I_R_W02_M02_Urządzenia w sieciach komputerowych
Zapory ogniowe
Zapora ogniowa (ang. firewall) jest elementem chroniącym sieć komputerową przed atakami. Zapora potrafi blokować dane przesyłane do sieci z zewnątrz (np. z internetu) i dzięki temu może zapobiegać atakom hakerskim. Firewall jest również w stanie blokować ruch wychodzący z sieci do internetu – w ten sposób można np. uniemożliwić odwiedzanie wybranych stron internetowych. Zapory ogniowe mają postać osobnych urządzeń lub są elementem oprogramowania instalowanego na ruterze lub serwerze.
Zapory ogniowe (Firewall) – Mechanizmy i Architektura
Zapora ogniowa to system (sprzętowy lub programowy), który monitoruje i kontroluje ruch sieciowy w oparciu o określone reguły bezpieczeństwa. Stanowi ona barierę między zaufaną siecią wewnętrzną a niezaufaną siecią zewnętrzną (np. Internetem). Jak działa zapora?
Zapory - zadania
Głównym zadaniem zapory jest analiza pakietów danych przepływających przez interfejsy sieciowe. Decyzja o przepuszczeniu lub odrzuceniu pakietu zapada na podstawie zestawu reguł, które mogą uwzględniać:
Adres IP źródłowy i docelowy (kto wysyła i do kogo).
Numer portu (np. port 80 dla HTTP, 443 dla HTTPS, 22 dla SSH).
Protokół warstwy transportowej (TCP, UDP, ICMP).
Stan połączenia (czy pakiet jest częścią już nawiązanej rozmowy).
Zapory - typy
Warto rozróżniać zapory ze względu na warstwę modelu OSI, w której operują:
Filtrowanie pakietów (Stateless): Najprostsza forma. Każdy pakiet oceniany jest w izolacji, bez wiedzy o poprzednich pakietach. Działa szybko, ale łatwo ją oszukać.
Stateful Inspection (Zapory stanowe): Monitorują stan aktywnych połączeń. Wiedzą, czy przychodzący pakiet jest odpowiedzią na zapytanie wysłane z wnętrza sieci, co znacznie podnosi poziom bezpieczeństwa.
Zapory warstwy aplikacji (Proxy/Application Firewall): Analizują treść samych danych (np. sprawdzają, czy w zapytaniu HTTP nie przesyła się złośliwego kodu). Działają najwyżej w modelu OSI.
Next‑Generation Firewall (NGFW): Nowoczesne systemy łączące klasyczny firewall z systemami wykrywania włamań (IDS/IPS) oraz inspekcją zaszyfrowanego ruchu.
Filtrowanie ruchu: Inbound vs Outbound
Ruch przychodzący (Inbound): Chroni serwery i stacje robocze przed próbami nieautoryzowanego dostępu z zewnątrz (np. skanowanie portów przez hakerów).
Ruch wychodzący (Outbound): Kontroluje, co komputery z wewnątrz sieci wysyłają do Internetu. Jest kluczowy w ograniczaniu działania złośliwego oprogramowania (np. blokowanie komunikacji wirusa z serwerem przestępcy – tzw. C&C).
Reguły zapory
Reguły zapory często przedstawia się w formie tabeli (ACL – Access Control List).
Lp. | Akcja (Action) | Protokół | IP Źródłowe | Port Źródła | IP Docelowe | Port Docelowy |
|---|---|---|---|---|---|---|
1 | ALLOW | TCP | Dowolny | Dowolny | 192.168.1.10 | 80 (HTTP) |
2 | ALLOW | TCP | Dowolny | Dowolny | 192.168.1.10 | 443 (HTTPS) |
3 | ALLOW | TCP | 10.0.0.5 | Dowolny | 192.168.1.20 | 22 (SSH) |
4 | DENY | Dowolny | Dowolny | Dowolny | Dowolny | Dowolny |
Ważne: Reguły są zazwyczaj sprawdzane od góry do dołu. Pierwsza reguła pasująca do pakietu zostaje wykonana, a reszta jest ignorowana. Dobrą praktyką jest zasada „Deny All” na samym końcu listy.
Podsumowanie
Zapora ogniowa nie jest „programem antywirusowym” – nie skanuje ona plików na dysku, lecz pilnuje „bramy” do sieci. Może być realizowana jako dedykowane urządzenie sprzętowe (np. w dużych firmach) lub jako usługa systemowa (np. Zapora Windows, iptables w Linuxie).