Rysy firewallu a možné riziká
ISACA Procedures rozlišuje 3 základné rysy firewallu, ktoré boli vysvetlené v kap. 2.2:
• NAT (Network Address Translation)
• IDS (Intrusion Detection Systems)
• VPN (Virtual Private Networks)
Každá charakteristika je opäť slovne definovaná a sú u nej uvedené jej výhody a nevýhody. V predchádzajúcich kapitolách sme sa tiež zaoberali možnosťami použitia firewallov. Tejto oblasti sa venuje aj ISACA a vymedzuje nasledujúce funkcie:
• kontrola prístupu na vnútorné a vonkajšie sieť (perimeter firewalls),
• kontrola prístupu medzi verejne prístupnými a verejne neprístupným servery (DMZ firewalls - bližšie pozri. Kap. 2.2.1),
• kontrola prístupu medzi vnútornými sieťami s rôznym prístupom a bezpečnostnými požiadavkami,
• kontrola prístupu skrz zdieľané modemy a súkromné dial-up siete,
• kryptování vnútornej a vonkajšej siete, ktorá prenáša citlivé údaje,
• skryť vnútornej sieťovej adresy z externých sietí (NAT).
Posledná časť prvej polovice kapitoly sumarizuje možné riziká, proti ktorým by mal byť firewall postavený. Riziká sú rozdelené do 2 skupín:
• riziká spojené so softvérovými chybami,
• riziká spojené s nastavením (napr. protokol UDP, ICMP, SYN).
Softvérové implementácie
Softvérové implementácie
Čo sa týka konkrétnych implementací firewallov do operačných systémov, veľmi často sa používa Solaris a jeho klasický FW alebo novší implementácia FW ZP, ďalej potom najrôznejšie komerčné firewally pre HP-UX. BSD systémy môžu používať ipfilter alebo firewally špecifické pre jednotlivé operačné systémy, ako napríklad ipfw a ipfw2 u FreeBSD a úplne od základov napsaný hg pre OpenBSD. Najznámejší voľne dostupný operačný systém súčasnosti Linux, prešiel v oblasti firewallu dlhým vývojom, jadra 2.0 a staršie obsahovala v podstate ipfw prevzaté z BSD, s 2.2 prišla veľká inovácia v podobe ipchains a konečne moderné jadra 2.4 a 2.6 obsahujú široko konfigurovateľný firewall iptables (predtým tiež netfilter). Existujú aj riešenia pre operačné systémy firmy Microsoft, ovšem firewall patrí určite medzi tzv high avaliability systémy av tejto oblasti má vyššie uvedená firma stále čo doháňať.
Čo sa týka konkrétnych implementací firewallov do operačných systémov, veľmi často sa používa Solaris a jeho klasický FW alebo novší implementácia FW ZP, ďalej potom najrôznejšie komerčné firewally pre HP-UX. BSD systémy môžu používať ipfilter alebo firewally špecifické pre jednotlivé operačné systémy, ako napríklad ipfw a ipfw2 u FreeBSD a úplne od základov napsaný hg pre OpenBSD. Najznámejší voľne dostupný operačný systém súčasnosti Linux, prešiel v oblasti firewallu dlhým vývojom, jadra 2.0 a staršie obsahovala v podstate ipfw prevzaté z BSD, s 2.2 prišla veľká inovácia v podobe ipchains a konečne moderné jadra 2.4 a 2.6 obsahujú široko konfigurovateľný firewall iptables (predtým tiež netfilter). Existujú aj riešenia pre operačné systémy firmy Microsoft, ovšem firewall patrí určite medzi tzv high avaliability systémy av tejto oblasti má vyššie uvedená firma stále čo doháňať.
