Firewalls
Firewalls Τα firewalls (τοίχοι πυρασφάλειας ή πυρότοιχοι ή αναχώματα ασφαλείας ή φράγματα ασφαλείας) είναι ένα σύστημα το οποίο παρεμβάλλεται μεταξύ του ιδιωτικού δικτύου και του δημοσίου δικτύου (αλλά και μεταξύ τμημάτων του ιδιωτικού δικτύου) για να ελέγχει την κίνηση των δεδομένων μεταξύ των δύο δικτύων. Πιό συγκεκριμένα, τα firewalls μπορούν να: προστατεύσουν το ιδιωτικό δίκτυο από επιθέσεις, να καταστήσουν μη διαθέσιμες τις πληροφορίες για την οργάνωση του ιδιωτικού δικτύου, να παρέχουν ένα μοναδικό σημείο σύνδεσης του ιδιωτικού δικτύου με το δημόσιο και αντιστρόφως και επομένως να κάνουν ευκολότερη τη διαχείριση ασφάλειας του ιδιωτικού δικτύου, να δίνει δυνατότητα πρόσβασης στο ιδιωτικό δίκτυο μόνο σε εξουσιοδοτημένους χρήστες ή/και μόνο σε συγκεκριμένες εφαρμογές, να ελέγχει την κίνηση των πληροφοριών από το ιδιωτικό δίκτυο στο δημόσιο με σκοπό να αποτρέψει την αποκάλυψη εμπιστευτικών πληροφοριών, να ελέγχει την εισροή δεδομένων που έχουν σκοπό να βλάψουν το ιδιωτικό δίκτυο (όπως κακόβουλο λογισμικό), να χρησιμοποιηθεί για τη δημιουργία εικονικών ιδιωτικών δικτύων.
Firewalls Τα firewalls υποστηρίζουν και υλοποιούν την πολιτική ασφάλειας του οργανισμού που τα χρησιμοποιεί. Πολιτική χρήσης ενός firewall: Τυπικά υπάρχουν δύο τρόποι χρήσης ενός firewall: Να επιτρέπει όλες τις επικοινωνίες, την εκτέλεση όλων των διεργασιών και τη διέλευση όλων των πληροφοριών εκτός και αν απαγορεύονται ρητά. Να απαγορεύει όλες τις επικοινωνίες, την εκτέλεση όλων των διεργασιών και τη διέλευση όλων των πληροφοριών εκτός και αν επιτρέπονται ρητά. Ο πρώτος τρόπος χρήσης γεννά και τους περισσότερους κινδύνους καθώς οι πιθανότητες της μη εφαρμογής της ρητής απαγόρευσης μιας ανεπιθύμητης λειτουργίας είναι μεγάλες. Ο δεύτερος τρόπος είναι πιο ασφαλής και προτιμάται αφού γίνεται καλύτερος έλεγχος των επιτρεπόμενων λειτουργιών. Η απαγόρευση μιας επιθυμητής λειτουργίας ανιχνεύεται πολύ πιο εύκολα από τη μη απαγόρευση μιας μη επιθυμητής λειτουργίας.
Firewalls Ένα firewall είναι στην ουσία ένας τύπος πύλης η οποία μπορεί να είναι ένας δρομολογητής, ένας εξυπηρετητής, ένας εξυπηρετητής αυθεντικοποίησης ή μια συσκευή υλικού ειδικά σχεδιασμένη για αυτό το λόγο. Παρακολουθεί τα πακέτα που εισέρχονται και εξέρχονται από το δίκτυο που προστατεύει και φιλτράρει αυτά που δεν ικανοποιούν τις απαιτήσεις της πολιτικής ασφαλείας του δικτύου. Βάσει αυτής της πολιτικής το firewall μπορεί να απορρίψει, να επαναδημιουργήσει ή να δρομολογήσει προς άλλη κατεύθυνση τα πακέτα που λαμβάνει. Τα πακέτα φιλτράρονται βάσει της διεύθυνσης και θύρας πηγής ή προορισμού, βάσει της υπηρεσίας, τύπου πακέτου, τύπο πρωτοκόλλου, πληροφορίες στην επικεφαλίδα.
