"Sve" o firewall-ima

[ nicr @ 05.05.2005. 02:14 ] @

FIREWALL

Firewall je uredjaj koji sprijecava zadobivanje pristupa korisnicima koji se nalaze izvan mreze koju nadgleda firewall. Ovaj uredjaj je obicno kombinacija softwarea i hardwarea. firewallsi najcesce sadrze seme i pravila koja sortiraju sav zeljen i nezeljen promet.
Kao prvo, najjednostavnija autentikacijska procedura koristi IP adrese kao indekse. IP adresa je univerzalna identifikacijska "kartica" na Internetu a ta adresa moze biti ili staticna ili dinamicka:
- Staticna IP adresa je stalna, te je to adresa racunala koje je uvijek spojeno na Internet. Postoji vise klasa IP adresa. Jedna od klasa staticnih IP adresa moze se otkriti zatrazivanjem naredbe "whois". Ova klasa adresa predstavlja tzv. top-level racunala u mrezi, kao sto su domain name serveri, Web serveri, i root-level racunala. Druge klase IP adresa su adrese koje se pripisuju racunalima drugog i treceg razreda. Nad njima dominiraju domain name serveri, root serveri i Web serveri. Racunala drugog i treceg razreda takodjer imaju stalnu fizicku adresu a izmedju ostalog, ova racunala mogu (ali i ne moraju) posjedovati registrirana imena (hostname).
- Dinamicka IP adresa se pripisuje korisniku pri spajanju na mrezu. Dinamicki IP se cesto koristi od strane ISP-ova za dial-up pristup - svaki put kada se korisnik spoji, pripisuje mu se druga IP adresa.
Bilo da je adresa korisnika staticka ili dinamicka, ona se koristi u svom mreznom prometu u kojem sudjeluje korisnik. Kao primjer moze se navesti snimanje korisnikove IP adrese na Web server prilikom zatrazivanja odredjene Web stranice. Ovaj nacin se koristi ne kako bi narusio privatnost korisnika vec kako bi server znao na koji nacin poslati zatrazene podatke. Na slican nacin svi mrezni servisi "hvataju" korisnikovu IP adresu (privremeno ili stalno) kako bi mogli vratiti podatke do korisnikove adrese. U biti, cijela procedura radi poput postanskog ureda: svako pismo koje je poslano ima svog posiljatelja koji ima svoju adresu i ocekuje odgovor na svoj zahtjev.
Kada je veza uspostavljena izmedju korisnikovog racunala i udaljenog racunala, mogu se pojaviti razne informacije. Najcesca je tzv. "TCP/IP three-way handshake". Na bilo kojem stupnju takva informacija se pojavljuje tijekom koje korisnikov IP biva (pre)poznat racunalu koje je zatrazilo zahtjev. U normalnim okolnostima, gdje nema firewalla ili druge nadomjestne aplikacije (kao npr. TCP_Wrapper) instalirane, informacija izmedju racunala korisnika i udaljenog racunala putuje direktno.
Kada kazemo da informacija putuje direktno, time mislimo na ograniceni pojam jer je cjelokupni proces mnogo slozeniji:
1. Podatak nastaje negdje unutar Korisnikove Mreze. U ovom slucaju, korisnik je spojen na mrezu svog providera. Takvim sagledavanjem, mreza providera se onda moze klasificirati i kao Korisnikova Mreza.
2. Informacija putuje od racunala korisnika do racunala u mrezi providera. Zatim putuje putem Ethernet kabela (ili drugog oblika prijenosa) do glavnog servera Korisnikove Mreze.
3. Server Korisnikove Mreze predaje informaciju Routeru 1, koji promptno salje informaciju kroz telefonsku liniju prema Internetu.
4. Informacija putuje preko Interneta (prolazi kroz mnogo routera i gatewaya putem), te dospijeva do Routera 2. Router 2 izrucuje informaciju Serveru Providera a zatim se informacija salje putem Etherneta ili drugog izvora prijenosa podataka do Mreze Providera.
Ako ni jedna ni druga strana nisu primjenile sigurnosne mjere, put informacije se smatra direktnim. Router 2, na primjer, propusta pakete sa bilo koje izvorisne (IP) adrese da putuje direktno do Servera Providera i tada do Mreze Providera. Prilikom svog putovanja paketi ne nailaze na prepreku. Ovo je u potpunosti nesigurna situacija. Medjutim, dugo godina ovaj nacin prijenosa podataka je bio standard. Tokom godina, mrezni inzinjeri poceli su primjenjivati sirok spektar boljih rijesenja, a medju njima i firewall.