Použitie firewallu
Firewally sú teda používajú v zásade z dvoch dôvodov: 1. udržať útočníkmi mimo siete alebo 2. udržať používateľa v sieti, zrejmá je 3. možnosť, ktorá predstavuje kombináciu vyššie uvedeného. Možno by sme teraz mali rozšíriť definíciu firewalu ako systému filtrujícího sieťovú prevádzku - teda paketový filter - o najrôznejšie proxy servery, ktoré budeme v tejto práci chápať ako systémy umožňujúce užívateľom po autorizaci a na základe pridelených práv na prístup k určitému médiu, napríklad http protokolu internetu. Zámerne abstrahujeme od takzvaných transparentných proxy serverov, ktorých cieľom väčšinou býva skryté monitorovanie, filtrovanie alebo urýchlení niektorých služieb.
Zapojenie firewallu do chránenej siete, respektíve architektúra firewallu, predstavujú prvý a možno najzásadnejšie problém, ktorý musí byť riešený. Záleží z veľkej časti na tom, či bude potrebné poskytovať internetu nejaké služby, povedzme napríklad webserver. V takom prípade často volíme model s takzvanou DMZ - demilitarizovanej zónou - ktorá je stále pod úplnou kontrolou správcov podnikovej siete (viď kap. 2.2.1), ale zároveň je fyzicky oddelené od zvyšku systému. Architektúra by v takom prípade mohla vyzerať napríklad takto:
Ak máme jasno v umiestnení firewallu môžeme pristúpiť k samotnému návrhu. Všeobecne existujú dve základné možnosti:
- Štandardne povoliť všetok prevádzku a zakazovať len určité služby / porty / atď
- Alebo implicitne zakázať úplne všetko a potom určiť, ktoré služby / porty / atď majú firewallem prechádzať.
V podnikovom prostredí sa najčastejšie stretávame s druhou možnosťou, tzn. default deny, pretože firmy majú väčšinou IT oddelenie, ktoré je schopné udržiavať a meniť odlučovací pravidlá v závislosti na požiadavkách pracovníkov. Stratégia filtrovanie všetkého prevádzky totiž vyžaduje veľmi časté zásahy do konfigurácie firewallu a teda veľmi veľa času poverených pracovníkov. Navyše bohužiaľ existujú aplikácie, ktoré nepracujú s presne stanovenou skupinou portov takže nie je možné povoliť ich priechod firewallom. Riešením môže byť použitie Socks proxy alebo v krajnom prípade vybudovanie VPN medzi problémovými miestami.
Konfigurácia filtra
Po zvolení defaultní stratégie môžeme pristúpiť k samotnej konfiguráciu firewallu, táto sa samozrejme líšia produkt od produktu. Budeme ďalej predpokladať návrh firewallu na úrovni TCP / IP a rodinu protokolov IPv4. Existujú samozrejme aj iné kombinácie, ale vyššie uvedené riešenie je dnes asi najrozšírenejší. V našom prípade si teda musíme poradiť v zásade s TCP, UDP a ICMP. Protokol TCP je ako známe stavový, takže sa pre neho pravidlá píší veľmi ľahko, stačí napríklad len povoliť iniciačné konekce na určité služby z vonkajšej siete (internetu) a potom už len pridať pravidlo na prepúšťanie už nadviazaných spojenie. Protokol UDP má trochu iné určenie, UDP transakcie nemajú charakter trvalé spojenie a tak je potrebné pravidlá často písať obojsmerne. Tento problém je možné riešiť mnohými spôsobmi, jedným z nich je napríklad použitie takzvaného stavového firewallu. Ak napríklad pravidlo pre odchádzajúce UDP konekci zvolíme ako stavové, vytvára si potom softvér firewallu samostatne krátkodobé dočasné pravidlá, ktoré povolia aj pripojenie v opačnom smere. Stavové pravidlá je samozrejme možné použiť iu TCP, je však potrebné mať na zreteli značné množstvo generovaných dynamických pravidiel (najmä u protokolu UDP). Čo sa týka ICMP, je vecou každého správcu siete, aké ICMP type povolia. Podľa štandardov by mal každý stroj pripojený do internetu zodpovedať minimálne na ping tzn. echo request a reply, ďalej je potom vhodné kvôli správnemu routovania a prevádzky na sieti povoliť source quench, unreachable, fragmentácii prípadne traceroute. Vyššie uvedené platí skôr pre poskytované služby do internetu, nastavenia pre vnútornú sieť je samozrejme plne v kompetencii podniku.
