Zapora sieciowa (ang. firewall - ściana ogniowa, często mylnie tłumaczone jako ściana ognia) - jeden ze sposobów zabezpieczania
sieci i systemów przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym
oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi.
Zapory sieciowe są zwykle stawiane na styku dwóch sieci komputerowych, np. Internetu i sieci lokalnej (LAN) (wtedy zapora pracuje
często dodatkowo jako router) oraz na ważnych serwerach. Na zaporze można zdefiniować specjalna strefę DMZ - podsieć, która izoluje
od wewnętrznej sieci lokalne serwery udostępniające usługi na zewnątrz.
Typy zapór sieciowych
* filtrujące: monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej
zaporze (zapora pracująca dodatkowo jako router). Zwykle w niewielkich sieciach jest zapora sprzętowa bądź dedykowany komputer z
systemem operacyjnym Linux. Obecnie najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables.
Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada bardzo wymyślne własności i rozbudowany
system konfiguracji oraz wachlarz możliwych do zintegrowania rozwiązań, pozwalających nie tylko na analizę i filtrowanie
pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI a nawet na
prowadzenia ochrony antywirusowej.
* oprogramowanie komputerów stacjonarnych: udostępnia wybrane porty do połączeń "z zewnątrz" monitorując ruch, udostępnia
także połączenia na zewnątrz komputera wybranym usługom/programom. Często zintegrowane z ochroną antywirusową (na przykład
Norton Internet Security)
* zapory pośredniczące (proxy): wykonujące połączenie z serwerem w imieniu użytkownika. Przykładowo, zamiast uruchomienia sesji
http bezpośrednio do zdalnego serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest połączenie z
systemem zdalnym. Cała komunikacja na serwer http przechodzi przez proxy, które może filtrować ruch. Proxy, jeśli ma taką
funkcjonalność, potrafi rozpoznać komendy http jak i analizować zawartość pobieranych stron WWW (działa w warstwie aplikacji
modelu ISO/OSI). Zabezpieczejące działanie zapory, z punktu widzenia klienta, polega w tym wypadku na tym, iż możliwe jest
blokowanie wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze słowami wulgarnymi, o
treści pornograficznej itp.).
Współcześnie często pracująca zapora sieciowa jest rozwiązaniem hybrydowym analizującym pakiety od warstwy łącza danych do aplikacji
modelu OSI. Umożliwia realizację złożonych polityk bezpieczeństwa oraz integrację z systemami IDS.