KOMPONENTE FIREWALLA

Najfundamentalnije komponente firewalla postoje unutar uma osobe koja ga konstruira a ne unutar softwarea ili hardwarea firewalla. Firewall je prije svega pojam a tek zatim produkt; firewall je ideja u umu stvaraoca koji odlucuje tko i sto ce biti omoguceno pristupanju mrezi. TKO i STO imaju veliki utjecaj na koji ce nacin mrezni promet biti usmjeren. Zbog ovog razloga, konstruiranje firewalla je dijelom umjetnost, dijelom osjecaj, a prije svega logicko razmisljanje. Ako pretpostavimo da programer (arhitekt firewalla) zna da mora postojati Web server na mrezi domacina (host), onda je ocito da ce Web server prihvatiti spajanje sa bilo koje IP adrese. Zbog toga, mora biti stvoreno zabranjeno podrucje servera. Drugim rijecima, u pruzanju Web usluga od strane mreze domacina, programer mora provjeriti ugrozava li Web server druge komponente mreze kako bi sve funkcioniralo u savrsenom redu.

SPECIFIcNE KOMPONENTE I KARAKTERISTIKE

firewallsi mogu biti sastavljeno od softwarea, hardwarea, ili, najcesce, od jednog i drugog. Softverske komponente mogu biti vlasnicki - shareware ili besplatni - freeware. Hardware firewalla moze predstavljati bilo koji hardware koji podrzava upotrebu softwarea. Ako je hardverski, firewall se cesto sastoji samo od routera. Routeri su specificni po tome sto imaju mogucnost da biljeze IP adrese. Ovaj proces biljezenja adresa omogucava nam da definiramo kojim je IP adresama dozvoljeno spajanje a kojima ne. Druge implementacije se sastoje od jednog i drugog, hardwarea i softwarea. U svakom slucaju, svi firewallsi dijele zajednicki atribut: mogucnost da diskriminiraju ili mogucnost da odbiju pristup baziran na IP adresi.

TIPOVI FIREWALLSA

Postoje razlicite vrste firewallsa, i svaki tip ima svoje prednosti i mane. Najcesci tip firewalla odnosi se na takozvani "network-level" firewall. Network-level firewallsi su najcesce bazirani na routeru. To znaci da se o pravilima tko i sto moze pristupiti mrezi odlucuje na razini routera. Takav nacin obradjivanja podataka prihvaca se putem tehnike koja se zove "packet filtering". Packet filtering je proces koji proucava pakete koji dolaze do routera izvana.
Routeri su velicine omanjeg printera. sto se tice topologije samih routera, na straznjoj strani nalaze se ulazi za Ethernet i digitalne telefonske linije. Takodjer, za konfiguraciju routera koristi se poseban softver koji je obicno i user-friendly, dakle lagan za koristenje. (najcesci interface je X Window sistem, OpenWindows, itd.)
Kod router baziranog firewalla, izvorisna adresa svake dolazne veze (adresa s koje dolaze paketi) se ispituje. Nakon sto se pojedina IP adresa identificira, izvrsiti ce se one akcije koje je dizajner/programer firewalla namjenio pojedinim vrstama. Na primjer, ako programer odluci onemoguciti pristup svom mreznom prometu koji dolazi sa adresa koje pripadaju Microsoftu, tada ce router odbiti sve pakete koji dolaze sa domene microsoft.com ili sl.
Firewallse koji su bazirani na routerima odlikuje brzina a jedan od glavnih razloga lezi u cinjenici da firewall vrsi samo povrsnu provjeru adresa jer nije potrebno previse vremena da bi se identificirala losa ili zabranjena adresa. No takav firewall ima i neke mane. Samim time sto doticni koriste izvorisnu adresu kao indeks, paketi koji se eventualno salju sa lazne adrese mogu zadobiti pristup serveru.
U osnovi, mnoge tehnike filtriranja paketa mogu biti iskoristene sa ovom vrstom firewallsa a podupiru ovu ranjivost. Zaglavlje IP adrese nije jedino polje paketa koje moze biti "uhvaceno" od strane routera. Posto tehnologija filtriranja paketa postaje sve sofisticiranija isto se zahtjeva i sa pravilima pod kojima rade firewallsi. Danas je tako sve cesce koristenje pravila koje obuhvacaju indekse koji se odnose na vrijeme, protokole i portove.