Firewalls Τα firewalls επίσης χρησιμοποιούνται για τη δημιουργία αποστρατικοποιημένων ζωνών (demilitarized zone - DMZ) όπου ένα τμήμα του δικτύου βρίσκεται μεταξύ του προστατευόμενου και του μη προστατευόμενου δικτύου. Για τη δημιουργία μιας τέτοιας ζώνης τυπικά χρησιμοποιούνται δύο firewalls. Η DMZ τυπικά περιλαμβάνει εξυπηρετητές Web, mail, και DNS στους οποίους πρέπει να δοθεί ιδιαίτερη προσοχή όσον αφορά την προστασία τους γιατί αποτελούν τα πρώτα σημεία επίθεσης.
Firewalls (Τύποι) Φίλτρα πακέτων (Packet filtering): Πρόκειται για μια μέθοδο που δουλεύει στο επίπεδο δικτύου και ελέγχει ποιά δεδομένα μπορούν να περάσουν από και προς το δίκτυο. Χρησιμοποιούν λίστες ελέγχου πρόσβασης (Access Control Lists ή ACLs) οι οποίες είναι απλά λίστες από κανόνες που θα πρέπει η συσκευή που χρησιμοποιεί αυτή τη τεχνική να εφαρμόσει στα πακέτα που παραλαμβάνει. Οι κανόνες μπορεί να υπαγορεύουν ποιά πακέτα επιτρέπεται να περάσουν και σε ποιά θα πρέπει να απαγορευτεί η διέλευση. Παράδειγμα: Ένας κανόνας μπορεί να λέει ότι όλα τα πακέτα που έρχονται από το δίκτυο 172.168.0.0 πρέπει να απορριφθούν. Άλλος κανόνας μπορεί να λέει ότι στα πακέτα που χρησιμοποιούν την υπηρεσία Telnet δε μπορεί να επιτραπεί η είσοδος. Όλα τα πακέτα που έχουν σαν θύρα προορισμού τη θύρα 80 μπορούν να περάσουν αλλά να δρομολογηθούν προς τον εξυπηρετητή Web.
Firewalls (Τύποι) Φίλτρα πακέτων: Αφού η τεχνική αυτή δουλεύει στο επίπεδο δικτύου αυτό σημαίνει ότι δε μπορεί να δει τα δεδομένα που μεταφέρει το πακέτο. Έτσι, μπορεί να πάρει αποφάσεις βασισμένο μόνο στις πληροφορίες τις επικεφαλίδας. Λόγω της απλότητας του μπορεί να υλοποιηθεί και από άλλες δικτυακές συσκευές όπως είναι ένας δρομολογητής. Πλεονεκτήματα: Απλότητα Είναι επεκτάσιμα Έχει καλή απόδοση Είναι ανεξάρτητο από τις εφαρμογές Μειονεκτήματα Δεν ελέγχει τα περιεχόμενα του πακέτου: εξετάζει μόνο την επικεφαλίδα Παρέχει χαμηλή ασφάλεια σε σχέση με άλλες επιλογές Δε παρακολουθεί την κατάσταση της σύνδεσης Χρησιμοποιούνταν σε firewalls πρώτης γενιάς.
