Základní princip činnosti firewallů

Pokud jde o primární funkci firewallů, tedy o ochranu před neoprávněným přístupem zvenčí, je základní princip jejich fungování odvozen od principu který byl dlouhá století používán k ochraně středověkých hradů a pevností: kolem nich se zřídil vodní příkop, tak aby jej nemohl nikdo překonat, a do samotného hradu se vytvořil jediný vstup skrz hlavní bránu (která byla spojena s okolním světem pomocí padacího mostu přes vodní příkop). Kdokoli pak chtěl do hradu vstoupit (či z něj vyjít), měl jen jedinou možnou cestu - musel projít branou, ve které stál hlídač a každého kontroloval (resp. posuzoval jeho oprávněnost ke vstupu, resp. k výstupu). Dnešní firewally fungují obdobně: "stojí" někde na rozhraní mezi připojovanou sítí a veřejným Internetem, a veškerý přenos dat mezi vnějším světem a chráněnou privátní sítí "svádí" do jednoho bodu kterým všechna přenášená data prochází (analogie brány s padacím mostem). V tomto bodě pak kontrolují oprávněnost přenosu dat, resp. rozhodují o tom, zda jej nechají pokračovat dál či jej zastaví (analogie hlídače který kontroluje každého kdo prochází bránu).

Obecná představa firewallu

Druhy firewallů

Jak jsme si již uvedli výše, firewall je v zásadě opatření plnící určitý cíl, a jako takové může být realizováno různými způsoby, pomocí různých prostředků, metod, postupů, technik apod. V úvahu připadají firewally na bázi:

• organizačního opatření - podstatou může být zavedení určitých organizačních opatření regulujících chování uživatelů připojené privátní sítě a způsob nakládání se zdroji, které se v této síti nachází. Takováto organizační opatření mohou například zakazovat uživatelům přinášet "zvenku" diskety a vkládat je do počítačů v chráněné síti (kvůli nebezpečí zavirování), instalovat jakékoli nové programy či je pouze z disket či jiných přenosných médií spouštět )opět kvůli nebezpečí virové nákazy, ale třeba také jako ochranu proti zavedení tzv. trojských koňů apod.). Nebo může být v rámci organizačních opatření uživatelům uloženo pravidelně měnit svá přístupová hesla, pravidelně zálohovat svá data, nenechávat citlivá data na počítačích zapojených do sítě (ale uchovávat je na médiích která se v době kdy nejsou používána ukládají do trezoru apod.). Míra ochrany proti neoprávněnému přístupu zvenčí i proti dalším možným ohrožením, která čistě organizační opatření poskytují, nemusí být vysoká - na druhé straně v konkrétních případech to může být plně postačující a optimální z hlediska nákladů na svou realizaci.
• softwarového řešení - takovýto druh firewallu nevyžaduje žádné specifické (nové, dosud v síti neexistující) technické prostředky a je realizován výhradně programovými prostředky. Může se přitom jednat jen o vhodné nastavení existujících programových prostředků (například na existujícím směrovači jsou zakázány některé druhy přenosů, obecně provedena taková nastavení, jaká existující programové vybavení umožňuje). Možnosti nastavení, které existující programové vybavení nabízí, však nemusí postačovat pro dosažení požadovaných cílů. V takovém případě dochází k instalování dodatečných programových prostředků, například určité nadstavby nad operačním systémem směrovače, která mu dává potřebné schopnosti pro vykonávání funkce firewallu. Další možností je instalování samostatných programů (nikoli "nadstavbových" programů resp. rozšíření stávajícího programového vybavení), určených právě pro realizaci funkcí firewallu, a to na "počítačových" uzlech sítě které zde již existují (tj. nikoli na směrovačích).
• kombinované řešení - tento druh firewallů, využívající kombinaci programových a technických prostředků, je v praxi zřejmě nejčastější, protože je nejvíce univerzální a dokáže poskytnout nejvyšší úroveň ochrany připojené sítě. Možné formy realizace zahrnují řešení na principu demilitarizované zóny, či "monolitické" řešení atd. (viz dále).