Firewall patří k nenápadným, ale zásadním ochranám, které stojí mezi vašimi daty a hrozbami z internetu. Nejde přitom o nic abstraktního. V praxi firewall rozhoduje o tom, jaká komunikace se do vašeho zařízení dostane a co naopak zůstane zablokované. V článku se proto podíváme na to, jak firewall funguje, kde se s ním běžně setkáte a proč by jeho správné nastavení nemělo zůstat stranou vaší pozornosti.
Firewall je síťové zařízení, které může mít softwarovou nebo hardwarovou podobu. Buď tedy jde o program, fyzické zařízení, nebo fyzickou součást jiného zařízení (nejčastěji routeru). Ve všech případech je jeho primární úkol stejný. Firewall zkoumá a filtruje informace, které přicházejí do interní sítě (či konkrétního síťového zařízení) prostřednictvím připojení k Internetu.
Firewall si proto můžete nejlépe představit jako bránu či zeď, která vytváří ochrannou bariéru mezi důvěryhodným prostředím vaší sítě a nebezpečným vnějším prostředím Internetu. Funguje tak, že hlídá všechny příchozí i odchozí přenosy dat a podle předem nastavených pravidel určuje, koho přes bránu pustí dovnitř do sítě a komu naopak bránu zavře a přístup do sítě odepře.
Primárně vás firewall dokáže ochránit zejména před neautorizovaným přístupem do sítě. Díky kontrole příchozího, ale i odchozího datového provozu, se pak navíc neomezuje jen na zamezení přístupu zvenčí, ale dokáže také zablokovat síťovou komunikaci škodlivých programů, které by se mohly pokusit odesílat data směrem ven na neznámé servery (např. v rámci průmyslové špionáže).
Typicky se tak děje v případě, kdy je počítač již infikován malwarem. Cílem bývá např. připojení vašeho počítače do botnetové sítě nebo na server útočníka či odeslání nashromážděných dat útočníkovi (což má často na svědomí spyware nebo keylogger).
Je tedy zřejmé, že firewall je velmi důležitým bezpečnostním nástrojem, který umí škodlivým programům nejen blokovat přístup k vašim systémům, ale zároveň také minimalizovat jejich škody v případě, kdy už reálně pronikly do počítače.
Firewall má však určitý význam i při obraně před neoprávněnými pokusy o vzdálené připojení k PC a DDoS útoky. Umí např. rozpoznat nadměrné množství požadavků a omezit jejich přístup, čímž může pomoci zmírnit dopady menších DDoS útoků. Díky tomu může vaše síť zůstat dostupná i pod útokem tohoto typu.
Firewall bohužel dokáže často zabránit jen útokům na známé zranitelnosti. V takovém případě totiž odhalí útok založený na již známých vzorcích, které umí spolehlivě rozpoznat. Co se ale týče útoků nultého dne (zero-day attacks), firewall už není 100% spolehlivou ochranou. Ty totiž využívají dosud neznámých zranitelností systémů, pro které zatím neexistuje obrana. Mechanismus útoku se tak firewallu může jevit jako legitimní požadavek, který je poté vpuštěn dál do sítě.
Dalším typem útoku, na který je firewall krátký, jsou také různé metody sociálního inženýrství, které k průniku využívají lidského selhání. Pokud totiž útočník přiměje jednoho ze zaměstnanců navštívit škodlivou doménu nebo kliknout na infikovaný soubor v příloze tzv. phishingového e-mailu, ten si takto nainstaluje malware do počítače sám, což útočníkovi pomůže firewall obejít.
Škodlivý provoz bude totiž při kontrole vypadat legitimně, jelikož požadavek na instalaci přišel z interní sítě. Zároveň má firewall proto omezenou i schopnost detekovat hrozby vycházející zevnitř organizace. To se týká případů zneužití legitimních přístupů ze strany zaměstnanců nebo kompromitovaných účtů.
Dále je pak důležité vědět, že v dnešní době, kdy naprostá většina síťové komunikace probíhá šifrovaně, ztrácí firewall část své schopnosti vidět do přenášených dat a jeho role se kvůli tomu přirozeně proměňuje. Bez pokročilé inspekce šifrovaného provozu totiž často nedokáže rozlišit, zda je komunikace legitimní nebo škodlivá, a musí se více spoléhat na metadata, reputaci cílových serverů či behaviorální analýzu.