No, to nisu svi nedostatci koji pogadjaju ovu vrstu firewalla pa se cesto spominje i broj RPC (Remote Procedure Call) usluga koji su vrlo zahtjevni za efikasno filtriranje zbog toga sto serveri "osluskuju" portove koji se dodjeljuju prilikom podizanja sistema. Posto router ne moze odrediti koji portovi se odnose na RPC usluge, nije u mogucnosti u potpunosti blokirati te usluge osim ako ne blokira u potpunosti sve UDP pakete (RPC usluge najcesce koriste UDP). Blokiranjem svih UDP-ova automatski bi se blokirale i neke vrlo vazne usluge poput DNS-a tako da se danas vode brojne polemike o blokiranju RPC usluga.

ALATI ZA FILTRIRANJE PODATAKA

Filtriranje paketa moze biti implementirano i bez postavljanja kompletnog firewalla. Postoje mnogi besplatni i komercijalni alati koji filtriraju prolaz paketa na Internetu. Jedni od najznacajnijih su TCP_Wrappers, NetGate i Internet Packet Filter.

TCP_Wrappers

TCP_Wrappers je program napisan od strane Wietsea Venema (jedan od autora isto tako poznatog alata za skeniranje pod nazivom SATAN).TCP_Wrappers je sigurno jedan od alata ovog tipa koji najlakse i najucinkovitije pomaze pri nadgledanju prometa prema racunalu. Program radi tako sto zamjenjuje system daemone i snima sve zahtjeve za spajanjem prema racunalu, vrijeme zahtjeva, i najvaznije, adresu sa koje su upuceni. Zbog ovih razloga, TCP_Wrappers predstavlja sam vrh "packet-filtering" alata koji su dostupni uopce.

NetGate

NetGate je dizajniran za koristenje na SPARC sistemima koji pokrecu SunOS 4.1.x. Kao i vecina drugih packet filtera, NetGate moze ispitati svaki paket koji se pojavi, te uz druge standardne funkcije moze primjeniti razna pravila, bazirana na izvorisnoj adresi koja je otkrivena prilikom ispitivanja. (NetGate uz to posjeduje i jake sposobnosti logiranja prometa).

Internet Packet Filter

Za razliku od ostalih, ova aplikacija je u potpunosti besplatna. Napisana od strane Darrena Reeda, Internet Packet Filter posjeduje sve sto imaju i komercijalne aplikacije. (Reed je sa posebnim ponosom izradio ovaj software jer je bio u mogucnosti "pobjediti" IP spoofing napada kojeg je koristio poznati Kevin Mitnick prilikom napada na racunala San Diego Supercomputer Centra.) Nekoliko najzanimljivijih funkcija: osim sto je Reed pruzio veliku funkcionalnost svom programu, Internet Packet Filter nudi mogucnost i alata za testiranje, tako da se korisnik moze uvjeriti u ispravnost pravila koja postavlja program.

ALALTI ZA LOGIRANJE

Paket filteri, kada se koriste u suradnji sa mocnim alatom za "osluskivanje" ili logiranje prometa, mogu mnogo pomoci pri zastiti mreze i pri identificiranju uljeza. Prava kombinacija ovih aplikacija moze biti jednako ucinkovita kao i komercijalni firewall (a u globalu gledano, i puno jeftiniji).

Argus

Argus je razvijen na Institutu za softversko inzinjerstvo na Carnegie Mellon sveucilistu, a kreiran je za rad na sljedecim platformama:
** SunOS 4.x
** Solaris 2.3
** SGI IRIX5.2
U samoj dokumentaciji Argusa, autori napominju da je Argus prikladan za mrezno nadgledanje, identificiranje potencijalnih mreznih problema, i najvaznije, verificiranje pristupa.