Proxy
Proxy
Proxy server v základnej podobe slúži na urýchlenie prístupu k určitej sieťovej službe. Predstavuje v podstate dedikovanou dočasnú pamäť (cache respektive caching proxy). Najznámejšie sú http proxy servery. Užívateľ na lokálnej sieti má napríklad možnosť namiesto priameho prístupu k internetu použiť lokálne proxy, čím si môže až niekoľkonásobne zrýchliť rýchlosť načítania webových stránok. Vyššie uvedená definícia http proxy servera v dnešnej dobe príliš neplatí, dielom rozšírením dynamického obsahu stránok, dielom celkovým zrýchlením dátových liniek a súhrou iných faktorov. Tým sa ale zaoberať nebudeme. Nás bude zaujímať druhá funkcie proxy servera a to filtrovanie požiadaviek. Ak v lokálnej sieti kupříkladu zakážeme priamy prístup na http služby a donutim tým užívateľa použiť lokálne proxy, môžeme potom účinne kontrolovať kto, ako a kam bude smieť pristupovať (moderné proxy servery obsahujú takmer dokonalé ACL - access control list - prístupové práva podľa uživateľov skupín atd . [všeobecný termín - záleží na implementaci]). Ešte pohodlnejšie je pre užívateľa aj administrátora nasadenie tzv transparentné proxy (používateľ nemusí nič nastavovať ao proxy nemusia ani vedieť). Ďalším príkladom použitia proxy servera v kombinácii s firewallom je štandard SOCKS verzia 4 alebo 5 (SOCKS proxy umožňuje tunelovanie všetkých druhov TCP spojenia cez firewall - často ftp a http), samozrejmosťou je opäť kontrola pomocou ACL.
Proxy server v základnej podobe slúži na urýchlenie prístupu k určitej sieťovej službe. Predstavuje v podstate dedikovanou dočasnú pamäť (cache respektive caching proxy). Najznámejšie sú http proxy servery. Užívateľ na lokálnej sieti má napríklad možnosť namiesto priameho prístupu k internetu použiť lokálne proxy, čím si môže až niekoľkonásobne zrýchliť rýchlosť načítania webových stránok. Vyššie uvedená definícia http proxy servera v dnešnej dobe príliš neplatí, dielom rozšírením dynamického obsahu stránok, dielom celkovým zrýchlením dátových liniek a súhrou iných faktorov. Tým sa ale zaoberať nebudeme. Nás bude zaujímať druhá funkcie proxy servera a to filtrovanie požiadaviek. Ak v lokálnej sieti kupříkladu zakážeme priamy prístup na http služby a donutim tým užívateľa použiť lokálne proxy, môžeme potom účinne kontrolovať kto, ako a kam bude smieť pristupovať (moderné proxy servery obsahujú takmer dokonalé ACL - access control list - prístupové práva podľa uživateľov skupín atd . [všeobecný termín - záleží na implementaci]). Ešte pohodlnejšie je pre užívateľa aj administrátora nasadenie tzv transparentné proxy (používateľ nemusí nič nastavovať ao proxy nemusia ani vedieť). Ďalším príkladom použitia proxy servera v kombinácii s firewallom je štandard SOCKS verzia 4 alebo 5 (SOCKS proxy umožňuje tunelovanie všetkých druhov TCP spojenia cez firewall - často ftp a http), samozrejmosťou je opäť kontrola pomocou ACL.
