Potęga żelastwa

Przywykliśmy już do tego, że ścianę ogniową realizuje się najczęściej programowo, za pomocą specjalnej aplikacji lub wykorzystując możliwości systemu operacyjnego. Na rynku istnieją jednak alternatywne rozwiązania sprzętowe, których jedynym celem jest obrona sieci lokalnej przed niepowołanym dostępem z zewnątrz. Urządzenia tego typu przeznaczone są w zasadzie do ochrony średnich i dużych sieci, choć w ofercie większości producentów osprzętu sieciowego znajdują się też tańsze, mniej zaawansowane rozwiązania dla małych grup.

Co może zapora?

Mimo że sposoby ochrony danych są coraz doskonalsze, nadal możemy być pewni jednego – nie ma zabezpieczenia, którego nie można by pokonać. Pod tym względem zapora ogniowa nie jest żadnym wyjątkiem. Powinniśmy jednak zdać sobie sprawę, że zazwyczaj najsłabszym ogniwem systemu zabezpieczeń nie jest ani maszyna, ani oprogramowanie, lecz… człowiek. Dlatego dzięki centralizacji mechanizmów ochrony oraz ich uniezależnieniu od beztroskich działań poszczególnych użytkowników dobrze skonfigurowany firewall istotnie podnosi bezpieczeństwo sieci lokalnej. Zapora ogniowa filtruje wszystkie przesyłane pakiety, przepuszczając tylko te, które nie naruszają zasad polityki bezpieczeństwa określonych przez administratora. To zadanie podstawowe. Ponadto firewall może realizować wiele dodatkowych funkcji – począwszy od translacji adresów, poprzez rejestrowanie i śledzenie wszelkich przepływających pakietów, na zdalnym zarządzaniu, buforowaniu czy szyfrowaniu danych skończywszy.

Chroń siebie…

Bardziej zaawansowane urządzenia zapewniają ochronę przed tzw. atakami Denial of Service (DoS), których celem jest unieruchomienie wybranej usługi sieciowej. Z pewnością w niejednej firmie zablokowanie serwera WWW lub poczty elektronicznej mogłoby na wiele godzin sparaliżować jej pracę. Firewall powinien być odporny na takie ataki, jak Ping of Death (przesłanie pakietu przekraczającego maksymalną dozwoloną długość), SYN Flood (“zalanie” komputera setkami żądań nawiązania połączenia), LAND Attack (przesłanie pakietu z takim samym adresem i portem nadawcy oraz odbiorcy), IP Spoofing (przesyłanie pakietów ze sfałszowanym adresem nadawcy) czy Teardrop (atak wykorzystujący błąd w systemach Windows 95/NT, powodujący zawieszenie się komputera).

Oprogramowanie zarządzające udostępnia niekiedy jeszcze bardziej rozbudowany system kontroli wykorzystania Internetu przez użytkowników sieci lokalnej. Na przykład w przypadku urządzeń serii OfficeConnect firmy 3Com, korzystając ze specjalnego internetowego katalogu klasyfikującego treści dostępne w ogólnoświatowej Sieci, można zablokować dostęp do stron WWW, serwerów FTP i grup dyskusyjnych, zawierających np. materiały pornograficzne lub propagujących przemoc. Firewall automatycznie łączy się z odpowiednim adresem i co pewien czas aktualizuje katalog. Usługa ta dostępna jest bezpłatnie przez pierwszy miesiąc od zarejestrowania urządzenia.

Ponadto można stworzyć listę słów kluczowych, których wystąpienie w adresie strony WWW uniemożliwi jej pobieranie.

