Najważniejsze jest bezpieczeństwo

Podstawowym zadaniem pakietu firewall jest ochrona sieci korporacyjnej przed nie autoryzowanym dostępem. "Ściana ogniowa" podczas takiej ochrony może stosować różne strategie zabezpieczania sieci. Jeszcze do niedawna produkty oferowane na rynku działały tylko według jednej strategii - zabezpieczając dostęp na poziomie warstwy sieciowej modelu OSI, warstwy transportowej lub też warstwy aplikacyjnej. Obecnie coraz większa liczba pakietów integruje te strategie w celu podniesienia bezpieczeństwa komunikacji. Ponadto najlepsze pakiety mogą także wykrywać ataki na poziomie protokołu sieciowego i reagować na nie na bieżąco.

Współczesne firewalle mogą działać na dwa sposoby: według odgórnie ustalonych zasad nakazujących im blokować bądź też przepuszczać określony ruch sieciowy (określony protokół komunikujący się przez określony port, ruch wysyłany spod znanych adresów IP itp.) oraz jako tzw. Proxy, mogące podejmować inteligentne decyzje dotyczące przesyłanych pakietów sieciowych. Proxy przejmuje bowiem przesyłane dane w warstwie aplikacyjnej, co umożliwia mu ich filtrowanie i modyfikowanie na podstawie specyfiki danej aplikacji, a nie tylko numeru IP lub identyfikatora użytkownika. Dzięki temu Proxy może blokować wykonywanie aplikacji ActiveX, skanować przesyłane pliki pod kątem występujących w nich wirusów itp. Najbardziej zaawansowane rozwiązania wyposażone są także w serwery Proxy dla poszczególnych protokołów np. SMTP. Pozwala to np. maskować prawdziwe adresy serwerów pocztowych przy wysyłaniu poczty elektronicznej.

Pakiety firewall, zapewniające zabezpieczenia według definiowalnych zasad, mogą się od siebie znacznie różnić. Warto, by rozwiązanie takie umożliwiało zdefiniowanie czasu, w jakim obowiązują dane reguły, ponieważ w wielu firmach jest tak, że administrator chciałby ograniczyć dostęp do Internetu w godzinach 8.00-16.00, a potem pozwala użytkownikom bez ograniczeń buszować po sieci globalnej. Niestety, niewiele produktów pozwala zrealizować taki mechanizm.

Ważne szczegóły

Dokonując wyboru firewalla, często zapomina się o tak istotnych szczegółach, jak sposób, w jaki traktowane są podejrzane sesje komunikacyjne. Mogą one być bowiem dyskretnie ignorowane przez oprogramowanie zabezpieczające bądź też od razu przerywane. Niektóre pakiety firewall mogą dynamicznie zmienić własną konfigurację, jeśli wykryją próbę ataku na sieć korporacyjną - nie tylko zamkną sesję komunikacyjną, ale także uniemożliwią dalszy dostęp spod podejrzanego numeru IP.

Ważne jest także czy firewall może wykryć próby jego sondowania przez popularne narzędzia stosowane przez włamywaczy. Wskazane jest również, by potrafił obronić się przed atakami typu denial-of-service, polegającymi na zalewaniu określonego portu TCP i kryjącej się pod nim usługi systemowej nieprzerwanym strumieniem pakietów wymagających potwierdzenia, co doprowadza najczęściej do spowolnienia, a czasami nawet zawieszenia atakowanej maszyny.