Mitä palomuuri todella tekee?
Olet luultavasti kuullut, että palomuurit ovat tärkeä turvallisuussuoja, mutta tiedätkö miksi se on? Monet ihmiset eivät, jos viittaukset palomuureihin TV-ohjelmissa, elokuvissa ja muissa suosituissa medioissa ovat viitteitä.
Palomuuri sijaitsee tietokoneen (tai paikallisen verkon) ja toisen verkon (kuten Internetin) välissä ja ohjaa saapuvaa ja lähtevää verkkoliikennettä. Ilman palomuuria kaikki menee. Palomuurin avulla palomuurin säännöt määrittävät, mikä liikenne on sallittu ja mikä ei ole.
Miksi tietokoneet sisältävät palomuurit
Useimmat ihmiset käyttävät nyt reitittimiä kotona, jotta he voivat jakaa Internet-yhteyden useiden laitteiden välillä. Oli kuitenkin aika, jolloin monet ihmiset liittivät tietokoneensa Ethernet-kaapelin suoraan kaapeli- tai DSL-modeemiinsa, ja ne liittivät tietokoneen suoraan Internetiin. Tietokone, joka on kytketty suoraan Internetiin, on julkisesti osoitettavissa oleva IP - toisin sanoen jokainen Internetistä voi saavuttaa sen. Kaikki tietokoneellasi toimivat verkkopalvelut - kuten Windows-tiedostojen ja tulostimen jakamiseen liittyvät palvelut, etätyöpöytä ja muut ominaisuudet - olisivat muiden Internet-tietokoneiden käytettävissä.
Windows XP: n alkuperäinen julkaisu ei sisältänyt palomuuria. Paikallisverkoille suunnattujen palvelujen, palomuurin ja suoraan Internetiin liitettyjen tietokoneiden yhdistelmä johti siihen, että monet Windows XP -tietokoneet ovat tarttuneet muutaman minuutin kuluessa siitä, kun ne on kytketty suoraan Internetiin.
Windowsin palomuuri otettiin käyttöön Windows XP: n Service Pack 2: ssa, ja se mahdollisti palomuurin oletuksena Windowsissa. Nämä verkkopalvelut eristettiin Internetistä. Kaikkien saapuvien yhteyksien hyväksymisen sijaan palomuurijärjestelmä laskee kaikki saapuvat yhteydet, ellei se ole nimenomaan konfiguroitu sallimaan nämä saapuvat yhteydet.
Tämä estää Internetin käyttäjiä liittymästä tietokoneesi paikallisiin verkkopalveluihin. Se ohjaa myös pääsyä verkkopalveluihin muista paikallisverkon tietokoneista. Siksi kysytään, millaista verkkoa se on, kun muodostat yhteyden Windowsiin. Jos muodostat yhteyden kotiverkkoon, palomuuri sallii pääsyn näihin palveluihin. Jos muodostat yhteyden julkiseen verkkoon, palomuuri estää pääsyn.
Vaikka verkkopalvelu itsessään on määritetty olemaan sallimatta yhteyksiä Internetistä, on mahdollista, että itse palvelulla on suojausvirhe, ja erityisesti muotoiltu pyyntö voi sallia hyökkääjän suorittamaan mielivaltaisen koodin tietokoneellasi. Palomuuri estää tämän pääsemällä tielle, estäen tulevien yhteyksien pääsyn näihin mahdollisesti haavoittuviin palveluihin.
Lisää palomuuritoimintoja
Palomuurit istuvat verkon (kuten Internetin) ja palomuurin suojaaman tietokoneen (tai paikallisen verkon) välillä. Palomuurin pääkäyttäjän kotikäyttäjien suojaus on estänyt saapumatta tulevan verkkoliikenteen, mutta palomuurit voivat tehdä paljon enemmän. Koska palomuuri istuu näiden kahden verkon välissä, se voi analysoida kaikki verkkoon ulottuvat tai poistuvat liikennemäärät ja päättää, mitä se tekee. Esimerkiksi palomuuri voidaan määrittää myös estämään tiettyjä lähtevän liikenteen tyyppejä tai se voisi kirjata epäilyttävän liikenteen (tai kaiken liikenteen).
Palomuurissa voi olla erilaisia sääntöjä, jotka sallivat ja kieltävät tietyntyyppiset liikennemuodot. Se voi esimerkiksi sallia yhteydet palvelimeen vain tietystä IP-osoitteesta, jolloin kaikki yhteyspyynnöt poistetaan muualta turvallisuuteen.
Palomuurit voivat olla mitä tahansa ohjelmistosta, joka on käynnissä kannettavassasi (kuten Windowsin palomuuri) yritysverkon omaan laitteistoon. Tällaiset yrityspalomuurit voisivat analysoida lähtevän liikenteen, jotta varmistetaan, että haittaohjelmia ei kommunikoida verkon välityksellä, seurata työntekijän verkkokäyttöä ja suodattimen liikennettä - esimerkiksi palomuuri voitaisiin määrittää sallimaan vain selaimen liikenteen palomuurin kautta, estämällä muiden tyyppisten sovellukset.
Jos olet kuin useimmat ihmiset, sinulla on kotona reititin. Reititin toimii oikeastaan eräänlaisena laitteiston palomuurina sen NAT (verkko-osoitteen kääntäminen) -ominaisuuden takia, mikä estää ei-toivotun saapuvan liikenteen pääsemästä tietokoneisiin ja muihin laitteisiin reitittimen taakse.
Kuvaluotto: Palomuuriohjelma Wikimedia Commonsista, ChrisDag Flickrissä