Netlog

Netlog, razvijen na teksaskom A&M sveucilistu, moze logirati sav TCP i UDP promet. Ovaj alat takodjer podrzava logiranje ICMP poruka iako, autori napominju, samo logiranje poruka zauzima veliku kolicinu diskovnog prostora.

NOCOL/NetConsole v4.0

NOCOL/NetConsole je skup samostalnih aplikacija koje provode razne zadace nadgledanja. Ovaj komplet aplikacija nudi tzv. "Curses interface", koji predstavlja odlicno rijesenje na velikoj vecini teriminala (nije X Window sistem). Uz to, podrzava Perl interface, karakterizira ga kompleksnost a takodjer, upravlja mrezama kao sto su AppleTalk i Novell NetWare.
Postoje i drugi packet filteri. Jedan od poznatijih je i packetfilter, koji radi na Ultrixu 4.3.
Osim navedenih postoje i mnogi drugi programi slicne ili iste namjene, no zajednicka osobina vecine njih je sposobnost pracenja i pregledavanja mreznog prometa.

PROXY FIREWALLSI

Osim vec spomenutih router baziranih firewalla postoje i takozvani "application-proxy firewalls" koji se cesto nazivaju i "application gateways". Proxy firewallsi rade u principu nesto drugacije od router baziranih firewalla. Kao prvo, oni su bazirani na sofwareu. Kada udaljeni korisnik bez dopustenja kontaktira mrezu koja pokrece aplikacijski gateway, gateway blokira vezu korisnika prema mrezi proucavanjem razlicith polja pri zahtjevu. Ako se pri proucavanju otkrije set vec definiranih pravila (adresa), gateway kreira most izmedju udaljenog hosta (domacina) i internog hosta. Most se odnosi na sponu izmedju dvaju protokola. Na primjer, kod tipicne application gateway sheme, IP paketi se ne proslijedjuju do interne mreze. Umjesto toga, pojavljuje se tip prevodjenja paketa sa gatewayom kao kanalom i prevodiocem pa se za takav oblik cesto naziva i "man-in-the-middle" konfiguracija.
Prednost application-gateway proxy modela je nedostatak IP proslijedjivanja te, sto je vaznije, vise kontrola moze biti primjenjeno na vezu udaljenog hosta. Naposlijetku, takvi alati cesto pruzaju sofisticirane usluge logiranja. Iako ovakav oblik firewalla predstavlja odlicno rijesenje, ovakva shema "kosta" firewall brzine. Zbog prihvacanja svake veze i svih paketa, njihove provjere, prevodjenja i proslijedjivanja, application gateway moze biti i sporiji od router baziranog firewalla. IP proslijedjivanje pojavljuje se kada server primi zahtjev izvana i zatim proslijedi informaciju u IP formatu prema internoj mrezi. Ostavljajuci IP proslijedjivanje ukljucenim kompanije i korisnici koji koriste firewall cesto grijese jer se na taj nacin omogucava crackeru pristup izvana i otvara mu mogucnost pristupa internoj mrezi. Druga negativna odlika ove sheme je u nacinu upravljanja mreznim servisima jer je za svaki servis potrebno napraviti posebnu proxy aplikaciju (za FTP, za Telnet, za HTTP, itd.). Ovaj problem je John Wack odlicno objasnio u svom clanku "Application Gateways":
"...Mana aplikacijskih gatewaya je ta, da u slucaju klijent - server protokola kao sto je Telnet, su potrebna dva koraka za spajanje "inbound" ili "outbound". Neki aplikacijski gatewayi zahtjevaju modificirane klijente, koji se mogu gledati kao mana ili prednost, ovisno o tome smatra li korisnik da je na taj nacin lakse koristiti firewall. Telnet application gateway ne treba nuzno modificiran Telnet klijent, ali zahtjeva modifikaciju u ponasanju korisnika: korisnik se mora spojiti (ali ne i logirati) na firewall kao sto se spaja direktno na hosta. Ali modificirani Telnet klijent moze uciniti firewall transparentnim zabranjujuci korisniku specificiranjem odredista sistema Telnet naredbom. Firewall bi tada sluzio kao put ka odredistu sistema i tako presreo vezu, i tada izveo dodatne korake ako je potrebno. Ponasanje korisnika ostaje isto, uz potrebu za modificiranim klijentom na pojedinom sistemu..."