V kontextu principů moderní Zero Trust architektury se tak z firewallu jakožto hlavní obranné linie stává spíše jedna z více kontrolních vrstev, které slouží především pro vynucení bezpečnostních politik a segmentaci sítě. Jeho význam tak neklesá, ale určitě se mění. Z univerzální ochrany se stává specializovaným prvkem širší bezpečnostní architektury, který musí být doplněn o další technologie a odpovídat aktuálním bezpečnostním požadavkům a regulacím, jako jsou například směrnice NIS2, či předpisy DORA nebo CRA.
Přestože jejich role je odlišná, firewall bývá často zaměňován s jinými bezpečnostními nástroji, jakými jsou Intrusion Detection System (IDS), Intrusion Prevention System (IPS) nebo antivirové programy.
Rozdíl mezi nimi spočívá v tom, že zatímco firewall primárně řídí, jaká komunikace může do sítě vstupovat a opouštět ji, systémy IDS a IPS se zaměřují na samotný obsah této komunikace a snaží se odhalit škodlivé vzorce nebo známé útoky (IDS je pouze detekuje, zatímco IPS je umí rozpoznat a poté rovnou zablokovat jejich aktivitu).
Antivirový software pak funguje na úrovni koncových zařízení, kde v souborech a aplikacích vyhledává škodlivý kód, aby mohl včas zabránit jeho spuštění. Hledá tedy škůdce, který se už nachází v systému, zatímco firewallu jde o to, aby jej tam vůbec nepustil. Každá z těchto technologií tak řeší jinou část bezpečnostního řetězce a teprve jejich kombinace poskytuje smysluplnou ochranu.
Zaměňování jednotlivých technologií je pak zčásti určitě způsobené i tím, že v moderních řešeních se tyto funkce často prolínají - ať už u next-generation firewallů, které v sobě kombinují prvky firewallu a IPS, nebo u moderních antivirů, které často mohou zahrnovat také integrovaný firewall.
Jednotlivé typy firewallů se mezi sebou mohou lišit nejen způsobem fungování, ale také úrovní zabezpečení, kterou uživateli poskytují. Proto je dobré se v základních typech firewallů vyznat.
Tento typ představuje nejstarší a nejzákladnější typ ochrany, který pracuje na principu filtrování jednotlivých datových paketů podle předem nastavených pravidel. K povolení nebo naopak zablokování komunikace se rozhoduje především na základě informací o IP adresách, portech či použitých protokolech, aniž by zkoumal obsah či kontext komunikace. Díky tomu je rychlý a nenáročný na výkon, na druhou stranu však poskytuje pouze omezenou úroveň ochrany, nedokáže efektivně odhalit sofistikovanější útoky a neumožňuje ani pokročilejší konfiguraci složitějších požadavků.
Stavový firewall již rozšiřuje základní princip paketového filtrování o schopnost sledovat stav jednotlivých síťových spojení, což mu umožňuje vyhodnocení jejich navázaní, přenosu dat i ukončení. Nevyhodnocuje tedy každý paket izolovaně, ale v kontextu celé komunikace, což mu umožňuje lépe rozlišit legitimní provoz od podezřelého a zamezit i sofistikovanějším typům útoků. Nabízí také lepší možnosti konfigurace, zároveň je ale náročnější na výpočetní výkon.
Tento typ firewallu se zaměřuje na řízení a kontrolu síťového provozu na úrovni aplikací. Vyhodnocuje přitom obsah paketů a podle toho rozhoduje o povolení či zablokování požadavků na přístup ke specifickým aplikacím či službám. Tím poskytuje hlubší ochranu, než jakou dokáže zajistit firewall pracující pouze s IP adresami a porty.
