Slovo „firewall" zná každý, kdo někdy viděl vyskakovací okno ve Windows s otázkou, jestli chce povolit přístup k síti. Jenže firewall není jen to otravné okýnko. Je to jedna z nejstarších a nejdůležitějších bezpečnostních technologií v IT — stojí na hranici mezi vaší sítí a zbytkem internetu a rozhoduje, co projde dovnitř a co zůstane venku. V tomto článku se podíváme na to, jak firewall funguje od základů až po pokročilá firemní nasazení, projdeme si rozdíly mezi typy firewallů, vysvětlíme si, co je connection tracking, mangle, deep packet inspection, a ukážeme si reálná pravidla v MikroTiku. Připravte se, bude to důkladné.
Co si lidé pod firewallem představí — a proč je to většinou jen půlka pravdy
Když se řekne firewall, většina lidí si představí jednu ze dvou věcí: buď to okno ve Windows, které se ptá „Chcete povolit této aplikaci přístup k síti?", nebo nějakou abstraktní zeď, která „chrání počítač před hackery". Obojí je částečně pravda, ale ani jedno není úplný obrázek.
Firewall — česky doslova „protipožární stěna" — je ve své podstatě systém, který filtruje síťový provoz podle předem definovaných pravidel. Rozhoduje, které pakety (jednotky dat putující po síti) smějí projít a které budou zahozeny nebo odmítnuty. Může to být program běžící na vašem počítači, může to být funkce na routeru, nebo může to být celé samostatné zařízení stojící na hranici firemní sítě.
Zkusme si to přiblížit analogií. Představte si vrátného u vchodu do kancelářské budovy. Vrátný má seznam pravidel: zaměstnance s kartou pustí dovnitř, návštěvy jen po ohlášení, zásilky přijímá pouze na recepci a nikoho nepouští do serverovny bez doprovodu. Firewall dělá přesně totéž, jen v digitálním světě — kontroluje každý „paket", který se pokouší vstoupit do sítě nebo z ní odejít, a podle pravidel ho buď propustí, nebo zastaví.
Co firewall vlastně dělá — základní principy
Filtrování provozu podle pravidel
Každý paket, který putuje po síti, má v sobě informace podobné obálce dopisu: odkud jde (zdrojová IP adresa a port), kam míří (cílová IP adresa a port) a jakým „jazykem mluví" (protokol — TCP, UDP, ICMP a další). Firewall tyto údaje čte a porovnává se svými pravidly. Pokud paket odpovídá pravidlu, které říká „propusť", projde. Pokud odpovídá pravidlu „zahoď", zmizí bez stopy. Pokud neodpovídá ničemu, rozhodne výchozí politika.
Příchozí versus odchozí provoz
Firewall nekontroluje jen to, co přichází zvenku dovnitř (ingress). Stejně důležité je filtrovat i odchozí provoz (egress). Proč? Pokud se na vašem počítači usadí malware, bude se pravděpodobně pokoušet komunikovat s řídícím serverem útočníka — ven z vaší sítě. Správně nastavený firewall dokáže takovou odchozí komunikaci zachytit a zablokovat. V praxi je ale odchozí filtrování často podceňované — mnoho firewallů má pravidla jen pro příchozí provoz.
Porty a protokoly — co to vlastně je
Pokud je IP adresa jako poštovní adresa budovy, pak port je číslo konkrétní kanceláře v té budově. Webový server „poslouchá" na portu 80 (HTTP) nebo 443 (HTTPS), e-mailový server na portu 25 (SMTP) nebo 993 (IMAP přes SSL), SSH na portu 22 a tak dále. Celkem existuje 65 536 portů (číslovaných 0–65 535, přičemž port 0 je rezervovaný a v praxi se nepoužívá) a firewall může pro každý z nich nastavit jiné pravidlo.
Protokol pak určuje, jak se data přenášejí. TCP (Transmission Control Protocol) zajišťuje spolehlivé doručení — data se potvrzují, ztracené pakety se posílají znovu. UDP (User Datagram Protocol) je rychlejší, ale bez garancí — používá se pro videohovory, streaming nebo online hry, kde je rychlost důležitější než dokonalá spolehlivost. ICMP je protokol pro servisní zprávy — například příkaz ping používá právě ICMP.