TIS FWTK

Tipicni primjer application-gateway firewall paketa je "Trusted Information Systems (TIS) Firewall Tool Kit (FWTK)" TIS FWTK bio je prvi proizvod iz ove klase koji se pojavio na trzistu i "porbio led" za njegove nasljednike. Ovaj softverski paket, sadrzi mnogo odvojenih i razlicitih komponenti. Vecina tih komponenti su proxy aplikacije.
One ukljucuju proxyje za sljedece servise/usluge:

• Telnet
• FTP
• rlogin
• sendmail
• HTTP
• X Window sistem

FWTK je vrlo opsezan sistem i nakon instalacije nema postavljene opcije koje ce stiti mrezu. Ovo je jedan od proizvoda koji zahtjeva detaljno podesavanje i nije moguca tehnika "instaliraj i ostavi" kao kod slicnih programa. Nakon raspakiravanja softvera, moraju se donijeti odredjene odluke jer donosenje pogresnih odluka moze uzrokovati nedostupnost mreze. Prednost ovog programskog seta alata je u kontrolama koje su dostupne na jednostavan nacin korisniku. Na primjer, ako se zeli zabraniti pristup (connection) sa mreze, dijela mreze, ili cak sa neke adrese.
Osim navedenog, postoje i mnogi drugi firewallsi iz ove skupine, od kojih je medju najpoznatijima i SOCKS, koji je gradjen na aplikacijskom - proxy modelu. Veza i zahtjev prema mrezi se presrecu i prevode od strane SOCKSa. Takvim postupkom direktna veza izmedju mreze i vanjskog svijeta nije moguca. SOCKS ima veliku ulogu na podrucju firewalla zbog svoje dobre izgradnje tako da je implementiran u mnoge browser pakete, kao na primjer, Netscape Navigator.
Po misljenjima sigurnosnih strucnjaka, application-gateway sistemi (firewallsi bazirani na proxyju) su sigurniji od ostalih zbog toga sto kod njih ne postoji shema IP proslijedjivanja, sto znaci da neautorizirani IP paketi ne mogu doprijeti do racunala unutar mreze.

UOPSTENO O FIREWALLSIMA

Jedna od glavnih ideja pri postavljanju firewalla kao zastitnika mreze je u cinjenici da bi mreza teoretski trebala biti nevidljiva ili u krajnjem slucaju nedostupna svima koji nemaju autorizirani pristup. No, mreza zasticena firewallom ipak nece u popunosti biti imuna na sve vrste nedozvoljenog pristupa. Tako program (stealth scanner) pod nazivom Jakal, moze skenirati domenu koja se nalazi iza firewalla bez ostavljanja tragova.
Sa teoretskog aspekta, firewall je najstroza sigurnosna mjera koja se moze implementirati. No u svakom slucaju, rasprave o najstrozem sigurnosnom okruzenju ostaju i danas. Prva stvar oko koje se vode diskusije je o sigurnosnim mjerama koje se provode putem firewalla za koje se smatra da "strogo" konfiguriranje moze usporiti mrezne procese. Na primjer, neke studije pokazuju da je koristenje firewalla neprakticno u okruzenjima gdje korisnici ovise o distribuiranim aplikacijama. Zbog primjene strogih sigurnosnih pravila, takva okruzenja postaju sporija jer dobivanjem na sigurnosti, gubi se na funkcionalnosti. Sveucilista su odlican primjer za ovaj tip okruzenja. Istrazivanja na sveucilistu se obicno provode u suradnji dvaju ili vise odjela u kojoj je potrebna konstantna razmjena podataka. U ovakvim okruzenjima, rad pod navedenim sigurnosnim ogranicenjima postaje gotovo nemoguc.
Drugi problem je u tome sto firewallsi predstavljaju "usko grlo" mreznog okruzenja, zbog autorizacijskih procesa i ostalih sigurnosnih mjera. No i takvi uvjeti su prihvatljivi dok je firewall pouzdan u radu. Prije izgradnje firewalla treba provesti ozbiljna istrazivanja kojima se treba upoznati mrezno okruzenje jer je potrebno uskladiti brojne mrezne uredjaje da komuniciraju medjusobno bez problema. Takvo nesto postize se automatiziranim procesima ili ljudskom interakcijom. Automatizirani procesi se mogu pokazati kao lako prilagodljivi dok se procesi koji nastaju ljudskim faktorom mogu u mnogome razlikovati...
Za neke organizacije, firewall je cisto nepraktican. ISP-ovi se nalaze unutar ovog razreda. Glavni razlog je u novcu koji dolazi od korisnika, a strogim sigurnosnim mjerama stvorilo bi se okruzje koje bi "otjeralo" korisnike svojim strogim pravilima. No postoje i drugi problemi prilikom postavljanja firewalla. Ako bi FTP, Telnet, Gopher, HTTP, RPC, rlogin, i NFS bili protokoli koji bi se koristili na Internetu, firewall bi se suocio samo sa ogranicenim problemima pristupa mrezi. Problem je u tome sto se gotovo svaki mjesec pojavljuju novi protokoli i servisi. Kako bi se korisnicima pruzio efektan Internet pristup, potrebno je ici u korak sa novim trendovima koje zahtjeva trziste. Proxiji za takve aplikacije/protokole ce biti dostupni no tek neko vrijeme nakon izlaska protokola na trziste. Naravno, neko vrijeme oznacava razdoblje i od nekoliko mjeseci, tijekom kojega ce korisnici biti nezadovoljni.

