Autor: Tomáš Přibyl, externí redaktor ICT SECURITY

Software či hardware – v oblasti firewallů čím dál častější otázka. Rozhodně tak častá, že stojí za to věnovat se jí podrobněji…

Co to vlastně je firewall?

Začněme ale trochu obšírněji: tím, co to vlastně firewall je. Jak už to ve světě ICT bývá, můžeme si vybrat z několika více či méně přesných definic. Asi nejobecnější, a tudíž nejpřesnější je ta, která definuje firewall jako „systém sloužící k řízení síťového provozu“.

Ano, je to tak: firewall skutečně nemusí být pouze bezpečnostním prvkem, s nímž je nejčastěji spojován, ale může být i zařízením (softwarovým či hardwarovým), které řídí síťový provoz. Ostatně: co dělá firewall jako bezpečnostní prvek? Kontroluje na základě určitých pravidel síťový provoz a snaží se identifikovat takový, který by mohl představovat ohrožení. V praxi se bylo zvláště dříve (dnes jejich roli často přebírají jiné síťové prvky) možné setkat s firewally, které filtrací provozu „jen“ snižovaly zatížení sítě nebo řídily provoz v ní.

Třeba takový paketový filtr, z něhož se vyvinuly dnešní firewally má relativně malou účinnost, ale na druhé straně je součástí každého směrovače. Byla by škoda ho nevyužít (třeba jako přídavný) bezpečnostní prvek.

Firewall se každopádně postupně stal základním kamenem bezpečnosti většiny informačních systémů.

Železo nebo aplikace?

Jedním z nejčastějších firewallových dilemat je: hardwarový nebo softwarový? Než se pokusíme odpovědět na tuto otázku (na níž se ostatně jednoznačně odpovědět nedá), vysvětleme si rozdíly mezi oběma typy firewallů.

Především si uvědomme, že hardwarový firewall není nic jiného než firewall softwarový, ovšem běžící na vyhrazeném hardware. Zatímco softwarový firewall je na serveru, o který se „dělí“ s dalšími aplikacemi, hardwarový představuje aplikaci, která má „železo“ jen sama pro sebe. Jedná se tedy o jakýsi „black-box“. Fakticky má tedy stejné nároky jako softwarový.

Každá z obou aplikací má samozřejmě svá pro a proti. Hardwarový firewall je obecně považovaný za bezpečnější (protože se o počítač nedělí s dalšími aplikacemi, které jej mohou ohrozit), ale to nemusí být pravda. Velmi často přehlížené otázky v případě hardwarového firewallu jsou zálohování dat, aktualizace systému nebo transparentnost. Většina výrobců těchto zařízení prosazuje systém „připoj a zapomeň“, což samozřejmě v mnoha případech vyhovuje a dostačuje. S hardwarovým firewallem se proto lze setkat i u domácích uživatelů.

Výhodou čistě softwarového firewallu je zpravidla větší množství funkcí a relativně snadnější update/upgrade. A zpravidla také nižší cena, protože do ní není zapotřebí počítat dedikovaný hardware. Na druhou stranu je ale nutné počítat s náklady na údržbu a správu systému, které u hardwarového firewallu mohou i nemusejí být. Jsou řešení, která zásah lidské ruky nevyžadují a pro něž je pořizovací cena skutečně poslední investicí. Nicméně pokud už hardwarový firewall zásah vyžaduje, pak budete muset sáhnout hlouběji do kapsy.

Pro a proti

Při posuzování toho, zdali použít software či „železo“ se také můžeme podívat na argumenty používané zastánci jedné či druhé strany. Pomohou nám lépe pochopit přednosti či nedostatky obou řešení.

Hardwaráři argumentují vyšším výkonem svých řešení. Což je pravda, i když ne vždy. Otázkou totiž je, co v případě hardwarových řešení skutečně spočívá na hardware: výkon celého systému totiž bude takový, jaké je propustnost nejslabšího článku. Takže je důležité zabývat se v případě srovnání i architekturou systému. Třeba dodatečná implementace přídavných funkcí může vést i k dramatickému poklesu výkonu (i když u softwarových řešení by byl ještě větší).

Uvádí se také, že výkon softwarových řešení lze zvýšit použitím akceleračních karet. To je samozřejmě pravda, ale opět: záleží na celkové architektuře systému. Kritickým místem bývá zpravidla PCI bridge, přes který probíhá veškerá vzájemná komunikace jednotlivých prvků.

Dalším přínosem je flexibilita: je přitom zvláštní, že jí argumentují obě strany. Čistý software je totiž lépe konfigurovatelný, dedikovaný hardware má zase pro flexibilitu větší prostor.

Finální verdikt

I z této argumentace vyplývá jednoduchý závěr: jednoznačně se rozhodnout mezi hardwarem a softwarem v případě firewallu nelze. Respektive vždy je nutné hodnotit a srovnávat konkrétní řešení v konkrétním prostředí. Ochrana systému je totiž stejně účinná. Jediným trendem dnešní doby, který by snad mohl něco napovědět (i když: opět bude ve finále záležet na konkrétních podmínkách) je snaha integrovat celou bezpečnost do jednoho řešení.