Proxy server v základnej podobe slúži na urýchlenie prístupu k určitej sieťovej službe. Predstavuje v podstate dedikovanou dočasnú pamäť (cache respektive caching proxy). Najznámejšie sú http proxy servery. Užívateľ na lokálnej sieti má napríklad možnosť namiesto priameho prístupu k internetu použiť lokálne proxy, čím si môže až niekoľkonásobne zrýchliť rýchlosť načítania webových stránok. Vyššie uvedená definícia http proxy servera v dnešnej dobe príliš neplatí, dielom rozšírením dynamického obsahu stránok, dielom celkovým zrýchlením dátových liniek a súhrou iných faktorov. Tým sa ale zaoberať nebudeme. Nás bude zaujímať druhá funkcie proxy servera a to filtrovanie požiadaviek. Ak v lokálnej sieti kupříkladu zakážeme priamy prístup na http služby a donutim tým užívateľa použiť lokálne proxy, môžeme potom účinne kontrolovať kto, ako a kam bude smieť pristupovať (moderné proxy servery obsahujú takmer dokonalé ACL - access control list - prístupové práva podľa uživateľov skupín atd . [všeobecný termín - záleží na implementaci]). Ešte pohodlnejšie je pre užívateľa aj administrátora nasadenie tzv transparentné proxy (používateľ nemusí nič nastavovať ao proxy nemusia ani vedieť). Ďalším príkladom použitia proxy servera v kombinácii s firewallom je štandard SOCKS verzia 4 alebo 5 (SOCKS proxy umožňuje tunelovanie všetkých druhov TCP spojenia cez firewall - často ftp a http), samozrejmosťou je opäť kontrola pomocou ACL.
Technické riešenie firewallu
Technické riešenie firewallu
2.1 Všeobecné východiská
Ako vyplívá z teoretickej časti, firewall, ako je chápaný vo svete IT, znamená softvérový alebo hardvérový systém obmedzujúce prístup z jedného média, respektíve systému, k druhému. Firwally je v zásade možné rozdeliť na hardvérové a softvérové riešenia, aj keď toto rozdelenie pokrivkáva, pretože hw riešenie pochopiteľne musia obsahovať nejaký riadiaci sw. Ale hovorte pre účel tejto práce jednoúčelovým zariadením na filtrovanie sieťovej prevádzky hardvérové firewally. Čo sa softvérových firewallov týka, existuje nepreberné množstvo implementací pre najrôznejšie operačné systémy od rôznych variantov UNIXové až po čisto windowsov riešenie. Ďalej môžeme softvér pre filtráciu prevádzky deliť napríklad podľa určenia pre ochranu celej siete alebo takzvané osobné firewally inštalované na používateľské stanice apod, možností je celá rada.
My sa pre účely tejto práce obmedzíme na takzvaná enterprise riešenia, ponúkané a nasazování k ochrane podnikových sietí pred prienikmi z internetu a samozrejme aj na obmedzenie prístupu k internetu v smere z podnikovej siete. Je ale potrebné spomenúť, že firewall podstavuje iba časť podnikovej bezpečnostnej politiky a ako taký nemôže vyhnúť nebezpečenstvám plynúcim z jej absencia, zlého návrhu alebo nedodržiavanie. Neoddeliteľnou súčasťou podnikových bezpečnostných opatrení musia napríklad byť systémy IDS (systémy na detekciu narušitele), správna práca s heslami resp. systém autorizácie pracovníkov, užívateľské práva a ďalšie dôležité princípy, ktoré tu nebudeme podrobne rozvádzať.