IZGRADNJA FIREWALLA

U izgradnju firewalla ne moze se upustiti bilo tko. Uobicajeno, u takve projekte ulaze sistemski administratori ili druge individue koji poznaju mrezna pravila i ustrojstvo mreze opcenito, a i mrezu koju namjeravaju zastiti firewallom. Ovaj proces nije jednostavan, a nekoliko glavnih koraka (kojih se treba pridrzavati) su:
1. Poznavanje mreze i potrebnih protokola
2. Razvijanje primjerenih pravila
3. Posjedovanje adekvatnog alata
4. Koristenje alata na efektan nacin
5. Testiranje konfiguracije
. Poznavanje mreze i ostala pravila
Prvi korak koji je potrebno znati u ovom slozenom procesu je struktura, odnosno unutrasnjost mreze. Ovaj zadatak moze ukljucivati i vise nego puko nadgledanje mreza, logova, itd. Moze ukljucivati i sporazumjevanje sa drugim organizacijama istog cilja. Na primjer, u vecim mrezama, moze postojati interakcija izmedju odredjenog ureda u jednoj zgradi i odredjenog ureda u nekoj drugoj zgradi. Te zgrade mogu biti udaljene i stotine, pa i tisuce kilometara jedna od druge, no mora se znati koji tip odlaznog prometa korisnici zahtijevaju. Takodjer dobar programer, i u ovom slucaju tvorac firewalla, cesto nailazi na korisnike koji ne vole promjene i vole raditi politikom tipa "Radimo ovako vec deset godina, pa zasto ne bi i dalje tako." Iako programer u ovakvim slucajevima ima "odrijesene ruke" (zbog vazne uloge sigurnosti, a i rizika), on treba raditi sa ljudima koji nisu navikli na promjene kako bi zajedno pronasli adekvatno i prihvatljivo rijesenje za obje strane kako ne bi u buducnosti doslo do eventualnih problema. Nadalje, njihova podrska je potrebna jer nakon sto arhitekt firewalla zavrsi svoj posao, morati ce u suradnji sa korisnicima izdati i pravila pod kojima ce se raditi. sto prisnije korisnici budu vezani za ta pravila to ce sigurnost doticne mreze biti bolja. Na primjer, ako su neosigurani modemi smjesteni u nekom od
ureda, oni predstavljaju sigurnosnu rupu putem koje je moguce izvesti napad na mrezu. Pravilnim konzultiranjem lokalnih korisnika, nece biti razloga za strah jer ce oni postupati po pravilima koja su prije utvrdjena i na taj nacin kontrolirati svoj rad i rad tih modema.
Dakle, prvi posao arhitekta firewalla je utvrdjivanje sto smije a sto ne smije biti zabranjeno korisnicima. Utvrdjivanjem pravila prelazi se na sljedecu tocku izgradnje firewalla. Odredjivanje tko (ili sto) ne smije dospijeti unutar mreze nije toliko kompleksni zadatak kao prije navedeni. Vise nego vjerojatno, arhitekt ce zeljeti blokirati pristup mrezi prometu koji dolazi od strane mreza poznatih po eksplicitnim ili pornografskim materijalima, a i slicnih koji nisu u opisu posla koji je u opisu odredjene mreze. Takodjer, moguca je i zabrana pristupa adresama koje su poznate po hakerskim ili crackerskim odlikama. Na primjer, dobro poznata grupa hakera nedavno je provela veliko skeniranje americkih domena u potrazi za mogucim zrtvama, pod krinkom sigurnosnog istrazivanja. Ovo je dovelo do neugodne situacije brojne u svijetu sigurnosti i zato je potrebno takve adrese filtrirati kako bi se odmah u pocetku sprijecila zlonamjerna aktivnost i osiguralo od napada.