Firewalls (Τύποι) Φίλτρα πακέτων βάσει κατάστασης (Stateful packet filtering): Σύμφωνα με αυτή τη τεχνική το firewall εκτός από το να φιλτράρει τα πακέτα θυμάται και παρακολουθεί ποιά πακέτα πήγαν που μέχρι το κλείσιμο της συγκεκριμένης σύνδεσης. Παράδειγμα: Ένας κανόνας μπορεί να υπαγορεύει ότι όλα τα UDP πακέτα που προσπαθούν να κάνουν χρήση της θύρας 25 θα πρέπει να απορριφθούν εκτός και αν πρόκειται για απάντηση σε μια εξερχόμενη αίτηση. Όταν κάποιος χρήστης Α εντός του ιδιωτικού δικτύου στέλνει μια αίτηση σε έναν υπολογιστή σε άλλο δίκτυο αυτή η αίτηση θα καταγραφεί σε έναν πίνακα κατάστασης του firewall. Όταν θα ληφθεί ένα πακέτο το οποίο αποτελεί μια απάντηση για τον Α το firewall θα κοιτάξει στον πίνακα κατάστασης να δει αν ο Α περιμένει μια απάντηση. Αν ναι, και αν βάσει των ACLs που διατηρεί στον πίνακα του επιτρέπεται η συγκεκριμένη λειτουργία θα επιτρέψει τη διέλευση του πακέτου. Ειδάλλως, θα απορριφθεί.
Firewalls (Τύποι) Φίλτρα πακέτων βάσει κατάστασης: Χαρακτηριστικά της επιθεώρησης κατάστασης: Το firewall διατηρεί ένα πίνακα κατάστασης ο οποίος παρακολουθεί όλα τα κανάλια επικοινωνίας. Είναι επεκτάσιμο και μη αντιληπτό από τους χρήστες. Παρέχει ένα υψηλό επίπεδο ασφαλείας και δεν έχει τα προβλήματα απόδοσης των πληρεξούσιων φραγμάτων (proxy firewalls). Παρέχει δεδομένα για την παρακολούθηση επικοινωνιών χωρίς σύνδεση όπως είναι το UDP και το RPC. Η κατάσταση και το περιεχόμενο των δεδομένων μέσα στα πακέτα αποθηκεύονται και ενημερώνονται συνεχώς. Το πρόβλημα που παρουσιάζουν είναι ότι μπορεί να γίνουν αντικείμενο επίθεσης άρνησης υπηρεσίας όπου ο επιτιθέμενος προσπαθεί να γεμίσει τον πίνακα καταστάσεων με σκοπό να μη μπορεί το firewall να εξυπηρετήσει άλλες αιτήσεις ή να προκαλέσει επανεκκίνηση με σκοπό το firewall να χάσει όλες τις εγγραφές του πίνακα.
Firewalls (Τύποι) Πληρεξούσια φράγματα (proxy firewalls): Λειτουργούν σαν ένας μεσάζοντας μεταξύ των δικτύων που διαχωρίζονται από αυτό το firewall. Δέχονται μηνύματα τα οποία είτε εισέρχονται είτε εξέρχονται από το δίκτυο, τα εξετάζουν για την ύπαρξη κακόβουλων δεδομένων, και όταν αποφασίσουν ότι όλα είναι εντάξει προωθούν τα δεδομένα στον απόλυτο προορισμό τους. Ένα πληρεξούσιο φράγμα βρίσκεται μεταξύ ενός έμπιστου και ενός μη έμπιστου δικτύου και κάνει τη σύνδεση προς κάθε κατεύθυνση εκ μέρους της πηγής. Έτσι: Αν ένας χρήστης του Internet θέλει να στείλει κάποια δεδομένα στο ιδιωτικό, προστατευμένο, δίκτυο το πληρεξούσιο φράγμα θα πάρει τα δεδομένα και θα τα εξετάσει για να δει αν περιέχουν κάποια κακόβουλα δεδομένα. Τα δεδομένα δε πηγαίνουν αυτόματα στον απόλυτο προορισμό αλλά το πληρεξούσιο φράγμα προσποιείται ότι πρόκειται για τον απόλυτο προορισμό και δέχεται αυτά τα δεδομένα εκ μέρους του προορισμού τον οποίο προστατεύει.
