Dzięki technice proxy przesyłane dane mogą zostać poddane pełnej analizie pod kątem bezpieczeństwa. Przykładowo - można w ten sposób wyeliminować wysyłanie za pomocą FTP na zewnątrz poufnych danych firmy, podczas gdy "ściąganie" plików z zewnątrz jest całkowicie dozwolone. Dodatkowym efektem korzystania z proxy jest wyeliminowanie bezpośredniego kontaktu komputerów z sieci wewnętrznej ze światem zewnętrznym. Ukrywamy w ten sposób ewentualne niedociągnięcia w konfiguracji tych systemów.

Systemy proxy mogą funkcjonować na dwóch różnych poziomach. Mogą to być proxy połączeniowe, które działają na poziomie warstwy transportowej sieciowego modelu OSI nie ingerując w przebieg sesji. Są one bardzo elastyczne i mogą być zastosowane do obsługi wielu różnych protokołów i usług sieciowych. Zapewniają większe bezpieczeństwo niż filtry pakietów, gdyż rozpatrują poszczególne pakiety IP w kontekście aktualnych połączeń sieciowych. Eliminuje to możliwość "podrzucenia" pakietu nie związanego z aktualną transmisją, a mającego na celu destabilizację firewalla. Ponadto możliwa jest analiza pakietów, które bez kontekstu połączenia nie mogłyby być prawidłowo przeanalizowane wyłącznie przy użyciu techniki filtrowania pakietów.

Znacznie wyższy stopień bezpieczeństwa, obecnie najwyższy możliwy, oferowany jest przez proxy aplikacyjne. Działają one bezpośrednio w warstwie aplikacji i z tego względu mają możliwość analizowania już nie tylko pojedynczych pakietów czy nawet połączeń, ale przebiegu samej sesji. Możliwa jest więc ochrona aplikacji sieciowych dzięki filtrowaniu i ograniczaniu możliwości działań każdej ze stron transmisji już podczas nawiązanej sesji. Zatem chronione są zarówno serwery usług internetowych, jak i oprogramowanie klienckie (naszych użytkowników korzystających z Internetu) i to nie tylko pod względem tego, kto i skąd może nawiązywać połączenia, ale co może zrobić w trakcie danej sesji. Jest to szczególnie istotne w przypadku podatnych na występowanie luk bezpieczeństwa współczesnych serwerów WWW, poczty elektronicznej i przeglądarek internetowych.

W zasadzie jedyną wadą proxy aplikacyjnych jest ich prędkość. Mają one do wykonania potężną pracę i z tego względu nie mogą być tak szybkie, jak związane z routerami filtry pakietów, które tylko "podglądają" zawartość nagłówka pakietu. Mimo to obecnie osiągają one przepustowość 35-40 Mb/s.

Jednak twórcy systemów firewall (szczególnie w USA) postanowili zwiększyć oferowaną przez ich produkty szybkość transmisji. Odbywa się to jednak często kosztem poziomu oferowanego bezpieczeństwa. Obecnie dominującą technologią na rynku jest tzw. stateful inspection. Polega ona na dynamicznym filtrowaniu pakietów - do prostej analizy nagłówków dodano możliwość "zaglądania" do wnętrza pakietu, a więc namiastki analizy sesji aplikacyjnej. Jest to jednak wykonywane tylko w wyjątkowych przypadkach. Dodatkowo przechowywane są tablice stanu aktywnych połączeń, co w rezultacie umożliwia dynamiczną zmianę reguł filtrowania ruchu sieciowego, w zależności od potrzeb. Całość jest bardzo szybka, jednak zapewnia niższy poziom bezpieczeństwa niż proxy aplikacyjne.

Moim zdaniem zdecydowanie najlepszym rozwiązaniem jest wybór proxy aplikacyjnych. Jedynym obszarem, na którym ustępują one firewallom stateful inspection, jest szybkość - nie tak istotna w polskich realiach. Bezkompromisowy natomiast jest poziom oferowanego bezpieczeństwa - a to jest główne kryterium, jakie musi spełniać firewall.

Nic nie stoi natomiast na przeszkodzie, aby nabyć rozwiązanie integrujące w jednym produkcie wszystkie wymienione technologie. Wówczas wspierają się one wzajemnie i mogą być wykorzystywane adekwatnie do możliwości.

Ponadto nie należy zapominać o możliwości kaskadowania firewalli, czyli tworzenia zagnieżdżonych w sobie stref bezpieczeństwa chronionych przez kolejne firewalle. Wysunięty najbardziej na zewnątrz może być mniej bezpieczny, ale może zapewniać największą prędkość (jest to miejsce dla filtrów pakietów). Kolejne strefy mogą mieć wyższe stopnie zabezpieczeń i wykorzystywać proxy aplikacyjne.

Wybór

Wybór oprogramowania firewall nie może być przypadkowy, a niestety tak właśnie jest w większości polskich instytucji decydujących się na nabycie takiego rozwiązania. Wybór rozwiązania powinny poprzedzać obszerne badania tego, co ma być chronione w sieci korporacyjnej i w jakim stopniu. Wskazanie konkretnego firewalla powinno więc być wynikiem dobrze przeprowadzonej analizy i rozwiązanie to powinno być w pełni wkomponowane w kompleksową politykę bezpieczeństwa firmy.

A oferta rozwiązań dostępnych na rynku stale powiększa się. Oprócz firm, które zajmują się wyłącznie tworzeniem systemów zabezpieczeń, na rynek firewalli wchodzą producenci sprzętu sieciowego i systemów operacyjnych. Ogólnie wybierać należy rozwiązania dojrzałe (znajdujące się na rynku już od kilku lat), które wyszły z okresu pełnego błędów i niedociągnięć, i takie, których producenci dbają, aby ich produkty były odporne na najnowsze ataki.

Wiele polskich organizacji decyduje się na tworzenie własnych firewalli. Przekonane przez własnych informatyków powierzają im misję stworzenia zabezpieczeń dla całej organizacji na podstawie darmowych systemów operacyjnych, jak Linux czy FreeBSD. Rozwiązanie to ma ogromną zaletę: jest unikatowe, przez co trudniejsze do złamania. Ale ma również wiele wad. Po pierwsze, wymaga oddzielnego finansowania takiego przedsięwzięcia, które w rezultacie może okazać się droższe niż zakup rozwiązania komercyjnego. Po drugie, wymaga potwierdzenia swojej skuteczności, co jest niezwykle trudne. I po trzecie, wymaga ciągłej uwagi i aktualizacji wykonywanej przez personel organizacji. W przypadku firewalli komercyjnych to producent dba o odpowiednie uaktualnienia i poprawki.