Jedním ze způsobů, jak aplikační firewall implementovat, je prostřednictvím tzv. proxy firewallu. V tomto režimu pak firewall funguje jako prostředník mezi klientem a cílovým serverem. Příchozí požadavky nejprve přijme, provede jejich analýzu a teprve poté je přepošle dál. Díky tomu může detailně kontrolovat obsah komunikace a lépe izolovat interní síť od potenciálně škodlivého provozu. Proxy režim ale bývá náročnější na výkon a mnohem složitější na konfiguraci, což vyžaduje pokročilejší IT znalosti.
Tento typ představuje evoluci firewallu pro moderní dobu, která kombinuje tradiční funkce s pokročilými bezpečnostními mechanismy. Kromě filtrování paketů a stavové inspekce totiž zahrnuje také prvky jako hlubokou analýzu paketů (DPI), integrované IDS či IPS, kontrolu aplikací a napojení na threat intelligence (zjednodušeně řečeno seznam známých kybernetických hrozeb). Díky tomu se zaměřuje nejen na to, kdo komunikuje, ale i jakým způsobem a s jakým obsahem, což z NGFW činí klíčový prvek moderních firemních sítí.
Web app firewall je specializovaným typem firewallu, který bývá označován zkratkou WAF. Na základě předem definovaných pravidel monitoruje a blokuje HTTP/HTTPS provoz směřující k webovým aplikacím. Nejčastěji se proto umisťuje před webové servery, kde je jeho úkolem ochrana webových aplikací před různými typy útoků (nejčastěji SQL injection, cross-site scriptingem nebo cross-site request forgery). Bez této ochrany by aplikace vystavené Internetu mohly být velmi snadno kompromitovány.
Softwarový firewall je program, který je buď integrovanou součástí operačního systému nebo aplikací třetí strany, a který běží přímo na koncovém zařízení, kde je jeho úkolem kontrola komunikace jednotlivých aplikací a procesů s Internetem.
Umožňuje tak například povolit přístup webovému prohlížeči, ale zároveň zablokovat podezřelé programy, které se pokoušejí odesílat data bez souhlasu uživatele. Jeho hlavní výhodou je flexibilita a možnost detailního nastavení podle konkrétních potřeb. Softwarový firewall ale chrání především samotné zařízení, na kterém běží.
Naproti tomu hardwarový firewall je fyzickou komponentou, která obvykle bývá součástí routeru a vytváří bariéru mezi vaší sítí a Internetem. Může ale jít i o úplně samostatné síťové zařízení (buď v desktopové variantě nebo v rackovém provedení), které se zapojí mezi router a všechna vaše zařízení.
Jeho hlavní výhodou je, že dokáže chránit všechna zařízení připojená do sítě najednou - počítače, chytré telefony nebo například tiskárny. Díky přednastaveným bezpečnostním pravidlům nabízí základní úroveň ochrany okamžitě po zapojení, u pokročilejších modelů pak může správce sítě definovat vlastní filtry, vytvářet detailní zásady přístupu a sledovat provoz v reálném čase. Díky tomu hardwarový firewall umožňuje centrální kontrolu a snižuje závislost na individuálním nastavení jednotlivých zařízení.
Firewall v routeru chrání celou síť tím, že kontroluje provoz přicházející z Internetu a zabraňuje neautorizovanému přístupu. Poskytuje centrální kontrolu nad všemi připojenými zařízeními, a právě díky němu je základní ochrana sítě aktivní ihned po zapojení routeru.
Přestože jej většina moderních routerů má integrovaný a ve výchozím nastavení jej automaticky spouští, i tak je důležité, aby měl každý počítač, notebook či mobil aktivní i vlastní softwarový firewall. Hardwarový firewall v routeru totiž filtruje pouze příchozí provoz z Internetu, ale pokud se škodlivý software dostane do některého zařízení, bez lokálního softwarového firewallu se může snadno šířit uvnitř sítě. Právě kombinace hardwarového a softwarového firewallu proto významně zvyšuje úroveň zabezpečení v celé síti.
Přestože je velmi důležitý, firewall představuje jen jednu vrstvu ochrany. Nelze proto zapomínat ani na další aspekty zabezpečení Wi-Fi sítě, zabezpečení samotných počítačů (včetně zabezpečení jejich firmwaru) či tiskáren.
