Kategorie firewallů
Současné firewally můžeme rozdělit do sedmi kategorií:
Osobní firewally
Vestavěné firewally
SOHO softwarové firewally
SOHO
hardwarové firewally
Enterprise softwarové firewally
Enterprise hardwarové
firewally
Speciální firewally
Mezi nejvíce rozšířené firewally patří jistě
tzv. osobní firewally (angl. personal firewall). Jde o aplikace určeny převážně
pro rodinu operačních systémů Windows sloužící k ochraně uživatelských stanic.
Tyto firewally jsou logicky umístěné mezi operační systém a uživatelské
aplikace. Dokážou proto omezovat komunikaci nejen na základě služeb, portů a IP
adres, ale také odlišují konkrétní aplikace. Příkladem osobního firewallu je
Kerio Personal Firewall. V současnosti se tento druh firewallů integruje také s
antiviry, antispamy a dalšími nástroji a označuje se jako „Internet security“
nebo „smart security“.
Jednodušší paketové filtry také nezanikly a je možné je najít zejména ve vestavěných firewallech. Tyto jsou často implementovány do směrovačů, přepínačů, nebo také WiFi přístupových bodů. Vestavěné řešení může být standardní součástí firewallů, stejně tak je možné k některým zařízením dokoupit rozšiřující modul zabezpečující tuto funkčnost. Oproti pokročilejším řešením však vestavěné firewally poskytují pouze omezenou funkčnost, zejména kvůli omezeným výpočetním prostředkům.
Softwarové firewally jsou softwarové balíčky určené pro serverové operační systémy. Toto řešení zabezpečení je vhodné, pokud požadujete, aby na daném serveru běžely mimo služeb firewallu také další služby. Nejedná se ovšem o tzv. osobní firewally, ale o specializovaný software s netriviálním nastavením a tedy není vhodný pro laického uživatele. Příkladem tohoto řešení jsou Kerio WinRoute Firewall, Astaro Security Gateway a Oracle SunScreen.
Běžnější řešení zabezpečení velkých sítí je založeno na hardwarových firewallech. Tyto můžou být založeny na vlastní architektuře s ASIC (tj. aplikačně specifickými integrovanými) obvody, nebo také na standardní PC architektuře. Občas se můžeme setkat také s firewally vyvinutými nad jinými architekturami – Sparc, Sun, atd. ASIC obvody jsou v hardwarových firewallech využívány pro akceleraci náročných výpočtů, zejména kryptografických, a můžou proto zabezpečit hardwarovým firewallům vyšší propustnost. Pokud jsou hardwarové firewally založeny na PC architektuře, označují se převážně jako „appliance“. Důvodem, proč se výrobci rozhodli poskytovat „black box“ řešení raději než samostatný software, je lepší optimalizace softwaru na cílový hardware a také možnost garance propustnosti.
Hardwarové firewally mohou ve svém okolí šířit pocit záhadnosti. Skutečnost je však mnohem jednodušší. Mnohé z řešení jsou založeny na standardním unixovém operačním systému, nebo využívají tyto systémy po vlastních úpravách. Jako příklad je možné uvést McAfee Sidewinder postavený na modifikovaném FreeBSD (marketingovo označený jako SecureOS), Kernun UTM a Fortinet Fortigate stejně tak vyvinuté nad FreeBSD, Gauntlet vyvinutý nad Solarisem, nebo Secure SnapGear vyvinutý nad embedded verzí Linuxu.
Pokud byste se rozhodovali mezi softwarovým nebo hardwarovým řešením, oba přístupy se odlišují méně, než se může zdát. Hardwarová akcelerace se vztahuje pouze na základní funkčnost, filtrování paketů na třetí a čtvrté OSI vrstvě. Antivir, antispam, antimalware, IDS/IPS a další rozšiřující funkcionalita je implementována v procesoru a samotný výkon závisí pouze na množině spuštěných ochran a počtu hledaných vzorů. Z toho důvodu ani nejvýkonnější hardwarové firewally s propustností desítek Gbit/s neposkytují tyto pokročilé bezpečnostní funkce.
Některé ze současných firewallů se označují jako firewally s hloubkovou inspekcí. Tyto firewally jsou ve skutečnosti stavové firewally částečně doplněny o funkčnost IDS/IPS. Cílem hloubkové inspekce detekce útoků na aplikační vrstvě pomocí porovnávání přenášených paketů s databází signatur, stejně jako to dělá antivir, nebo antispam. Samotný firewall tedy sémantice komunikace nerozumí a může proto kontrolovat komunikaci na nižších síťových vrstvách.
Softwarové i hardwarové firewally se vyskytují ve verzích SOHO a Enterprise. Největším rozdílem je zejména propustnost, přičemž část výrobců toto omezení raději nahrazuje počtem současných spojení, nebo počtem uživatelů.
Samostatnou skupinu firewallů tvoří speciální firewally zaměřené na konkrétní aplikaci. Jde zejména o firewally pro ochranu webových aplikací, databázových serverů, e-mailových serverů, filtrování webového obsahu, nebo zamezení úniku informací přes úzkou množinu služeb. Omezená funkčnost je nahrazena možností pokročilé konfigurace pravidel pro kontrolu a filtrování přesně definovaných služeb, což je možné právě díky jejich úzkému zaměření. Aplikační firewally můžou nahrazovat a doplňovat ochranu vestavěnou přímo v aplikacích a zjednodušit tak vývoj a nasazení bezpečných aplikací.