2.1 Všeobecné východiská
Ako vyplívá z teoretickej časti, firewall, ako je chápaný vo svete IT, znamená softvérový alebo hardvérový systém obmedzujúce prístup z jedného média, respektíve systému, k druhému. Firwally je v zásade možné rozdeliť na hardvérové a softvérové riešenia, aj keď toto rozdelenie pokrivkáva, pretože hw riešenie pochopiteľne musia obsahovať nejaký riadiaci sw. Ale hovorte pre účel tejto práce jednoúčelovým zariadením na filtrovanie sieťovej prevádzky hardvérové firewally. Čo sa softvérových firewallov týka, existuje nepreberné množstvo implementací pre najrôznejšie operačné systémy od rôznych variantov UNIXové až po čisto windowsov riešenie. Ďalej môžeme softvér pre filtráciu prevádzky deliť napríklad podľa určenia pre ochranu celej siete alebo takzvané osobné firewally inštalované na používateľské stanice apod, možností je celá rada.
My sa pre účely tejto práce obmedzíme na takzvaná enterprise riešenia, ponúkané a nasazování k ochrane podnikových sietí pred prienikmi z internetu a samozrejme aj na obmedzenie prístupu k internetu v smere z podnikovej siete. Je ale potrebné spomenúť, že firewall podstavuje iba časť podnikovej bezpečnostnej politiky a ako taký nemôže vyhnúť nebezpečenstvám plynúcim z jej absencia, zlého návrhu alebo nedodržiavanie. Neoddeliteľnou súčasťou podnikových bezpečnostných opatrení musia napríklad byť systémy IDS (systémy na detekciu narušitele), správna práca s heslami resp. systém autorizácie pracovníkov, užívateľské práva a ďalšie dôležité princípy, ktoré tu nebudeme podrobne rozvádzať.
Druhy firewallov
Firewall môže byť realizovaný viacerými spôsobmi. Do úvahy pripadajú firewally na báze:
• organizačného opatrenia - v podstate môže byť zavedenie určitých organizačných opatrení regulujúcich správanie užívateľov pripojenej privátnej siete a spôsob nakladania so zdrojmi, ktoré sa v tejto sieti nachádza. Takáto organizačné opatrenia môžu napríklad zakázať používateľom priniesť si vlastné diskety a vkladať ich do počítačov v chránenej sieti (kvôli nebezpečenstvu zavirovaný), inštalovať akékoľvek nové programy či je iba z diskiet či iných prenosných médií spúšťať (opäť kvôli nebezpečenstvu vírusovej nákazy, ale trebárs aj ako ochranu proti zavedeniu tzv trójskych koní, atď). Alebo môže byť v rámci organizačných opatrení užívateľom uložené pravidelne meniť svoje prístupové heslá, pravidelne zálohovať svoje dáta, nenechávať citlivé dáta na počítačoch zapojených do siete (ale uchovávať na médiách, ktorá sa v čase, keď sa nepoužívajú, ukladajú do trezoru apod) . Miera ochrany proti neoprávnenému prístupu zvonku aj proti ďalším možným rizikám, ktoré čisto organizačné opatrenia poskytujú, nemusí byť vysoká - na druhej strane v konkrétnych prípadoch to môže byť úplne postačujúci a optimálne z hľadiska nákladov na svoju realizáciu.
