Zapora sieciowa

Z Wikipedii

Zapora sieciowa (ang. firewall – "ściana ogniowa") – jeden ze sposobów zabezpieczania sieci i systemów przed intruzami.

Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz. Często jest to komputer wyposażony w system operacyjny (np. Linux, BSD) z odpowiednim oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.

Najczęściej używanymi technikami obrony są:

• filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych
• stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty)
• zabezpieczanie programów obsługujących niektóre protokoły (np.FTP, TELNET)

Bardzo ważną funkcją zapory przeciwogniowej jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi wczesne dokonywanie zmian konfiguracji. Poprawnie skonfigurowany firewall powinien odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować strefę ograniczonego zaufania - podsieć, która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na zewnątrz.

[edytuj] Typy zapór sieciowych

• filtrujące: monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako router). Zwykle w niewielkich sieciach jest zapora sprzętowa bądź wydzielony komputer z systemem operacyjnym Linux. Obecnie najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables. Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada bardzo wymyślne własności i rozbudowany system konfiguracji oraz wachlarz możliwych do zintegrowania rozwiązań, pozwalających nie tylko na analizę (Snort, psad) i filtrowanie pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI a nawet na prowadzenia ochrony antywirusowej.
• oprogramowanie komputerów stacjonarnych: udostępnia wybrane porty do połączeń "z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz komputera wybranym usługom/programom. Często zintegrowane z ochroną antywirusową (na przykład Norton Internet Security)
• zapory pośredniczące (proxy): wykonujące połączenie z serwerem w imieniu użytkownika. Przykładowo, zamiast uruchomienia sesji http bezpośrednio do zdalnego serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest połączenie z systemem zdalnym. Cała komunikacja na serwer http przechodzi przez proxy, które może filtrować ruch. Proxy, jeśli ma taką funkcjonalność, potrafi rozpoznać komendy http jak i analizować zawartość pobieranych stron WWW (działa w warstwie aplikacji modelu ISO/OSI). Zabezpieczające działanie zapory, z punktu widzenia klienta, polega w tym wypadku na tym, iż możliwe jest blokowanie wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze słowami wulgarnymi, o treści pornograficznej itp.).

Współcześnie często pracująca zapora sieciowa jest rozwiązaniem hybrydowym analizującym pakiety od warstwy łącza danych do aplikacji modelu OSI. Umożliwia realizację złożonych polityk bezpieczeństwa oraz integrację z systemami IDS.

[edytuj] Zobacz też

• Iptables - filtr pakietów systemów linuksowych
• Ipfirewall - zapora sieciowa systemów z rodziny *BSD
• IPFilter - zapora sieciowa systemów z rodziny UNIX
• maskarada

[edytuj] Linki zewnętrzne

• Poradnik budowania firewalla na iptables

Władze Katowic nie chcą u siebie Czeczenów

300 Czeczenów zostanie rozwiezionych po Polsce, w tym 50 ciężarnych kobiet i 125 dzieci. Władze Katowic chcą zlikwidować ośrodek dla cudzoziemców

Bibliotekarze: załóżcie nam internet!

2,5 tys. wiejskich bibliotek nie ma dostępu do internetu. Bez tego nie da się zmodernizować placówek - apelują do rządu bibliotekarze.

Ekspres Solidarności, odjazd!

Specjalnym pociągiem z Krakowa do Gdańska pojedzie jutro 200 osób z 44 krajów. Po drodze spotkają m.in. Władysława Bartoszewskiego i zwiedzą Muzeum Powstania Warszawskiego.

Mrówki zablokowały granicę Polski z Ukrainą

Gwałtowne protesty tzw. mrówek na przejściu granicznym w Medyce to reakcja na zmiany przepisów celnych

Wojna PiS i przystawek o media publiczne

Krzysztof Czabański za Andrzeja Urbańskiego? O takim wariancie huczy w telewizji.

„Testament życia” to nie eutanazja

Z etycznego punktu widzenia nie ma różnicy pomiędzy niepodłączeniem do aparatury, jeśli pacjent się temu sprzeciwia, a odłączeniem aparatury na jego życzenie - mówi prof. Krzysztof Marczewski.

Platforma wychodzi do ludzi bronić rządu

Partia zobowiązała działaczy do organizacji spotkań z mieszkańcami w każdym z 379 powiatów w Polsce. Mają przekonywać, że reformy blokuje prezydent i PiS

Cała polska buduje schetynówki

2 mld 220 mln zł - tyle chcą gminy i powiaty w przyszłym roku na tzw. schetynówki, czyli drogi lokalne.

Obama jak Wojtyła

- Recepcja nauczania Jana Pawła II jest tęczowa, od proletariackiej czerwieni do biskupich fioletów. Jego nauki podobały się różnym grupom często ze sobą skłóconym - powiedział wczoraj Adam Michnik podczas XV Debaty Tischnerowskiej zorganizowanej przez Uniwersytet Warszawski i wiedeński Instytut Nauk o Człowieku.

Tusk: Awantura o samolot i "Słońce Peru" to porażki roku

Awantura o rządowy samolot dla prezydenta Lecha Kaczyńskiego przed październikowym szczytem UE w Brukseli - to zdaniem premiera Donalda Tuska największy błąd, jaki popełnił w ostatnim roku.