Zabezpieczenia w punktach końcowych sieci

Konwencjonalne zapory ogniowe umieszcza się pomiędzy zabezpieczanymi sieciami wewnętrznymi a sieciami nie zabezpieczonymi (Internetem). W celu zapewnienia bezpiecznego dostępu z i do Internetu filtruje się w nich ruch przychodzący i wychodzący.

Dostęp do sieci przedsiębiorstwa wymaga na ogół dodatkowego rodzaju zapory ogniowej – zapory zlokalizowanej w hostach (host-resident firewall). Zapory tego typu obejmują osobiste zapory ogniowe zdalnych użytkowników, agentów zapór ogniowych dla stacji roboczych i rozproszone zapory ogniowe zlokalizowane w serwerach aplikacyjnych.

Podobnie jak konwencjonalne zapory ogniowe zapory zlokalizowane w hostach działają na zasadzie ograniczania ruchu poprzez implementację reguł kontroli dostępu. Reguł tych używa się do określenia rodzaju ruchu, miejsca i czasu jego przekazania.

W przypadku zapór ogniowych zlokalizowanych na serwerze i agentów zapór ogniowych w stacjach roboczych dostęp jest kontrolowany zazwyczaj znacznie bardziej szczegółowo niż w osobistych zaporach ogniowych. Cecha ta umożliwia implementację polityk zabezpieczeń specyficznych dla danego przedsiębiorstwa, polityk, które są zazwyczaj definiowane na poziomie protokołu.

Konwencjonalne zapory ogniowe zależą od topologii sieci, w której działają. Ograniczając ruch w określonych punktach, zapewniają kontrolę i badanie całego ruchu wchodzącego i wychodzącego, co w aktywnych środowiskach e-biznesu może powodować zatory. Zapory ogniowe zlokalizowane w serwerach rozpraszają funkcje zabezpieczające na szereg procesorów, zapewniając w ten sposób teoretycznie nieograniczoną wirtualną skalowalność.

Zapory ogniowe zlokalizowane w hostach zapewniają bezpieczeństwo przed działaniami użytkowników, którzy dysponują tak zwanym dostępem dobrze poinformowanych osób, a ponadto pozwalają na konfigurowanie zabezpieczeń uwzględniające specyficzne funkcje hosta.

Większość zapór ogniowych zlokalizowanych w hostach służy do zabezpieczania serwerów internetowych. Tak zabezpieczone serwery mogą być rozmieszczone przed lub za brzegową zaporą ogniową (perimeter firewall).

Konwencjonalne zapory ogniowe dotyczą tylko ruchu na obwodzie sieci. Główną zaletą zlokalizowanych w hostach zapór ogniowych jest to, że mogą filtrować ruch międzysieciowy bez względu na jego pochodzenie.