Router jako zapora ogniowa
ITpedia
Połączenie routera i zapory ogniowej poszerza funkcje prostego routera, zapewniając środki do śledzenia i rejestrowania informacji związanej z bezpieczeństwem lokalnego hosta. Routery takie mogą także wykonywać ograniczone filtrowanie w odniesieniu do innych protokołów (IPX NetWare, AppleTalk, DECnet, XNS i VINES).
Zapora może ograniczać się do filtracji i monitorowania ruchu sieciowego lub zapewniać również usługi tunelowania ruchu dla protokołu międzysieciowego IP.
Na ogół główną cechą takich routerów jest brak mechanizmów opartych na informacji kontekstowej, co oznacza, że nie mogą one decydować o przepuszczaniu lub dozowaniu przepływu pakietów opierając się na kontekście wcześniejszych zdarzeń związanych z aktualnie kontrolowanym ruchem. Ogranicza to kompleksowość i zakres polityki ochronnej, jaką mogą wspomagać te produkty, szczególnie w odniesieniu do protokołów bezpołączeniowych, takich jak protokół datagramowy użytkownika UDP (User Datagram Protocol).
Również w odniesieniu do pracy z poszczególnymi protokołami TCP/IP - takimi jak FTP (File Transfer Protocol), który używa dwóch połączeń dla transmisji danych – zaporom ogniowym jest potrzebny mechanizm umożliwiający określenie kontekstu aktualnie kontrolowanego fragmentu ruchu.
Odmianą podejścia "router jako zapora ogniowa" jest zapora, która nie wykonuje routingu pakietów; zamiast tego przerzuca je mostem przez dwa interfejsy sieciowe, czyniąc niewidocznymi dla wszystkich protokołów wyższego poziomu. Zapora taka sprawdza każdy odbierany pakiet i decyduje, czy przepuścić, czy zatrzymać, na podstawie zawartości samego pakietu, a w szczególności: jego typu, adresu lub (w protokołach wyższego poziomu) danych zawartych w nim.
Zapora taka może być używana do prostego filtrowania protokołów innych niż TCP/IP, ale najbardziej użyteczna jest dla protokołów operujących na szczycie protokołów międzysieciowych – IP, ponieważ na ogół zawiera wbudowane reguły działania dla większości protokołów i scenariuszy ochrony opartych na IP. Zapora obsługuje nie tylko tradycyjne TCP i UDP, lecz także inne protokoły, operujące ponad IP; może także utrzymywać informację kontekstową, aby bezpiecznie manipulować protokołami, takimi jak: DNS (Domain Naming System), NFS (Network File System) i FTP.
Istnieją też specjalne typy routera filtrującego pakiety. Wykonują one translację adresów sieciowych - NAT (Network Address Translation) i zawierają szereg wbudowanych mechanizmów ochronnych. Mechanizmy ochrony takich zapór działają opierając się na: informacjach kontekstowych dla takich protokołów jak FTP, regułach działania dla wiodących protokołów TCP/IP - takich jak Telnet, SMTP (Simple Mail Transfer Protocol) lub NNTP (Network News Transport Protocol), oraz tunelowaniu IP.
Największym obszarem zastosowania zapór ogniowych jest ochrona sieci korporacyjnych na styku z sieciami publicznymi, takimi jak Internet. Zapory ogniowe zorientowane na Internet mają dwa interfejsy LAN: jeden dla nie chronionej strony sieci (czasami nazywanej dirty lub red) i drugi - dla strony chronionej (czasami nazywanej clean lub blue).
Konfiguracja ograniczona tylko do dwóch interfejsów ma istotne zalety: interfejs użytkownika jest bardziej klarowny w tym, co jest dozwolone, i co jest filtrowane.
Czasami dopuszcza się trzy interfejsy, ale z pewnymi ściśle określonymi ograniczeniami: jeden jest dirty i nie chroniony, jeden jest clean i wewnętrzny, a jeden jest przeznaczony dla serwerów dostępnych od strony Internetu - podsieć często nazywana "strefą zdemilitaryzowaną".
Dla bardziej złożonych środowisk, z wieloma zaporami ogniowymi, organizacjami, sieciami lokalnymi i innymi rozgałęzieniami zaufanymi lub nie, dwa interfejsy są niewystarczające. Oczywiście, większa liczba interfejsów jest bardziej skomplikowana w zarządzaniu, a opcje konfigurowania stwarzają więcej okazji do budowania zapór ogniowych realizujących odmienną od przyjętej politykę ochrony.