Každé zařízení s Windows má základní firewall již integrovaný. Je totiž součástí bezpečnostního nástroje Windows Defender. Takový firewall ale představuje opravdu pouze základní úroveň ochrany. Omezeny jsou např. možnosti přizpůsobení podle konkrétních potřeb uživatele.
Zvládá však filtrování příchozího i odchozího síťového provozu, přičemž uživatel může nastavit pravidla pro jednotlivé aplikace a porty. Nabízí ochranu před neoprávněným přístupem škodlivého softwaru a provádí základní záznamy a protokolování. Bohužel už ale nenabídne pokročilejší funkce typu IDS/IPS ani hloubkovou kontrolu paketů.
Pokud jsou pro vás tyto funkce nutností, musíte je většinou hledat v placených softwarových firewallech. Zkusit ale můžete rovněž některou z bezplatných alternativ, které sice stále nenabídnou některé špičkové funkce, avšak v možnostech přizpůsobení a vybraných funkcích jsou zpravidla lepší než Windows Defender. Mezi tyto nástroje patří například TinyWall.
Situace se pak komplikuje v případě, kdy spravujete více různých síťových zařízení najednou, což je pro většinu firem typické. V takovém případě nemusí stačit ani standardní hardwarový firewall v routeru a je vhodné uvažovat spíše o samostatném hardwarovém firewallu nebo pokročilých softwarových řešeních, které mají zpravidla více funkcí (umožňují například centrální kontrolu, segmentaci sítě či detailní analýzu provozu).
Pokud si nejste jistí, zda firewall na vašem zařízení opravdu funguje tak, jak má, můžete si to ověřit. Kontrolu základního stavu firewallu ve Windows Defender je možné provést velmi rychle. Stačí otevřít vyhledávání Windows, začít psát Zabezpečení Windows, kliknout na toto tlačítko a poté z menu vybrat položku Firewall a ochrana sítě.
Zde ihned uvidíte, zda je firewall aktivní pro všechny typy sítí (doménovou, privátní i veřejnou). U hardwarových firewallů je pak většinou možné sledovat jejich stav přes administrační rozhraní routeru nebo samostatného firewallu.
Mezi další způsoby pro otestování funkčnosti firewallu, které sice jsou pokročilejší, ale zároveň také mnohem uživatelsky náročnější, pak patří:
Testování otevřených portů
Tento test kontroluje, zda jsou uzavřené porty konkrétního zařízení opravdu blokované firewallem. Při těchto testech se využívají nástroje typu ShieldsUP nebo třeba Nmap.
Simulace útoků
Toto pokročilejší testování může být prováděno pomocí specializovaného softwaru, který simuluje typické útoky, jako jsou pokusy o připojení na neexistující služby, DDoS či jiný škodlivý provoz. Tyto testy ověřují, zda firewall správně identifikuje a zablokuje neautorizované pokusy o přístup.
Kontrola protokolování
Firewall také obvykle vedle generování upozornění rovněž zaznamenává zablokovaný provoz. Pravidelná kontrola těchto tzv. logů může pomoci odhalit slabiny nastavení nebo podezřelou aktivitu, která by jinak mohla uniknout pozornosti.
Ve většině moderních zařízení je firewall zapnutý a nakonfigurovaný už ve výchozím nastavení. Pro běžné použití proto není nutné provádět jeho složité nastavování. Výchozí konfigurace obvykle poskytuje dostatečnou ochranu proti neautorizovanému přístupu zvenčí.
To platí pro Windows, macOS i mobilní operační systémy Android a iOS. Na mobilních zařízeních je pak správa firewallu celkově více automatizovaná, a proto zde hraje větší roli celkové zabezpečení systému, aktualizace a kontrola oprávnění aplikací než samotné nastavování firewallu.
Smysl tak dává zaměřit se spíše na několik klíčových nastavení, která mohou bezpečnost výrazně ovlivnit. Základem je ověřit, že je firewall skutečně aktivní pro všechny typy sítí včetně veřejných připojení. Dále je pak vhodné zkontrolovat pravidla pro aplikace a povolit pouze ty, kterým důvěřujete (zbytečně otevřená komunikace může představovat bezpečnostní riziko).