KOMERCIJALNI FIREWALLSI

Ovdje su navedeni samo neki od komercijalnih firewallsa koji su svojom povijescu ili funkcijama zasluzili da se tu nadju. Primjetiti cete da nema nekih koji su u danasnjici mnogo popularniji iz razloga koji je spomenut u uvodu.
---------------------------------------
Eagle obitelj firewallsa
---------------------------------------
Kompanija: Raptor Systems
Homepage: http://www.raptor.com
Raptor na ovom podrucju softvera je prilicno dugo. Jos 1991 predstavio je liniju svojih firewallsa, a na njima i utemeljio solidnu reputaciju koju posjeduje danas. Evo sto Raptor kaze o sebi i svom proizvodu:
"...Raptor Systems' award-winning Eagle family of firewalls provides security across a range of industries, including telecommunications, entertainment, aerospace, defense, education, health care, and financial services. Raptor has numerous strategic relationships with world-class companies like Compaq Computer Corporation, Siemens-Nixdorf, Hewlett-Packard, Sprint, and Shiva Corporation..."

Check Point Firewall i Firewall-1
-----------------------------------
Kompanija: Check Point Software Technologies Ltd.
Homepage: http://www.checkpoint.com/
Check Pointovo logisticko srediste je u Izraelu, a utemeljen je 1993 godine. Osim sredisnjice najrasireniji je u SAD-u gdje ima svoje podruznice od kojih su najznacajniji Los Angeles i New York.

Jedna od najzanimljivjih stvari kod CP Firewall-1 je posjedovanje tzv. "time object control" opcije. To znaci da user moze po svom izboru odrediti sto, koju i kada funkciju firewalla upotrijebiti.
---------
SunScreen
---------
Kompanija: Sun Microsystems
Homepage: http://www.sun.com
Sunov SunScreen obuhvaca seriju proizvoda. Osovinu Sunscreena cine:
• SunScreen SPF 100/100G--znacajna je tzv. "non-IP-address" sposobnost i "heavy packet-filtering" tehnologija.
• SunScreenTM EFS--Implementira "heavy-duty packet filtering" i sto je jos vaznije, enkripciju. Prednost je i sto pruza mogucnost udaljene administracije i administracije putem HTML sucelja.
• SunScreenTM SKIP--Zanimljiv proizvod koji usluzuje PC-je i workstatione sa "secure" autentikacijom.

-----------------------------------------------
IBM Internet Connection Secured Network Gateway
-----------------------------------------------
Kompanija: Internal Business Machines (IBM)
Homepage: http://www.ics.raleigh.ibm.com/firewall/overview.htm
Ovaj proizvod je stvoren za AIX. Kao i Sunova linija proizvoda, i ICSNG je sposoban sakriti IP adrese interne mreze. Podrzava aplikacijske proxije i ima mogucnost posebnog logiranja i izvjestavanja, kao i izolirane Web servise.

------------------
Cisco PIX Firewall
------------------
Kompanija: Cisco Systems
Homepage: http://www.cisco.com
Ovaj firewall se ne zasniva na aplikacijskim proxijima. Specijalne osobine ovog proizvoda ukljucuju HTML konfiguraciju i administracijski alat, IP prikrivanje, laku konfiguraciju i podrsku za oko 16,000 veza.

Poz