• softvérového riešenia - Takýto druh firewallu nevyžaduje žiadne špecifické technické prostriedky a je realizovaný výlučne programovými prostriedkami. Môže sa pritom jednať len o vhodné nastavenie existujúcich programových prostriedkov. Možnosti nastavenia, ktoré existujúce programové vybavenie ponúka, však nemusí stačiť na dosiahnutie požadovaných cieľov. V takom prípade dochádza k inątaláciu dodatočných programových prostriedkov, napríklad určité nadstavby nad operačným systémom, ktorá mu dáva potrebné schopnosti pre výkon funkcie firewallu. Ďalšou možnosťou je inštalovanie samostatných programov určených práve pre realizáciu funkcií firewallu, a to na "počítačových" uzloch siete ktoré tu už existujú
• kombinované riešenia - Tento druh firewallov, využívajúce kombináciu programových a technických prostriedkov, je v praxi zrejme najčastejšie, pretože je najviac univerzálnej a dokáže poskytnúť najvyššiu úroveň ochrany pripojenej siete. Možné formy implementácie zahŕňajú riešenia na princípe demilitarizovanej zóny atď §
• organizačného opatrenia - v podstate môže byť zavedenie určitých organizačných opatrení regulujúcich správanie užívateľov pripojenej privátnej siete a spôsob nakladania so zdrojmi, ktoré sa v tejto sieti nachádza. Takáto organizačné opatrenia môžu napríklad zakázať používateľom priniesť si vlastné diskety a vkladať ich do počítačov v chránenej sieti (kvôli nebezpečenstvu zavirovaný), inštalovať akékoľvek nové programy či je iba z diskiet či iných prenosných médií spúšťať (opäť kvôli nebezpečenstvu vírusovej nákazy, ale trebárs aj ako ochranu proti zavedeniu tzv trójskych koní, atď). Alebo môže byť v rámci organizačných opatrení užívateľom uložené pravidelne meniť svoje prístupové heslá, pravidelne zálohovať svoje dáta, nenechávať citlivé dáta na počítačoch zapojených do siete (ale uchovávať na médiách, ktorá sa v čase, keď sa nepoužívajú, ukladajú do trezoru apod) . Miera ochrany proti neoprávnenému prístupu zvonku aj proti ďalším možným rizikám, ktoré čisto organizačné opatrenia poskytujú, nemusí byť vysoká - na druhej strane v konkrétnych prípadoch to môže byť úplne postačujúci a optimálne z hľadiska nákladov na svoju realizáciu.
• softvérového riešenia - Takýto druh firewallu nevyžaduje žiadne špecifické technické prostriedky a je realizovaný výlučne programovými prostriedkami. Môže sa pritom jednať len o vhodné nastavenie existujúcich programových prostriedkov. Možnosti nastavenia, ktoré existujúce programové vybavenie ponúka, však nemusí stačiť na dosiahnutie požadovaných cieľov. V takom prípade dochádza k inątaláciu dodatočných programových prostriedkov, napríklad určité nadstavby nad operačným systémom, ktorá mu dáva potrebné schopnosti pre výkon funkcie firewallu. Ďalšou možnosťou je inštalovanie samostatných programov určených práve pre realizáciu funkcií firewallu, a to na "počítačových" uzloch siete ktoré tu už existujú
• kombinované riešenia - Tento druh firewallov, využívajúce kombináciu programových a technických prostriedkov, je v praxi zrejme najčastejšie, pretože je najviac univerzálnej a dokáže poskytnúť najvyššiu úroveň ochrany pripojenej siete. Možné formy implementácie zahŕňajú riešenia na princípe demilitarizovanej zóny atď §
Funkcia firewallu
Funkcia firewallu
Pri úvahách okolo pripojenie súkromné počítačovej siete k iným sieťam by sme sa mali zaoberať aj tým, čo všetko by nami požadované riešenie malo zabezpečovať. Okrem primárnej funkcie, ktorú bezpochyby je ochrana súkromnej siete pred prienikom zvonka, môže dobre zvolený typ firewallu zabezpečovať celú radu ďalších funkcií. Môže sa jednať napríklad o:
• reguláciu prístupu vlastných užívateľov - Jedná sa o spôsob obmedzenia prístupu užívateľov privátnej siete do internetu. Môže sa obmedziť prístup na niektoré servery alebo možno naopak povoliť prístup len na určité servery. Podobne sa dá regulovať využívanie určitých služieb, ktoré si zamestnávateľ neželá, aby zamestnanci používali.
• antivírusovú ochranu - Ide napríklad o kontrolu prichádzajúce ale aj odchádzajúci pošty.
• optimalizáciu pripojenia - Niektoré firewally umožňujú konfiguráciu cache servera, ktorý pomáha so znižovaním záťaže prevádzky súkromnej siete. Ide o to, že požiadavka napríklad na nejakú internetovú stránku je vysielaný do vonkajšej siete iba prvýkrát a pri ďalších požiadavkách je už žiadosť vybavená rovnou z cache servera.
