Zapory ogniowe w nowej roli

Coraz szersze otwieranie sieci na zewnątrz każe inaczej spojrzeć na rolę zapór ogniowych. Zwiększa się prawdopodobieństwo penetracji zapór sieci przedsiębiorstwa przez wirusy lub inne złośliwe programy (zwłaszcza gdy w zaporze otwiera się porty, aby umożliwić użytkownikom spoza sieci dostęp do niej).

Trudno zdefiniować precyzyjnie zasięg sieci przedsiębiorstwa. Rozróżnienie, co jest wewnątrz niej, a co na zewnątrz, staje się coraz bardziej skomplikowane.

Zapory ogniowe jako narzędzia ochrony sieci zaczęto wdrażać kilkanaście lat temu – wtedy dość łatwo dało się definiować zasięg sieci. Większość jej użytkowników pracowała na komputerach desktopowych w biurach. Zewnętrznych połączeń z partnerami biznesowymi praktycznie nie było.

Dzisiaj bezprzewodowy lub przewodowy dostęp do danych korporacyjnych jest zapewniany każdemu, kto może tego potrzebować – pracownikom mobilnym, partnerom biznesowym, kooperantom, dostawcom. Stwarza to zupełnie nowe pojęcie zasięgu.

Wzmacnianie zapory

Główni dostawcy zapór ogniowych (Check Point Software, Cyber-Guard, Network Associates, Secure Computing, Symantec) próbują sprostać potrzebom coraz bardziej otwierających się sieci, rozbudowując funkcje swych produktów. Jako przykład można podać próby projektowania zapór wykorzystujących usługi katalogowe, wydających uprawnienia dostępu po zalogowaniu użytkownika oraz logiczne zapory, oddzielające poszczególne grupy użytkowników wewnątrz organizacji. Inne rozwiązania to m.in:

• Projektowanie zapór pod kątem bardziej elastycznej współpracy z systemami wykrywania włamań (IDS – Intrusion Detection Systems) i oprogramowaniem antywirusowym lub wręcz zagnieżdżanie takich funkcji w samej zaporze.

• Oferowanie zapór do takiego sprzętu, jak komputery domowe i podręczne urządzenia bezprzewodowe.

• Zagnieżdżanie zapór w kartach sieciowych, umożliwiające ochronę poszczególnych urządzeń w sieci przed zagrożeniami wewnętrznymi i zewnętrznymi.

• Zapewnienie różnych poziomów filtrowania, co pozwala zaporom lepiej określać zagrożenia ze strony przesyłanych wiadomości lub aplikacji.

• Stosowanie zapór z wbudowanym VPN do połączeń przez sieć publiczną, np. Internet, i selektywne zapewnianie dostępu do danych pracownikom odległym.

Zapora na każdym serwerze

Opcją niskobudżetową jest zastosowanie zapór zintegrowanych z systemem operacyjnym. Do ochrony dostępu do zasobów sieci wewnętrznej można zastosować podział sieci na szereg stref chronionych przez zapory.

Oczekiwane niedługo web services będą wymagać bezpieczniejszych sieci wewnętrznych. W wydaniu Microsoft .Net czy SunONE mają zapewnić łatwiejszą komunikację aplikacji z obszaru chronionego przez zapory ogniowe z aplikacjami spoza tego obszaru. Połączenia te muszą przechodzić przez zapory ogniowe, co oznacza, że niektóre serwery wewnątrz sieci (oraz zewnętrzne) trzeba lepiej zabezpieczyć.

Jeśli zapora ogniowa została wbudowana w system operacyjny, to oznacza, że jest na każdym serwerze. Jest to rozwiązanie tańsze niż zapory wydzielone.

Wbudowana zapora ogniowa spełnia funkcję podobną do bezpiecznego lub wzmocnionego systemu operacyjnego, ponieważ umożliwia zintegrowane zarządzanie systemem operacyjnym i zaporą ogniową. Różnica w tym, że zapora skupia się na protokołach i połączeniach, a w mniejszym stopniu na oprogramowaniu pracującym na serwerze.