Zestawienie wybranych sprzętowych firewalli

Model

+ – jest; – – nie ma; b.l. – bez limitu; 1) – liczba sesji zależna od wykupionego oprogramowania; 2) urządzenie jeszcze nie jest sprzedawane; NAT – moduł translacji adresów, DHCP – serwer nazw adresów IP, VPN – prywatna sieć wirtualna, RAS – serwer zdalnego dostępu, IDS – system detekcji intruzów, DMZ – strefa zdemilitaryzowana, DOS – blokowanie serwisów; ceny z dnia 4.02.2002 r. Porty

Maks. użytkown.

zarządzanie

NAT

Serwer DHCP

Serwer DNS

DMZ

VPN

Detekcja DoS

IDS

RAS

DNS Proxy

Data Proxy

Router

Przełącznik

Detekcja wirusów

Cena

WWW

Klient Windows

Port RS-232C

Telnet

SNMP i inne

Nokia IP 51

10/100 Mbit/s LANx4, WAN, 1xRS-232C

50

+

+

+

+

+

+

+

–

–

–

+

+

–

–

–

–

+

–

3420

3Com OfficeConnect IF DMZ

10 Mbit/s LAN, WAN

100

+

–

–

–

–

+

+

–

–

+

+

+

–

–

–

–

–

–

7750

3Com OfficeConnect IF 25

10 Mbit/s LAN, WAN, DMZ

25

+

–

–

–

–

+

+

–

+

+

+

+

–

–

–

–

–

–

3080

SonicWall TELE3

10/100 Mbit/s LAN, WAN, RS-232C

5

+

–

+

+

+

+

+

–

–

+

+

–

–

–

–

–

–

+

2900

SonicWall SOHO3

10/100 Mbit/s LAN, WAN, RS-232C

10/50

+

–

+

+

+

+

+

–

–

+

+

–

–

–

–

–

–

+

2900 1)

SonicWall PRO 100

10/100 Mbit/s LAN, WAN, DMZ, RS-232C

b.l.

+

–

+

+

+

+

+

–

–

+

+

+

+

–

–

–

–

–

10500

Lucent SuperpPipe 155

10/100 Mpbs LAN, ISDNx2/T1 WAN, ISDN OUT, RS-232C

b.l.

+

+

+

+

+

+

+

–

–

+

–

–

+

–

–

–

–

–

9300

D-link DI-701

10/100 Mbit/s LAN, 10 Mbit/s WAN, RS-232C

128

–

+

+

+

–

+

–

–

–

+

–

–

–

–

–

–

–

–

760

D-link DI-804

10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C

253

+

–

+

–

–

+

+

–

+

+

–

–

–

–

–

–

+

–

920

D-link DI-704

10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C

253

+

–

+

–

–

+

+

–

+

+

–

–

–

–

–

–

+

–

1080

D-link DI-707

10/100 Mbit/s LANx7, 10 Mbit/s WAN, RS-232C

253

+

–

+

–

–

+

+

–

+

+

–

–

–

–

–

–

+

–

1470

D-link DRE-I304

10/100 Mbit/s LANx4, 10 Mbit/s lub ISDN WAN, RS-232C

b.l.

+

+

–

+

–

+

+

+

+

–

–

–

+

+

–

+

+

–

2770

D-link DFL-300

10/100 Mbit/s LAN, WAN i DMZ

b.l.

+

–

–

–

–

+

+

–

+

+

+

+

–

+

–

–

–

–

ok. 2850

Surecom EP-4501

10/100 Mbit/s LAN, 10 Mbit/s WAN, RS-232C

64

+

–

+

+

–

+

–

–

+

–

–

–

–

+

–

–

–

–

650

Surecom EP-4504

10/100 Mbit/s LANx4, 10 Mbit/s WAN, RS-232C

64

+

–

+

+

–

+

–

–

+

–

–

–

–

+

–

–

+

–

850

Surecom EP-4508

10/100 Mbit/s LANx8, 10 Mbit/s WAN, RS-232C

64

+

–

+

+

–

+

–

–

+

–

–

–

–

+

–

–

+

–

1000

Surecom EP-4705VX-V

10/100 Mbit/s LANx5 i WAN, RS-232C

b.l.

+

–

+

+

–

+

–

–

–

+

–

–

–

+

–

–

+

–

b.d. 2)

Surecom EP-3501 (do SDI)

2xRS232C (WAN+zarz.), 10/100 Mbit/s LAN

b.l.

+

–

+

+

–

+

–

–

–

–

–

–

–

+

–

–

+

–

480