Przywykliśmy już do tego, że ścianę ogniową realizuje się najczęściej programowo, za pomocą specjalnej aplikacji lub wykorzystując możliwości systemu operacyjnego. Na rynku istnieją jednak alternatywne rozwiązania sprzętowe, których jedynym celem jest obrona sieci lokalnej przed niepowołanym dostępem z zewnątrz. Urządzenia tego typu przeznaczone są w zasadzie do ochrony średnich i dużych sieci, choć w ofercie większości producentów osprzętu sieciowego znajdują się też tańsze, mniej zaawansowane rozwiązania dla małych grup.
Co może zapora?
Mimo że sposoby ochrony danych są coraz doskonalsze, nadal możemy być pewni jednego – nie ma zabezpieczenia, którego nie można by pokonać. Pod tym względem zapora ogniowa nie jest żadnym wyjątkiem. Powinniśmy jednak zdać sobie sprawę, że zazwyczaj najsłabszym ogniwem systemu zabezpieczeń nie jest ani maszyna, ani oprogramowanie, lecz… człowiek. Dlatego dzięki centralizacji mechanizmów ochrony oraz ich uniezależnieniu od beztroskich działań poszczególnych użytkowników dobrze skonfigurowany firewall istotnie podnosi bezpieczeństwo sieci lokalnej. Zapora ogniowa filtruje wszystkie przesyłane pakiety, przepuszczając tylko te, które nie naruszają zasad polityki bezpieczeństwa określonych przez administratora. To zadanie podstawowe. Ponadto firewall może realizować wiele dodatkowych funkcji – począwszy od translacji adresów, poprzez rejestrowanie i śledzenie wszelkich przepływających pakietów, na zdalnym zarządzaniu, buforowaniu czy szyfrowaniu danych skończywszy.
Chroń siebie…
Bardziej zaawansowane urządzenia zapewniają ochronę przed tzw. atakami Denial of Service (DoS), których celem jest unieruchomienie wybranej usługi sieciowej. Z pewnością w niejednej firmie zablokowanie serwera WWW lub poczty elektronicznej mogłoby na wiele godzin sparaliżować jej pracę. Firewall powinien być odporny na takie ataki, jak Ping of Death (przesłanie pakietu przekraczającego maksymalną dozwoloną długość), SYN Flood (“zalanie” komputera setkami żądań nawiązania połączenia), LAND Attack (przesłanie pakietu z takim samym adresem i portem nadawcy oraz odbiorcy), IP Spoofing (przesyłanie pakietów ze sfałszowanym adresem nadawcy) czy Teardrop (atak wykorzystujący błąd w systemach Windows 95/NT, powodujący zawieszenie się komputera).
Oprogramowanie zarządzające udostępnia niekiedy jeszcze bardziej rozbudowany system kontroli wykorzystania Internetu przez użytkowników sieci lokalnej. Na przykład w przypadku urządzeń serii OfficeConnect firmy 3Com, korzystając ze specjalnego internetowego katalogu klasyfikującego treści dostępne w ogólnoświatowej Sieci, można zablokować dostęp do stron WWW, serwerów FTP i grup dyskusyjnych, zawierających np. materiały pornograficzne lub propagujących przemoc. Firewall automatycznie łączy się z odpowiednim adresem i co pewien czas aktualizuje katalog. Usługa ta dostępna jest bezpłatnie przez pierwszy miesiąc od zarejestrowania urządzenia.
Ponadto można stworzyć listę słów kluczowych, których wystąpienie w adresie strony WWW uniemożliwi jej pobieranie.
Zestawienie wybranych sprzętowych firewalli | |||||||||||||||||||||
Model | + – jest; – – nie ma; b.l. – bez limitu; 1) – liczba sesji zależna od wykupionego oprogramowania; 2) urządzenie jeszcze nie jest sprzedawane; NAT – moduł translacji adresów, DHCP – serwer nazw adresów IP, VPN – prywatna sieć wirtualna, RAS – serwer zdalnego dostępu, IDS – system detekcji intruzów, DMZ – strefa zdemilitaryzowana, DOS – blokowanie serwisów; ceny z dnia 4.02.2002 r.