Až v prostředí větší firmy pak dává smysl řešit detailnější konfiguraci, například omezení odchozí komunikace, segmentaci sítě nebo centrální správu pravidel. Obecně proto platí, že firewall není potřeba složitě nastavovat, ale spíše správně používat. Tedy mít ho zapnutý, nepovolovat podezřelým aplikacím zbytečné výjimky a kombinovat jej s dalšími bezpečnostními opatřeními.
Firewall lze na většině zařízení vypnout velmi jednoduše. Například ve Windows stačí otevřít Zabezpečení Windows, poté kliknout na Firewall a ochrana sítě a následně u vybraného typu sítě přepnout její stav na Vypnuto. U routerů to pak jde udělat v jejich administračních rozhraních.
Dejte si však pozor. Vypnutí firewallu obecně není doporučovaným krokem. Představuje jednu z významných vrstev ochrany a jeho deaktivace znamená, že zařízení nebo celá síť přestane být chráněna před neautorizovaným přístupem zvenčí. Z tohoto důvodu je vypnutí bezpečné pouze ve velmi specifických situacích a ideálně jen dočasně.
Může se jednat třeba o případy, kdy řešíte problémy s připojením, testujete síťovou komunikaci nebo se snažíte o spuštění aplikace, která je blokována firewallovým pravidlem. I v těchto situacích je ale vhodnější se nejdříve snažit spíše jen upravit pravidla firewallu než jej úplně vypnout. Zda je to moudrý krok, si musíte vyhodnotit zejména v případě, že daná aplikace není z důvěryhodného zdroje.
Pokud by mělo jít o dlouhodobé vypnutí firewallu, pak je to velmi jednoduché. Vždy jde o významné bezpečnostní riziko. Pokud už k němu musí dojít, mělo by proto být vždy časově omezené, kontrolované a ideálně prováděné v prostředí, kde nehrozí přímé vystavení zařízení hrozbě útoku.
Firewall pořád zůstává důležitým prvkem síťové bezpečnosti, jeho role se však v moderním prostředí výrazně proměnila. Už dávno nejde o jedinou obrannou linii, ale o jednu z více vrstev, které společně chrání firemní infrastrukturu. S rostoucím podílem šifrované komunikace a stále sofistikovanějšími útoky je proto nutné firewall vnímat hlavně jako součást širší bezpečnostní strategie, nikoliv jako samostatné všemohoucí řešení.
Při nákupu stolního počítače je snadné přeplatit za výkon, který nikdy nevyužijete. Rozdíl mezi rozumnou a zbytečnou investicí přitom často tkví v jediné komponentě. Podívejte se, jak se orientovat v cenách procesorů, grafických karet, pamětí i úložišť. Číst celý článek
Firewall rozhoduje o tom, jaká komunikace se do vašeho zařízení dostane a co naopak zůstane zablokované. V článku se proto podíváme na to, jak firewall funguje, kde se s ním běžně setkáte a proč je lepší jej nechat většinou zapnutý. Číst celý článek
Při výběru HP ZBook zjistíte, že řada se dále dělí do několika podřad, které se mezi sebou liší zaměřením, výbavou i výkonem. Následující článek vám pomůže se v tomto dělení zorientovat a vybrat stroj, který bude nejlépe odpovídat vašim nárokům. Číst celý článek
Tradiční bezpečnostní model „hrad a příkop“ přestává v době cloudu, práce na dálku a sofistikovaných útoků stačit. Model nulové důvěry (Zero Trust Architecture) tento přístup obrací naruby - nikomu a ničemu automaticky nedůvěřuje a každý přístup ověřuje. Číst celý článek
Letní vedra dnes již nejsou výjimkou, ale pravidlem. V kancelářích, kde se kumuluje teplo od lidí, počítačů, tiskáren i slunce proudícího přes prosklené plochy, může teplota během pár hodin vystoupat nad hranici, kdy klesá soustředění a roste únava. Číst celý článek
Přehřívání počítače neznamená jen vyšší hluk ventilátorů, ale i nižší výkon, nestabilitu systému a kratší životnost komponent. Správně navržené chlazení PC je proto klíčové - od volby vhodné skříně a proudění vzduchu až po chlazení procesoru a grafické karty. Číst celý článek