Firewalls (Τύποι) Πληρεξούσια φράγματα (proxy firewalls): Εάν το πληρεξούσιο φράγμα αποφασίσει ότι τα δεδομένα είναι ασφαλή για να τα δεχτεί ο απόλυτος προορισμός τα προωθεί σε αυτόν. Όταν ο απόλυτος προορισμός απαντήσει σε αυτά τα δεδομένα αυτά θα σταλούν πίσω στον πληρεξούσιο εξυπηρετητή ο οποίος θα βάλει τα δεδομένα αυτά σε ένα νέο πακέτο το οποίο θα περιέχει τη δική του διεύθυνση για να αποκρύψει τον αληθινό αποστολέα του πακέτου. Με αυτή τη διαδικασία ο πληρεξούσιος εξυπηρετητής σπάει το κανάλι επικοινωνίας μεταξύ του υπολογιστή που βρίσκεται στο μη έμπιστο δίκτυο και αυτού που βρίσκεται μέσα στο προστατευμένο δίκτυο. Έτσι δεν υπάρχει άμεση επικοινωνία μεταξύ των δύο υπολογιστών. Εάν ο επιτιθέμενος επιχειρήσει να σαρώσει ή να ερευνήσει το προστατευμένο δίκτυο θα μπορέσει μόνο να αποκτήσει πληροφορίες που θα του δώσει ο πληρεξούσιος εξυπηρετητής. Τα επιστρεφόμενα πακέτα θα έχουν τη διεύθυνση του φράγματος ασφαλείας και οι πληροφορίες που θα δοθούν θα είναι ελάχιστες κρύβοντας έτσι τις λεπτομέρειες του εσωτερικού δικτύου.
Firewalls (Τύποι) Πληρεξούσια φράγματα (proxy firewalls): Πλεονεκτήματα: Μπορούν να εξετάσουν τις πληροφορίες που βρίσκονται μέσα σε ένα πακέτο μέχρι και το επίπεδο εφαρμογής (πύλες εφαρμογής). Παρέχουν περισσότερη ασφάλεια από τα φίλτρα πακέτων. Γνωρίζουν για όλα τα πρωτόκολλα, τις υπηρεσίες και τις εντολές που χρησιμοποιούνται. Μειονεκτήματα: Υπάρχει περιορισμός στις εφαρμογές που μπορεί να υποστηρίξει. Μειώνει την απόδοση της κίνησης. Δεν είναι εύκολα επεκτάσιμο (στην περίπτωση χρήσης και άλλων υπηρεσιών) Σπάει το μοντέλο πελάτη/εξυπηρετητή (client/server), το οποίο είναι μεν καλό από την πλευρά της ασφάλειας αλλά δεν είναι καλό από την πλευρά της λειτουργικότητας.
Firewalls (Τύποι) Πληρεξούσια φράγματα (proxy firewalls). Χωρίζονται σε δύο κατηγορίες: Πύλη επιπέδου εφαρμογών: Εξετάζουν όλο το πακέτο και παίρνουν αποφάσεις βάσει του περιεχομένου του πακέτου. Απαραίτητη προϋπόθεση για τη λειτουργία τους είναι η κατανόηση όλων των πρωτοκόλλων, υπηρεσιών και εντολών που χρησιμοποιούνται στο προστατευμένο δίκτυο. Μια πύλη επιπέδου εφαρμογών μπορεί να διαχωρίσει μεταξύ μιας εντολής FTP GET και μιας FTP PUT και επομένως μπορεί να πάρει αποφάσειςσεαυτότοεπίπεδοτηςλεπτομέρειαςσεαντίθεσημετα φίλτρα πακέτων που μπορούν μόνο να διαχωρίσουν μια FTP αίτηση από μια άλλη και όχι εντολές του FTP πρωτοκόλλου. Μια πύλη επιπέδου εφαρμογών δουλεύει για μια υπηρεσία ή ένα πρωτόκολλο. Επομένως, πρέπει να υπάρχει μια πύλη επιπέδου εφαρμογών για κάθε υπηρεσία που μπορεί να παρέχει ένας υπολογιστής (FTP, SMTP, Telnet)
