Obtížně prostupná zeď

Brány firewall představují první linii ochrany sítě. Nejmodernější firewally, které fungují v součinnosti s dalšími prvky IT infrastruktury, jsou vážnou překážkou pro hackery a malware a mohou chránit i běžné uživatele před jejich nezodpovědným jednáním.

Zabezpečení sítě v každé organizaci je tak silné, jak silné je nejméně chráněné zařízení v ní. To je jeden ze základních principů, který platil, platí a pravděpodobně bude platit i nadále. Proto je důležité zajistit co nejlepší ochranu IT infrastruktury subjektu a jeho uživatelů. K tomu je třeba odstranit všechny zranitelnosti. Jedním z nejdůležitějších bezpečnostních prvků je jistě firewall, nejlépe v podobě fyzického zařízení. Ačkoli je tento hardware mnohem dražším řešením než softwarové nástroje, poskytuje nesrovnatelně vyšší úroveň zabezpečení. Optimální je samozřejmě používat jak softwarovou bránu firewall - spuštěnou na každé pracovní stanici, která kontroluje provoz přes porty a aplikace -, tak fyzickou bránu firewall instalovanou mezi sítí a bránou.

V současné době vedou na trhu s ochranou sítě firewally nové generace (NGFW), které jsou inteligentními a nejvýkonnějšími zařízeními ve své třídě. Tento typ zařízení se stará nejen o ochranu samotné sítě, ale také uživatelů a cloudových nebo virtuálních řešení, která zařízení využívá. Taková zařízení se vybírají podle počtu zaměstnanců, podle toho, zda jich jsou desítky, stovky nebo dokonce tisíce. Firewall se stává centralizovaným centrem ochrany naší infrastruktury. Úkolem tohoto typu zařízení je komplexně řídit provoz na základě monitorování a ověřování s cílem zabránit útokům malwaru, činnosti hackerů a také blokovat neznámé typy útoků. Důležité je, že aby byl firewall účinný, musí pracovat rychle a plně automaticky. Aby to bylo možné, je nutné předem vypracovat a implementovat vhodná pravidla, která definují způsoby fungování. Firewall nechrání pouze před vnějšími útoky, ale musí také zabránit úniku informací mimo chráněnou infrastrukturu.

Firewally nové generace (NGFW)

Fungování základních hardwarových firewallů je založeno na filtrování paketů přenášených v síti a - po analýze - blokování těch, které nevyhovují předem definovaným pravidlům. Těmi mohou být například zdrojové nebo cílové IP adresy. Přestože fungování těchto typů firewallů může být při dobré konfiguraci (a to není snadný úkol) účinné, úroveň zabezpečení je pak třeba považovat za základní. Jejich schopnosti jsou poměrně omezené a neumožňují například předvídat, zda požadavek z důvěryhodné IP adresy nebude mít nepříjemné důsledky pro systém nebo software. Kromě toho tyto firewally nepodporují ověřování uživatelů a nechrání plně před všemi útoky na úrovni TCP/IP a aplikací. Firewally nové generace jsou mnohem lépe schopny odhalit hrozby v plnějším rozsahu. To je možné díky kombinaci funkcí tradičního firewallu s dalšími možnostmi - kontrolou provozu (včetně šifrovaného provozu), systémy prevence narušení nebo podporou antivirového softwaru. Kontrola paketů (DPI) je hloubková, zatímco základní firewally analyzují pouze hlavičky. Překlad síťových adres (NAT) navíc umožňuje zařízením s vlastními síťovými adresami připojit se k internetu pomocí společné (jediné) IP, zatímco jednotlivé adresy zůstávají skryté. Tím je zajištěno, že narušitel po prohledání naší sítě nebude moci zachytit žádné identifikační údaje a zahájit tak útok na konkrétní zařízení.

Firewall nové generace poskytuje zabezpečení na úrovni paketů a aplikací. Použití mechanismů, jako je antivirový systém, IPS nebo sandboxing, nám umožňuje podezřívat a ověřovat obsah odesílaný uživateli na internetu dříve, než se k nim dostane.