Je zde jedna zásadní otázka. Co je to firewall, co má provádět za činnosti a před čím chránit?
V původním slova smyslu byl za firewall označován především packetový filtr. Obyčejné nastavení, které porty smějí projít zvenku dovnitř a které ne. Výjimečně se filtroval i provoz směrem ven. Za firewall sloužilo zařízení na vstupu do sítě a chránilo celou síť. Do dnešní doby přežily tyto firewally např. v ADSL routerech a vůbec routerech.
Posléze přišla do módy "bezpečnost" (záměrně ji píšu v uvozovkách). Uživatelům se začaly nabízet firewally pro Windows, které se vyznačovaly především tím, že efekně vyskakovaly okna, začaly rozlišovat nejenom porty, ale i jednotlivé aplikace (jelikož firewall není v žádné externí škatulce, je toto možné). Do módy také přišlo filtrování provozu směrem ven. Motto: co nevíce okýnek, barevné filtry, rádoby důležité statistiky.
Za zmínku, jako další úroveň, stojí filtry na sedmé úrovni. Tj. filtrování na základě aplikačního obsahu. Firewall tedy nekontroluje jen port a aplikaci (např. port tcp/80 a iexplore.exe), ale ještě navíc analyzuje obsah načítané stránky. Filtry na sedmé úrovni mají výhodu toho, že mohou najít nežádoucí komunikaci i na jiných než předdefinovaných portech. Nevýhodou je, že je velmi velmi náročný na početní výkon v porovnání s předešlými metodami. Já sám sedmou úroveň řadím do firewallů pouze ve do chvíle, kdy rozpoznávání obsahu slouží k filtrování provozu. Ve chvíli, kdy firewall chrání před nežádoucím kódem, řadil bych ho už spíše mezi antiviry než firewally.
Bohužel, hodně lidí a i recenzentů všechny tyto funkce míchá dohromady. Málokdo dokáže ohodnotit význam jednotlivých funkcí. Firewall s plným počtem bodů může být v reálu jen o několik málo procent více účinný než firewall se třetinou bodů. A kdo do toho navíc započte zatížení systému a případné nekompatibility?
Pokud mohu čtenářům radit: pro bezpečnost před útoky zvenčí (což je hlavní úloha firewallů!) je základem mít za přípojkou k internetu vždy router s překladem adres (NAT). Tím se znemožní jakákoliv přímá komunikace - napadení - zvenku dovnitř. Standardní Windows firewall velmi dostatečně ochrání zbytek.
Firewally třetích stran bych doporučil jen tomu, kdo má nějaký opravdu velmi velmi dobrý důvod filtrovat např. provoz směrem ven anebo provoz jednotlivých programů. Pokud k tomu důvod nemáte, nenechal bych se k používání takového firewallu přesvědčovat přez působení na strach z nezáma. A to je přesně to, co se poslední roky děje. Firewally třetích stran _reálně_ zvedají bezpečnost jen velmi málo, zato však výměnou za neadekvátní konzumaci systémových prostředků a výměnou za to, že visí na síťové vrstvě systému a zvyšují rizika nekompatibilit.
Jako argument pro nevěřící dávám to, že tyto firewally se v korporátní sféře vůbec nepoužívají. Pro ochranu firemních sítí se používá nejčastěji obyčejný paketový filtr a překlad adres (NAT). Provoz směrem ven ze sítě se většinou filtruje jen ve velkých firmách - a tam bývá důvod z velké části ten, že je potřeba "ukrotit" lidi, aby si nehráli ale pracovali.
Takže ještě jednou doporučuji jako hlavní ochranu počítače být připojen za vlastním routerem, nikdy ne přímo do sítě poskytovatele.
