Kratka odpoved:
Integrovanej XP firewall je pro bezny pouziti naprosto dostacujici.
Dlouha odpoved:
Kdyz posadim pocitac bez firewallu na verejnou adresu, tak pokud na nem nic nepobezi (vsechny porty budou zavreny), tak tam muze sedet dlouhy roky a nic se mu nestane. Neplati to pouze v pripade, ze bude existovat nejaka chyba v implementaci sitovyho protokolu. Proste neco ve stylu ze utocnik posle nejakej vadnej paket a system se z toho sesype. Sance, ze se neco takovyho objevi, je pomerne mala.
Pocitac na kterym nic nebezi ale vetsinou prilis uzitecnej neni. Takze je tam vzdycky par sluzeb nebo aplikaci, ktery maji otevrenej nejakej ten portik. Opet plati, ze dokud v nektery z tech aplikaci neni nejaka zneuzitelna dira, tak muze byt pristupna celymu svetu a vubec nic se nedeje. Jak ukazuje treba MS se svym wokennim sdilenim souboru, nelze na odolnost aplikaci prilis spolihat. ;)
Tady pak ma smysl firewall. Kdyz vim, ze stejne potrebuju sdilet soubory jen v lokalni siti, tak firewallem omezim pripojeni na patricny porty a zbytek sveta odriznu. A az se zas najde dalsi dira v SMB, tak se mi nemuze do pocitace zkouset nabourat kdokoliv na svete, ale muzou to zkouset jen zasvineny pocitace v mistni siti, coz je velmi znatelnej rozdil. Nebo treba kdyz mam pocitac, kterej dela vyhradne webserver, tak muzu pro klid duse zablokovat vsechno krome portu 80. A az potud si vystacim i s tim uplne nejjednodussim jednosmernym nestavovym firewallem na sitovy urovni, kterej vubec nemusi resit existenci nejakych aplikaci.
Beznej pocitac (alias pracovni stanice) funguje spis tak, ze navazuje spojeni ven. Takze tady ma smysl firewall stavovej, kterej sleduje sitovej provoz a podle toho se rozhoduje, ktery pakety pusti a ktery ne. Takze napriklad kdyz je port 12345 normalne zavrenej a neco na nej prijde, tak to zahodi. Ale pokud nejaka aplikace posle z portu 12345 pozadavek nekam ven, tak firewall vi, ze odpoved na ten port ma pustit.
Dalsi vec je, ze nektery programy fungujici jako… servery (tj. ze prijimaji prichozi pripojeni) nemusi mit nejakej pevne danej port, ale muzou jich potrebovat vic a dynamicky je vybirat. Kvuli takovym pak musi firewall mit povedomi o tom, ze existuji nejaky aplikace a umet rozlisit, ze napr. pokud na nejakym portu posloucha aplikace A, tak ma paket pustit, ale pokud by tam byla aplikace B, tak ho ma zahodit. A tim jsme se dostali na uroven toho, co dela firewall v XP. A jak uz rikala kratka odpoved, pro bezny pouziti je to naprosto dostacujici. Dalsi level je pak firewall obousmernej, kterej umi blokovat nejen prichozi, ale i odchozi komunikaci. Tady prichazi prvni moment, kdy ma smysl se ptat, proc vlastne neco takovyho delat. Pripominam, ze se bavime o firewallu na uzivatelskym pocitaci, ne nekde na routeru. U kazdy rozumny aplikace se da nastavit, aby na net nelezla, pokud to uzivatel nechce. Odchozi firewall je pak uz jen takova pojistka pro klidny spani, kdyby to nahodou nevyslo. No a taky pro ty paranoidnejsi z nas, kteri zadny aplikaci kompletne neveri. :) Porad to ale lze hodnotit jako relativne smyslupny.
No a nakonec prichazi vsechny ty super-hyper-mega-hardcore firewally zazrany hluboko do systemu, ktery hlidaj i komunikaci mezi jednotlivyma aplikacema, aby se treba neco nenacpalo do jiny aplikace a nelezlo na net pres ni a podobny uchylarny. Typicky se takovy firewally vyznacujou tim, ze je system pouzitejnej tak akorat na hrani Solitaire a o fungujicim pristupu na net si muze uzivatel nechat jen zdat (ano, trosku prehanim ;). Jinymi slovy, je to uplne jina liga. Uz to neni ochrana pred chybama v sitovych aplikacich, ale je to snaha o ochranu pred zakernym kodem aktivne pusobicim v systemu. Fungovat to sice do urcity miry muze, ale ja to jednoznacne hodnotim jako "s krizkem po funuse". A za ty problemy, co s tim jsou, to nestoji.
Takze nejak tak... :) Ukázat celý příspěvek