Výchozí politika: whitelist versus blacklist
Výchozí politika (default policy) je to nejdůležitější rozhodnutí, které při konfiguraci firewallu uděláte. Existují dva přístupy:
Default deny (whitelist) — vše je zakázáno, dokud to explicitně nepovolíte. To znamená, že pokud pro nějaký provoz neexistuje pravidlo, které ho povolí, neprojde. Tento přístup je bezpečnější a je standardem v profesionálních sítích. Nevýhodou je, že vyžaduje důkladnou konfiguraci — musíte přesně vědět, co vaše síť potřebuje.
Default allow (blacklist) — vše je povoleno, dokud to explicitně nezakážete. Jednodušší na nastavení, ale nebezpečné — stačí zapomenout na jedno pravidlo a díra v obraně je na světě. Tento přístup bohužel najdete u mnoha domácích routerů v továrním nastavení.
Druhy firewallů — od jednoduchého filtru po inteligentní strážce
Ne každý firewall pracuje stejně. Během desetiletí se vyvinulo několik generací, z nichž každá přidává další úroveň „inteligence". Pojďme si je projít od nejjednoduššího po nejpokročilejší.
Paketový filtr (stateless firewall)
Nejstarší a nejjednodušší typ. Každý paket posuzuje izolovaně — podívá se na zdrojovou a cílovou IP, port a protokol, porovná je s pravidly a rozhodne. Nemá žádnou paměť, neví, jestli paket patří k nějakému existujícímu spojení nebo jestli přichází „z ničeho nic". Je to jako vrátný, který kontroluje pouze jmenovku na kabátu, ale nepamatuje si, kdo už prošel a kdo ne.
Výhoda: jednoduchost a rychlost. Nevýhoda: snadno oklamatelný — útočník může vytvořit paket, který vypadá jako odpověď na existující spojení, ačkoli žádné neexistuje.
Stavový firewall (stateful firewall)
Dnes absolutní základ. Stavový firewall si udržuje tabulku spojení (connection table, někdy state table) a sleduje celý životní cyklus každého síťového spojení — od navázání (TCP handshake: SYN → SYN-ACK → ACK) přes přenos dat až po ukončení. Když přijde paket, firewall nejenže kontroluje pravidla, ale také ověří, zda paket patří k existujícímu, legitimně navázanému spojení.
To znamená, že odpovědi na vaše požadavky procházejí automaticky (protože firewall ví, že jste to spojení iniciovali vy), zatímco nevyžádané pakety zvenčí jsou zahozeny. Vrátný se teď nejen dívá na jmenovku, ale pamatuje si, koho pustil dovnitř, a automaticky pouští zpět lidi, které předtím viděl odejít.
new (nové spojení, ještě neexistuje v tabulce), established (patří k existujícímu spojení), related (souvisí s existujícím spojením — například FTP datový kanál otevřený na základě řídícího spojení) a invalid (nepatří k žádnému známému spojení a nedává smysl). Typické pravidlo na firewallu pak říká: „propusť established a related, zahoď invalid, a nová spojení řeš individuálně podle dalších pravidel." Tento mechanismus — connection tracking — je základem moderního filtrování a vrátíme se k němu detailněji v sekci o MikroTiku.
Aplikační firewall (proxy firewall / Application Layer Gateway)
Paketový a stavový firewall pracují na síťové a transportní vrstvě — vidí IP adresy, porty a stavy spojení, ale „nerozumějí" obsahu. Aplikační firewall jde o úroveň výš: rozumí konkrétním protokolům na aplikační vrstvě. Ví, jak vypadá legitimní HTTP požadavek, rozezná platný DNS dotaz od podvrženého a dokáže filtrovat FTP příkazy.
V praxi funguje tak, že se staví do role prostředníka (proxy) — klient se připojí k firewallu, firewall požadavek analyzuje, a pokud je v pořádku, sám navazuje spojení s cílovým serverem. Nikdy nedochází k přímé komunikaci mezi klientem a serverem.
Next-Generation Firewall (NGFW)
NGFW je dnes to, co firmy skutečně nasazují. Kombinuje funkce stavového firewallu, aplikačního firewallu a přidává celou řadu dalších schopností: deep packet inspection (DPI), integrovaný systém detekce a prevence průniků (IDS/IPS), rozpoznávání aplikací bez ohledu na port (application awareness — pozná, že na portu 443 běží Skype, nejen HTTPS), antimalwarový engine, sandboxing podezřelých souborů a často i VPN gateway.
NGFW je v podstatě kompletní bezpečnostní platforma zabalená do jednoho zařízení. Hlavní hráči na trhu jsou Palo Alto Networks, Fortinet (FortiGate), Check Point, Cisco (Firepower) a Sophos.