Firewalls (Τύποι) Πληρεξούσια φράγματα (proxy firewalls). Χωρίζονται σε δύο κατηγορίες: Πύλη επιπέδου κυκλώματος: Δημιουργεί ένα κύκλωμα μεταξύ του υπολογιστή πελάτη και του εξυπηρετητή. Δεν καταλαβαίνει ούτε νοιάζεται για ζητήματα υψηλότερων επιπέδων με τα οποία ασχολείται μια πύλη επιπέδου εφαρμογών. Γνωρίζει την πηγή και τον προορισμό και παίρνει αποφάσεις σύμφωνα με αυτές τις πληροφορίες. Η υλοποίηση μιας πύλης επιπέδου εφαρμογών μπορεί να είναι πιο πολύπλοκη από όσο δείχνει γιατί: Το πληρεξούσιο φράγμα πρέπει να καταλαβαίνει πως δουλεύουν όλα τα πρωτόκολλα, ποιές εντολές είναι αποδεκτές και πρέπει να γνωρίζει ποιές εφαρμογές χρησιμοποιούν αυτά τα πρωτόκολλα και τις υπηρεσίες. Αυτή η διεργασία δεν είναι εύκολη ειδικά όταν γίνεται κατά τη διάρκεια της μετάδοσης των δεδομένων. Εάν η πύλη δεν καταλαβαίνει ένα συγκεκριμένο πρωτόκολλο ή υπηρεσία δε μπορεί να προστατεύσει αυτού του είδους την επικοινωνία.
Firewalls (Τύποι) Ένα πλεονέκτημα των πυλών επιπέδου κυκλώματος είναι ότι μπορεί να χειριστεί ένα μεγαλύτερο εύρος πρωτοκόλλων και υπηρεσιών από ότι μπορεί να χειριστεί μια πύλη επιπέδου εφαρμογών. Το μειονέκτημα όμως είναι ότι η πύλη επιπέδου κυκλώματος δε μπορεί να παρέχει το βαθμό του ελέγχου που μπορεί να δώσει η πύλη επιπέδου εφαρμογών. Μια πύλη επιπέδου κυκλώματος είναι παρόμοια με τα φίλτρα πακέτων στο ότι γνωρίζει τη διεύθυνση της πηγής και του προορισμού και παίρνει αποφάσεις βάσει των δεδομένων της επικεφαλίδας και όχι των δεδομένων που μεταφέρει το πακέτο. Δε γνωρίζει αν τα περιεχόμενα του πακέτου είναι επιβλαβή.
Firewalls (Τύποι) Χαρακτηριστικά των πληρεξούσιων φραγμάτων: Επιπέδου εφαρμογής: Μεταφέρει ένα αντίγραφο από κάθε αποδεκτό πακέτο από το ένα δίκτυο στο άλλο. Απαιτεί διαφορετικό πληρεξούσιο για κάθε επιτρεπόμενη υπηρεσία. Αποκρύπτει τις πληροφορίες του δικτύου από πιθανούς επιτιθέμενους. Αποκρύπτει πληροφορίες και διευθύνσεις των υπολογιστών που βρίσκονται στο προστατευόμενο δίκτυο. Παρέχει τις δυνατότητες περισσότερο διακριτού ελέγχου από τις πύλες επιπέδου κυκλώματος. Μειώνει την απόδοση του δικτύου.
Firewalls (Τύποι) Χαρακτηριστικά των πληρεξούσιων φραγμάτων: Επιπέδου κυκλώματος: Παρέχει ένα κύκλωμα μεταξύ του αποστολέα και του παραλήπτη. Δεν απαιτεί ένα πληρεξούσιο για κάθε υπηρεσία. Δε δίνει τη δυνατότητα του διακριτού ελέγχου που παρέχει η πύλη επιπέδου εφαρμογών. Παρέχει ασφάλεια σε ένα μεγαλύτερο εύρος πρωτοκόλλων.
