A tűzfal gát egy biztonságos belső hálózat és egy nem megbízható hálózat (például az Internet) között.
A legtöbb cég tűzfalat használ a belső hálózatuk biztonságos Internet kapcsolatához, bár a tűzfalak segítségével az intraneten is elkülöníthető egy biztonságos belső hálózat egy másiktól.
A tűzfal egyetlen, ellenőrzött kapcsolódási ponttal rendelkezik (úgynevezett fojtópont) a biztonságos belső hálózat és a nem megbízható hálózat között. A tűzfal a következő funkciókkal rendelkezik:
Amikor az Internethez (vagy más hálózathoz) tűzfalat használ átjáróként, akkor csökkenti a kockázatot a belső hálózaton. A tűzfal használata a hálózat adminisztrációját is egyszerűsíti, mert a tűzfal funkciók biztonsági stratégiájának legtöbb feladatát átvállalják.
A tűzfal működésének megértéséhez képzelje el azt, hogy az Ön hálózata egy épület, amelynek az elérését ellenőrizni szeretné. Az épület egyetlen belépési pontja az előcsarnok. Az előcsarnokban a recepciósok üdvözlik a vendégeket, a biztonsági őrök figyelik a vendégeket, a videokamerák felveszik a vendégek tevékenységeit, a kártyaleolvasók pedig azonosítják az épületbe belépő vendégeket.
Ezek az intézkedések jól működhetnek egy épület esetében. Ha viszont egyszer egy jogosulatlan személynek sikerül bejutnia az épületbe, akkor már nem lehet megvédeni az épületet a behatoló cselekményeitől. Ha azonban figyeli a behatoló mozdulatait, esélye lesz a behatoló bármely gyanús tevékenységének felfedezésére.
A tűzfal hardver és szoftver elemek olyan gyűjteménye, amelyek együttesen a hálózat egy részének jogosulatlan elérését gátolják meg. A tűzfal az alábbi összetevőkből áll:
Hardver
A tűzfal hardver általában egy külön számítógépből vagy eszközből áll, amely kizárólag a tűzfal szoftver funkcióit futtatja.
Szoftver
A belső felhasználók számára az Internet szolgáltatások biztonságos elérését tűzfal, proxy, SOCKS szerverek vagy NAT segítségével biztosíthatja. A proxy és SOCKS szerverek a tűzfalnál megszakítják a TCP/IP kapcsolatokat a belső hálózat információinak elrejtéséhez a nem megbízható hálózatok elől. A szerverek naplózási lehetőségeket is biztosítanak.
A NAT segítségével biztosíthatja az Internet felhasználóinak a tűzfalon belüli nyilvános rendszer könnyű elérését. A tűzfal továbbra is védi a hálózatát, mivel a NAT elrejti a belső IP címeket.
A tűzfal azzal is védi a belső információkat, hogy DNS szervert biztosít saját maga általi felhasználásra. Valójában két DNS szerverrel rendelkezik: az egyik a belső hálózat adatait tartalmazza, míg a másik (a tűzfalban lévő) a külső hálózatoknak és magának a tűzfalnak az adatait tartalmazza. Ez lehetővé teszi, hogy vezérelje a belső rendszerek információinak kívülről történő elérését.
A tűzfal stratégia átgondolásakor azt gondolhatja, hogy elég az összes kockázati lehetőséget megtiltani, és minden mást engedélyezni. A számítógépes bűnözők azonban új és új támadási módszereket találnak ki, így ezek megelőzésére is gondolni kell. Az épület példájához hasonlóan az olyan jeleket is figyelni kell, amelyek arra utalhatnak, hogy valaki valahogyan megsértette a védelmi rendszert. Általában jóval károsabb és drágább a betörések következményeinek orvoslása, mint azok megakadályozása.
A tűzfalak esetében ezért a legjobb megoldás az, hogy csak azokat az alkalmazásokat engedélyezi, amelyek a tesztek során megbízhatónak bizonyultak. Ha ezt a stratégiát követi, akkor kimerítően definiálnia kell a tűzfalon futtatni kívánt szolgáltatások listáját. Minden szolgáltatást jellemezhet a kapcsolat irányával (bentről kifelé, vagy kintről befelé). Továbbá sorolja fel azokat a felhasználókat, akik számára az egyes szolgáltatásokat engedélyezi, és a gépeket, amelyek kapcsolódhatnak ezekhez a szolgáltatásokhoz.
A tűzfal telepítésére a saját hálózat és az Internet (vagy más megbízhatatlan hálózat) csatlakozási pontján kerül sor. Ezután korlátozhatja a hálózati belépési pontok számát. A tűzfal egyetlen kapcsolódási ponttal rendelkezik (úgynevezett fojtópont) a belső hálózat és az Internet között. Mivel csak egyetlen kapcsolódási pont van, széleskörűbb ellenőrzéssel rendelkezik afelett, hogy milyen forgalmat engedélyezzen a hálózatba be-, illetve kiáramlani.
A tűzfal a nyilvánosság számára egyetlen címként jelenik meg. A tűzfal a nem megbízható hálózathoz proxy vagy SOCKS szervereken vagy Hálózaticím-fordításon (NAT) keresztül tesz lehetővé kapcsolatot, miközben elrejti a belső hálózati címeket. Ebből következően a tűzfal fenntartja a belső hálózat bizalmasságát. A tűzfal a hálózattal kapcsolatos információk bizalmasságának megőrzésével csökkenti a megszemélyesítéses támadások (hamisítások) kockázatát.
A tűzfal lehetővé teszi a hálózatba be- és kiáramló forgalom felügyeletét a hálózatot érintő támadások kockázatának minimálisra csökkentése érdekében. A tűzfal biztonságosan szűri a hálózatba belépő összes forgalmat, hogy csak meghatározott típusú címzetthez vagy helyre irányuló forgalom léphessen be. Ez minimálisra csökkenti annak kockázatát, hogy valaki a Telnet vagy a fájlátviteli protokoll (FTP) segítségével hozzáférhessen a belső rendszerekhez.
Bár a tűzfal erős védelmet nyújt bizonyos típusú támadások ellen, csak része a teljes biztonsági megoldásnak. A tűzfal például nem tudja szükségszerűen megvédeni azokat az adatokat, amelyeket olyan alkalmazások segítségével küld az Interneten keresztül, mint az Egyszerű levéltovábbítási protokoll (SMTP) levelezés, az FTP és a Telnet. Hacsak nem dönt ezen adatok titkosítása mellett, bárki elérheti ezeket az adatokat az Interneten, miközben céljuk felé tartanak.