Porty | Maks. użytkown. |
zarządzanie | NAT | Serwer DHCP | Serwer DNS | DMZ | VPN | Detekcja DoS | IDS | RAS | DNS Proxy | Data Proxy | Router | Przełącznik | Detekcja wirusów | Cena | ||||
WWW | Klient Windows | Port RS-232C | Telnet | SNMP i inne | |||||||||||||||||
Nokia IP 51 | 10/100 Mbit/s LANx4, WAN, 1xRS-232C | 50 | + | + | + | + | + | + | + | – | – | – | + | + | – | – | – | – | + | – | 3420 |
3Com OfficeConnect IF DMZ | 10 Mbit/s LAN, WAN | 100 | + | – | – | – | – | + | + | – | – | + | + | + | – | – | – | – | – | – | 7750 |
3Com OfficeConnect IF 25 | 10 Mbit/s LAN, WAN, DMZ | 25 | + | – | – | – | – | + | + | – | + | + | + | + | – | – | – | – | – | – | 3080 |
SonicWall TELE3 | 10/100 Mbit/s LAN, WAN, RS-232C | 5 | + | – | + | + | + | + | + | – | – | + | + | – | – | – | – | – | – | + | 2900 |
SonicWall SOHO3 | 10/100 Mbit/s LAN, WAN, RS-232C | 10/50 | + | – | + | + | + | + | + | – | – | + | + | – | – | – | – | – | – | + | 2900 1) |
SonicWall PRO 100 | 10/100 Mbit/s LAN, WAN, DMZ, RS-232C | b.l. | + | – | + | + | + | + | + | – | – | + | + | + | + | – | – | – | – | – | 10500 |
Lucent SuperpPipe 155 | 10/100 Mpbs LAN, ISDNx2/T1 WAN, ISDN OUT, RS-232C | b.l. | + | + | + | + | + | + | + | – | – | + | – | – | + | – | – | – | – | – | 9300 |
D-link DI-701 | 10/100 Mbit/s LAN, 10 Mbit/s WAN, RS-232C | 128 | – | + | + | + | – | + | – | – | – | + | – | – | – | – | – | – | – | – | 760 |
D-link DI-804 | 10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C | 253 | + | – | + | – | – | + | + | – | + | + | – | – | – | – | – | – | + | – | 920 |
D-link DI-704 | 10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C | 253 | + | – | + | – | – | + | + | – | + | + | – | – | – | – | – | – | + | – | 1080 |
D-link DI-707 | 10/100 Mbit/s LANx7, 10 Mbit/s WAN, RS-232C | 253 | + | – | + | – | – | + | + | – | + | + | – | – | – | – | – | – | + | – | 1470 |
D-link DRE-I304 | 10/100 Mbit/s LANx4, 10 Mbit/s lub ISDN WAN, RS-232C | b.l. | + | + | – | + | – | + | + | + | + | – | – | – | + | + | – | + | + | – | 2770 |
D-link DFL-300 | 10/100 Mbit/s LAN, WAN i DMZ | b.l. | + | – | – | – | – | + | + | – | + | + | + | + | – | + | – | – | – | – | ok. 2850 |
Surecom EP-4501 | 10/100 Mbit/s LAN, 10 Mbit/s WAN, RS-232C | 64 | + | – | + | + | – | + | – | – | + | – | – | – | – | + | – | – | – | – | 650 |
Surecom EP-4504 | 10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C | 64 | + | – | + | + | – | + | – | – | + | – | – | – | – | + | – | – | + | – | 850 |
Surecom EP-4508 | 10/100 Mbit/s LANx8, 10 Mbit/s WAN, RS-232C | 64 | + | – | + | + | – | + | – | – | + | – | – | – | – | + | – | – | + | – | 1000 |
Surecom EP-4705VX-V | 10/100 Mbit/s LANx5 i WAN, RS-232C | b.l. | + | – | + | + | – | + | – | – | – | + | – | – | – | + | – | – | + | – | b.d. 2) |
Surecom EP-3501 (do SDI) | 2xRS232C (WAN+zarz.), 10/100 Mbit/s LAN | b.l. | + | – | + | + | – | + | – | – | – | – | – | – | – | + | – | – | + | – | 480 |