Firewalls (Τύποι) SOCKS: Πρόκειται για ένα πληρεξούσιο φράγμα επιπέδου κυκλώματος το οποίο παρέχει ένα ασφαλές κανάλι μεταξύ δύο υπολογιστών που τρέχουν το TCP/IP. Όταν ένας σταθμός που χρησιμοποιεί SOCKS στείλει μια αίτηση για πρόσβαση σε υπολογιστή στο Internet, ηαίτησηαυτήθαπεράσειαπό από το SOCKS πληρεξούσιο εξυπηρετητή ο οποίος θα εξετάσει το πακέτο για την ύπαρξη κακόβουλου λογισμικού και θα ελέγξει τήν πολιτική ασφαλείας για να διαπιστώσει εάν επιτρέπεται αυτή ησύνδεση. Εάν το πακέτο είναι αποδεκτό και η σύνδεση αυτή επιτρέπεται ο εξυπηρετητής SOCKS θα στείλει το πακέτο στον προορισμό του. Η ίδια διαδικασία ακολουθείται και κατά την επιστροφή δεδομένων.
Firewalls (Τύποι) SOCKS: Ο εξυπηρετητής SOCKS μπορεί να παρακολουθεί, να φιλτράρει, να ελέγχει, και να καταγράφει τη ροή των δεδομένων από και προς το προστατευόμενο δίκτυο. Λόγω του ότι είναι ένας εξυπηρετητής επιπέδου κυκλώματος δε μπορεί να παρέχει έλεγχο βάσει των λεπτομερειών του πρωτοκόλλου. Χαρακτηριστικά: Εξυπηρετητής επιπέδου κυκλώματος. Απαιτεί τη μετατροπή των προγραμμάτων-πελατών με το λογισμικό SOCKS για πελάτες. Χρησιμοποιείται κυρίως για εξερχόμενη κίνηση και για εικονικά ιδιωτικά δίκτυα (virtual private networks). Μπορεί να σπαταλά τους πόρους του συστήματος. Παρέχει αυθεντικοποίηση και κρυπτογράφηση παρόμοια με άλλα πρωτόκολλα εικονικών ιδιωτικών δικτύων, αλλά δεν θεωρείται παραδοσιακό VPN πρωτόκολλο.
Αρχιτεκτονικές Firewalls Διπλοσυνδεδεμένα φράγματα ασφαλείας (Dual- Homed Firewalls): Αποτελούν συνήθως ένα σημαντικό μέρος των proxy firewalls αλλά και τα proxy firewalls αποτελούν ένα σημαντικό μέρος αυτών και επομένως χρησιμοποιούνται κυρίως με λογισμικό εξουσιοδότησης. Πρόκειται για έναν υπολογιστή με διαφορετικές κάρτες δικτύου συνδεδεμένες σε κάθε δίκτυο. Χρησιμοποιείται για να διαιρέσει ένα εσωτερικό έμπιστο δίκτυο από ένα εξωτερικό μη έμπιστο. Πρέπει να έχει απενεργοποιημένη τη λειτουργία της δρομολόγησης και της προώθησης πακέτων για να υπάρχει σωστός διαχωρισμός των δύο δικτύων.
Αρχιτεκτονικές Firewalls Σταθμός-οχυρό (bastion host): Αποτελεί το θεμέλιο πάνω στο οποίο θα λειτουργήσει το λογισμικό του firewall. Πρόκειται για ένα σταθμό ο οποίος θα είναι προσβάσιμος από όλες τις οντότητες που θα προσπαθούν να εισέλθουν ή να εξέλθουν από το προστατευμένο δίκτυο. Είναι πολύ εκτεθειμένος (και επομένως υψηλού κινδύνου) γιατί αποτελεί την πρώτη γραμμή στην ασφάλεια του δικτύου και η ύπαρξη της είναι γνωστή στο Internet. Αυτό σημαίνει ότι: πρέπει να έχει απόλυτη προστασία, όλες οι μη απαραίτητες υπηρεσίες πρέπει να απενεργοποιηθούν, να μην υπάρχουν τρωτά σημεία (vulnerabilities), αχρησιμοποίητοι λογαριασμοί χρηστών πρέπει να απενεργοποιηθούν, οι θύρες που δε χρειάζονται πρέπει να είναι κλειστές.
