Co je firewall?
Tento článek má ve svém názvu termín "firewall", který by v doslovném překladu mohl znamenat "ohnivou stěnu", nebo třeba také "protipožádní stěnu". V kontextu tohoto článku je ale termín "firewall" používán jako generický název pro všechna řešení, která mají za cíl zabezpečovat připojenou privátní síť před veřejným Internetem, zejména pak chránit ji před takovým druhem přístupu, jaký provozovatel privátní sítě považuje za nežádoucí. Jak záhy uvidíme, firewally mohou mít velmi různorodou povahu - mohou to například být i čistě organizační opatření, nebo řešení čistě softwarová. Nejčastěji to ale přeci jen jsou řešení kombinující využití programových a technických prostředků (softwaru i hardwaru). Forma ani další vlastnosti skutečně nemusí být podstatné - důležité je to, že jde o řešení splňující určitý účel, kterým primárně je zabezpečení připojení sítě proti neoprávněnému přístupu.
Vedle této své primární funkce však dnešní firewally mohou plnit také celou řadu dalších významných funkcí, které si také probereme, spolu s možnostmi samotné realizace a fungování firewallů. Ještě dříve, než se do toho dáme, se ale musíme seznámit s něčím ještě důležitějším než je volba koncepce firewallu. Je to záležitost, která by i v praxi měla předcházet úvahám o volbě nejvhodnějšího firewallu.
Role bezpečnostní politiky
Krokem, který by měl předcházet úvahám o nejvhodnější o nejvhodnějším řešení, je celkové zhodnocení situace a nastolení základních požadavků, záměrů i ochoty přijmout a realizovat určitá opatření - neboli promyšlení toho, co všechno je v sázce, jak moc je to ohroženo, čeho má být dosaženo a za jakou cenu.
Takováto rozvaha samozřejmě vyžaduje součinnost lidí z celé firemní hierarchie, od vedení firmy až po technické pracovníky a uživatele. Výsledkem by mělo být zevrubné posouzení rizik, možných ohrožení i toho, jak vysokou míru zabezpečení bude provozovatel připojované sítě požadovat, i jaké další přínosy bude od implementovaného řešení očekávat. Samozřejmě se tato rozvaha musí týkat také výše nákladů na pořizované zabezpečení, takže v praxi obvykle půjde o vhodnou volbu kompromisu mezi tím, co by provozovatel rád dosáhnul a tím co si může dovolit. Jak jsme si již naznačili, svou roli při těchto úvahám budou sehrávat i omezení či alespoň ovlivnění, kterými se zabezpečení projeví na práci uživatelů připojované sítě, a stejně tak je třeba pamatovat i na způsob fungování subjektu provozujícího připojovanou síť i na eventuelní specifické požadavky "firemních standardů", které mohou být i velmi striktní.
Pokud jsou v připojované síti již provozován firemní informační systém nebo nějaké jiné citlivější zdroje, pak je velmi pravděpodobné že provozovatel již má zpracovánu tzv. bezpečnostní politiku - jako základní dokument, který stanovuje požadavky na bezpečnost. Samotné připojení firemní sítě k veřejnému Internetu pak nutně musí z této bezpečnostní politiky vycházet, a mělo by v ní také být zakotveno. Přesněji: vyústěním komplexní rozvahy by mělo být rozšíření existující bezpečnostní politiky o aspekty týkající se připojení (eventuelně by mělo být podnětem k vypracování bezpečnostní politiky jako takové, pokud ještě neexistuje).
Někdy se v souvislosti s firewally hovoří i o samostatné "firewallové politice", ale to skutečně podstatné není v názvu či charakteru dokumentu - skutečně důležité je to, aby si lidé nejprve vše pečlivě promysleli, došli k určitému konsensu, získali pro tento konsensus podporu (například i ve vedení firmy), a vše "dali na papír". I zde tedy platí staré osvědčené pravidlo "dvakrát měř, jednou řež" - byť v podobě "nejprve pečlivě promysli, a teprve pak realizuj".