Firewall – hrozby, napadení, blokové schéma FW, NAT, PAT, proxy, DMZ, tvorba pravidel pro přenosové filtry

PAT zařízení viditelně modifikuje pakety v okamžiku, kdy projdou skrz. Tato modifikace vytváří 
dojem,  že  všechny  pakety,  které  jsou  odesílány  do  veřejné  sítě  od  mnoha  místních  počítačů  ve 
vnitřní síti, pocházejí od jediného počítače – ten je představován právě jednotkou PAT. 

Překlad koncového bodu 

Když  počítač  z LAN  posílá  paket  do  internetu,  PAT  zařízení  nahrazuje  vnitřní  IP  adresu  ve 
zdrojovém  poli  hlavičky  paketu  (zpáteční  adresa)  s externí  IP  adresou  PAT  zařízení  (odpověď 
z internetu tedy přijde na PAT zařízení) a dále přiřadí spojovací číslo portu z množství dostupných 
portů a toto číslo portu přiloží ke zdrojovému poli portů. Poté je paket odeslán do vnější sítě. 

V momentě, kdy přijde odpověď, je podle původně vybraného čísla portu odeslána na příslušný 
počítač z vnitřní sítě. 

Demilitarizovaná zóna (DMZ) 

Oblast oddělující internet a  vlastní LAN. Zabraňuje průchodu paketů  tak, že pakety musejí být 
adresovány do zóny, která pak zprostředkovává jejich další přenos. Od vstupních částí je oddělena 
směrovači (pro každý vstup musí být jiný směrovač). 

Pro služby, které vyžadují přímý průchod, museí být jednotlivé pakety předem kontrolovány  – 
tuto činnost řeší paketový filtr a aplikační brána SOCKS1. 

Umisťuje se do ní např. web server, e-mail server, koncový bod VPN, aplikační servery či například 
FTP servery nebo proxy server – tedy veškeré brány, které provoz předávají dále. 

Tvorba pravidel pro filtraci 

Deaktivují  se  všechny  protokoly  a  adresy,  kromě  výslovně  povolených  služeb;  deaktivují  se 
všechny  pokusy  o  připojení  k hostiteli  sítě;  blokují  se  (směrem  ven)  všechny  aktualizace  RIP 
a OSPF týkající se vnitřní sítě; servery s veřejnými službami jsou zařazeny před paketové filtry.