Αρχιτεκτονικές Firewalls Σταθμός-οχυρό (bastion host): Όλααυτάταμέτραείναιαπαραίτηταγιατίαναυτότο σύστημα παραβιαστεί τότε το δίκτυο θα μείνει απροστάτευτο. Μπορεί να υποστηρίξει φιλτράρισμα πακέτων, πληρεξούσια φράγματα, και υβριδικά φράγματα (συνδυασμός φίλτρων πακέτων και πυλών εφαρμογών).
Αρχιτεκτονικές Firewalls Προστατευμένος υπολογιστής ή υπολογιστής διαλογής (screened host): Πρόκειται συνήθως για ένα υπολογιστή οχυρό ο οποίος επικοινωνεί απευθείας με ένα συνοριακό δρομολογητή και το εσωτερικό δίκτυο. Αποτελεί τον ενδιάμεσο σταθμό μεταξύ του δρομολογητή και του εσωτερικού δικτύου. Όλη η εισερχόμενη κίνηση φιλτράρετε πρώτα από το δρομολογητή χρησιμοποιώντας φιλτράρισμα πακέτων. Η φιλτραρισμένη πλέον κίνηση προωθείται στον προστατευμένο υπολογιστή ο οποίος εφαρμόζει περισσότερους κανόνες διαλογής και απορρίπτει τα απαγορευμένα πακέτα. Μετά και από αυτή τη διαλογή τα πακέτα προωθούνται στον απόλυτο προορισμό τους.
Αρχιτεκτονικές Firewalls Προστατευμένος Υπολογιστής (screened host): Ο προστατευμένος υπολογιστής είναι η μόνη συσκευή η οποία λαμβάνει πακέτα από το δρομολογητή. Εάν ο υπολογιστής διαλογής (οχυρό) είναι μια πύλη εφαρμογής, τότε: Ο δρομολογητής προστατεύει το δίκτυο στο επίπεδο δικτύου Το οχυρό προστατεύει το δίκτυο στο επίπεδο εφαρμογής. Αυτό παρέχει ένα υψηλότερο επίπεδο προστασίας. Ο επιτιθέμενος θα πρέπει να παραβιάσει δύο συστήματα για να μπορέσει να μπει στο εσωτερικό δίκτυο.
Αρχιτεκτονικές Firewalls Προστατευμένο υποδίκτυο ή υποδίκτυο διαλογής (screened subnet): Αυτή η αρχιτεκτονική προσθέτει ένα ακόμα επίπεδο ασφαλείας στην αρχιτεκτονική του προστατευμένου υπολογιστή (screened host). Ο υπολογιστής οχυρό που φιλοξενεί το firewall βρίσκεται μεταξύ δύο δρομολογητών. Ο εξωτερικός δρομολογητής, όπως και στο προστατευμένο υπολογιστή, φιλτράρει τα πακέτα και τα προωθεί στον υπολογιστή οχυρό. Αντί όμως της απευθείας δρομολόγησης των πακέτων από τον υπολογιστή οχυρό στο εσωτερικό δίκτυο, ο υπολογιστής οχυρό δρομολογεί τα πακέτα στον εσωτερικό δρομολογητή οοποίος επίσης φιλτράρει τα εισερχόμενα πακέτα.
Αρχιτεκτονικές Firewalls Αυτές οι αρχιτεκτονικές είναι πολύ απλές και χρησιμοποιούνται σπάνια. Αποτελούν απλώς τη βάση δημιουργίας πιο πολύπλοκων αρχιτεκτονικών. Η αρχιτεκτονική προστατευμένου οχυρού αποτελεί τη βάση της δημιουργίας αποστρατικοποιημένων ζωνών. Η αποστρατικοποιημένη ζώνη λειτουργεί σαν ένα μικρό απομονωμένο δίκτυο μεταξύ του έμπιστου εσωτερικού δικτύου και του εξωτερικού μη έμπιστου. Οι εσωτερικοί χρήστες συνήθως έχουν περιορισμένη πρόσβαση σε αυτό το δίκτυο (στους εξυπηρετητές αυτής της περιοχής). Αυτή η ζώνη χρησιμοποιείται για την τοποθέτηση εξυπηρετητών Web, mail, DNS, και άλλων δημοσίων εξυπηρετητών. Παρόλο που αυτή η αρχιτεκτονική παρέχει την υψηλότερη ασφάλεια, είναι η πιο πολύπλοκη από όλες ειδικά όσον αφορά τη διαχείριση της και υποστήριξη της.