• riešenie problému s IP - V rámci privátnej siete pripojenej k internetu cez firewall nemusia mať jednotlivé počítače svojou unikátnu IP adresu, ale môžu vystupovať pod nami definovanými adresami.
• verejné sprístupnenie zdrojov - I keď princíp firewallu je založený na tom, aby sa zabránilo cudzím používateľom k prístupu k vnútorným zdrojom, u niektorých konkrétnych informácií môže mať prevádzkovateľ siete naopak záujem o ich sprístupnenie. Jedná sa napríklad o internetovú prezentáciu či ponuku firmy. V rámci firewallu potom býva takéto zverejnenia realizováno - napríklad formou web serveri alebo FTP serveri.
• vzdialený prístup oprávnených užívateľov - Prevádzkovatelia firemných sietí (intranetov) veľmi často vyžadujú, aby užívatelia mali prístup k zdrojom a službám týchto chránených sietí iv prípade, keď sa nachádza mimo dosahu tejto siete (napríklad v teréne, u zákazníka apod). V takomto prípade sú oprávnení používatelia v pozícii vzdialených používateľov, a súčasťou riešenia firewallu býva aj umožnenie ich vzdialeného prístupu.
Pri úvahách okolo pripojenie súkromné počítačovej siete k iným sieťam by sme sa mali zaoberať aj tým, čo všetko by nami požadované riešenie malo zabezpečovať. Okrem primárnej funkcie, ktorú bezpochyby je ochrana súkromnej siete pred prienikom zvonka, môže dobre zvolený typ firewallu zabezpečovať celú radu ďalších funkcií. Môže sa jednať napríklad o:
• reguláciu prístupu vlastných užívateľov - Jedná sa o spôsob obmedzenia prístupu užívateľov privátnej siete do internetu. Môže sa obmedziť prístup na niektoré servery alebo možno naopak povoliť prístup len na určité servery. Podobne sa dá regulovať využívanie určitých služieb, ktoré si zamestnávateľ neželá, aby zamestnanci používali.
• antivírusovú ochranu - Ide napríklad o kontrolu prichádzajúce ale aj odchádzajúci pošty.
• optimalizáciu pripojenia - Niektoré firewally umožňujú konfiguráciu cache servera, ktorý pomáha so znižovaním záťaže prevádzky súkromnej siete. Ide o to, že požiadavka napríklad na nejakú internetovú stránku je vysielaný do vonkajšej siete iba prvýkrát a pri ďalších požiadavkách je už žiadosť vybavená rovnou z cache servera.
• riešenie problému s IP - V rámci privátnej siete pripojenej k internetu cez firewall nemusia mať jednotlivé počítače svojou unikátnu IP adresu, ale môžu vystupovať pod nami definovanými adresami.
• verejné sprístupnenie zdrojov - I keď princíp firewallu je založený na tom, aby sa zabránilo cudzím používateľom k prístupu k vnútorným zdrojom, u niektorých konkrétnych informácií môže mať prevádzkovateľ siete naopak záujem o ich sprístupnenie. Jedná sa napríklad o internetovú prezentáciu či ponuku firmy. V rámci firewallu potom býva takéto zverejnenia realizováno - napríklad formou web serveri alebo FTP serveri.
• vzdialený prístup oprávnených užívateľov - Prevádzkovatelia firemných sietí (intranetov) veľmi často vyžadujú, aby užívatelia mali prístup k zdrojom a službám týchto chránených sietí iv prípade, keď sa nachádza mimo dosahu tejto siete (napríklad v teréne, u zákazníka apod). V takomto prípade sú oprávnení používatelia v pozícii vzdialených používateľov, a súčasťou riešenia firewallu býva aj umožnenie ich vzdialeného prístupu.
Přihlásit se k odběru:
Příspěvky (Atom)