechny  služby  kromě  výslovně  povolených“,  „blokovat  směrem 
ven všechny aktualizace protokolů týkající se vnitřní sítě“ nebo např. „deaktivovat fragmentaci“. 

Aplikační brána  

Pracuje na aplikační vrstvě. Nekontroluje transportní vrstvu, zabývá se pouze obsahem paketu. 
Zadrží všechny pakety a u povolených spojení navazuje spojení znovu. Její činnost je bezpečnější, 
neboť se přístup uskutečňuje na základě autentizace. Její součástí je proxy, NAT a PAT.