Firewalls Τα πρέπει των firewalls: Το firewall θα πρέπει εξ ορισμού να αρνείται εμμέσως την εξυπηρέτηση πακέτων για τα οποία δεν επιτρέπεται ρητά η εξυπηρέτηση τους. Πακέτα τα οποία εισέρχονται στο δίκτυο και έχουν διεύθυνση πηγής από το εσωτερικό δίκτυο (IP spoofing) θα πρέπει να απορριφθούν. Κατά τον ίδιο τρόπο, πακέτα που εξέρχονται και δεν έχουν διεύθυνση πηγής από το εσωτερικό δίκτυο θα πρέπει να απορριφθούν. Τα firewalls θα πρέπει να επανενώνουν τεμαχισμένα πακέτα πριν να τα προωθήσουν στο προορισμό τους. Υπάρχουν πολλές επιθέσεις όπου οι hackers τροποποιούν τα πακέτα ώστε αυτά να φαίνονται σαν κάτι που δεν είναι. Όταν ένα τεμαχισμένο πακέτο εισέρχεται στο δίκτυο το firewall βλέπει μόνο ένα μέρος των δεδομένων. Εάν τα συνολικά δεδομένα τα οποία θα επανενωθούν στον απόλυτο προορισμό τους μεταφέρουν κακόβουλο λογισμικό αυτό δε θα είναι ανιχνεύσιμο από το firewall. Έτσι, το firewall θα πρέπει να αποφεύγει να παίρνει αποφάσεις βασισμένο μόνο σε μέρος των δεδομένων.
Firewalls Τα πρέπει των firewalls: Το πρόβλημα με την επανένωση των τεμαχισμένων πακέτων από το firewall είναι ότι δημιουργεί καθυστερήσεις και καταναλώνει πόρους του firewall. To firewall μπορεί επίσης να αρνείται να εξυπηρετήσει πακέτα τα οποία έχουν πληροφορίες δρομολόγησης από την πηγή (όπου οι αποφάσεις δρομολόγησης του πακέτου παίρνονται από την πηγή και όχι από τους δρομολογητές). Ο λόγος είναι ο εξής: Όταν ένας δρομολογητής λαμβάνει ένα πακέτο που έχει τις δικές του πληροφορίες δρομολόγησης, τότε ο δρομολογητής θεωρεί ότι το πακέτο αυτό γνωρίζει που πηγαίνει και επομένως το προωθεί χωρίς να το εξετάσει. Αυτό μπορεί να έχει ως αποτέλεσμα να μην εφαρμοστούν όλα τα φίλτρα στο πακέτο ή αν ο διαχειριστής επιθυμεί τη δρομολόγηση των πακέτων μέσω ενός μονοπατιού το πακέτο να σταλεί από ένα μη επιτρεπτό μονοπάτι.
Firewalls Μειονεκτήματα: Η ασφάλεια συγκεντρώνεται σε ένα συγκεκριμένο σημείο σε αντίθεση με μια προσέγγιση κατανεμημένης ασφάλειας η οποία προστατεύει πολλά διαφορετικά τμήματα του δικτύου. Αποτελούν ένα πιθανό σημείο μείωσης της ροής δεδομένων. Μπορεί να περιορίσει τις υπηρεσίες που θα ήθελαν να χρησιμοποιήσουν οι χρήστες σε αυτές που μπορεί να υποστηρίξει. Τα περισσότερα δε μπορούν να προστατεύσουν από ιούς οι οποίοι μεταδίδονται με κάποιο email. Παρέχουν ελάχιστη προστασία από τους επιτιθέμενους που βρίσκονται μέσα στο προστατευμένο δίκτυο.