Web Application Firewall (WAF)
WAF je specializovaný typ firewallu, který chrání konkrétně webové aplikace. Zatímco síťový firewall chrání celou síť, WAF sedí před webovým serverem a analyzuje HTTP/HTTPS požadavky. Hledá útoky jako SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF) a další zranitelnosti specifické pro webové aplikace.
WAF není náhrada síťového firewallu — je to doplněk. Typicky ho potkáte jako cloudovou službu (Cloudflare WAF, AWS WAF) nebo jako modul na reverzním proxy (ModSecurity pro Apache/Nginx).
| Typ firewallu | Úroveň analýzy | Výhody | Nevýhody |
|---|---|---|---|
| Paketový filtr | Síťová vrstva (IP, port) | Rychlý, jednoduchý | Bez kontextu, snadno oklamatelný |
| Stavový firewall | Transportní vrstva (spojení) | Sleduje stav spojení, bezpečnější | Nerozumí obsahu komunikace |
| Aplikační / proxy | Aplikační vrstva (HTTP, DNS…) | Rozumí obsahu, přesné filtrování | Pomalejší, složitější konfigurace |
| NGFW | Všechny vrstvy | Kompletní ochrana, DPI, IDS/IPS | Vysoká cena, náročná správa |
| WAF | HTTP/HTTPS provoz | Specialista na webové útoky | Nechrání síť, jen webovou aplikaci |
Kde všude firewall potkáte
Firewall v operačním systému
Každý moderní operační systém má vestavěný firewall. Windows má Windows Defender Firewall (dříve Windows Firewall), macOS má Application Firewall a packet filter (pf), Linux má iptables/nftables (jádro) s nadstavbami jako firewalld nebo ufw. Tyto firewally chrání konkrétní jedno zařízení a říká se jim host-based firewally.
Jsou to stavové firewally, které filtrují provoz na úrovni daného stroje. Hodí se jako poslední linie obrany — i když máte ve firmě perimetrový firewall na vstupu do sítě, host-based firewall na serveru nebo pracovní stanici přidává další vrstvu ochrany (princip defense in depth).
Firewall na routeru
Prakticky každý router — od domácího za pár stovek po firemní za desítky tisíc — má v sobě firewall. U domácích routerů je to většinou základní stavový firewall, který chrání celou domácí síť. Většina lidí o něm neví, ale funguje a v základním nastavení odfiltruje nevyžádané pokusy o připojení zvenčí.
Dedikované firewallové zařízení
Ve firmách se nasazují samostatná zařízení, jejichž jedinou úlohou je filtrovat provoz. Může to být hardwarové řešení (Fortinet FortiGate, Palo Alto PA-Series, Check Point appliance) nebo softwarové řešení na běžném hardwaru (pfSense, OPNsense). MikroTik routery jsou populární kompromis — nabízejí pokročilý firewall, routing, VPN i quality of service v jednom zařízení za rozumnou cenu.
Cloudový firewall
S přesunem infrastruktury do cloudu se přesouvají i firewally. AWS nabízí Security Groups a Network ACLs, Azure má Network Security Groups, Google Cloud má Firewall Rules. Fungují na stejném principu jako klasické firewally, jen běží virtuálně v cloudu. Existují i firewall-as-a-service řešení, jako je Cloudflare Magic Firewall nebo Zscaler, které filtrují provoz, než vůbec dorazí k vaší infrastruktuře.
Hardwarový versus softwarový firewall
Podobně jako u VPN, i u firewallů rozlišujeme čistě softwarová a hardwarová řešení — a v praxi se často kombinují.
| Vlastnost | Softwarový firewall | Hardwarový firewall |
|---|---|---|
| Co to je | Program na počítači/serveru | Dedikované fyzické zařízení |
| Co chrání | Jedno zařízení (host-based firewall v OS), nebo celou síť, pokud běží na serveru/routeru (pfSense, OPNsense) | Celou síť |
| Cena | Často zdarma (vestavěný v OS) | Tisíce až statisíce Kč |
| Výkon | Sdílí CPU se systémem | Vlastní hardware optimalizovaný pro šifrování a filtrování |
| Správa | Na každém stroji zvlášť | Centrální — jeden bod pro celou síť |
| Typické nasazení | Domácnost, jednotlivé servery | Firmy, datová centra |
V praxi se osvědčuje kombinace: na hranici sítě stojí hardwarový (nebo dedikovaný softwarový) firewall, který chrání celou síť, a na jednotlivých serverech a pracovních stanicích běží host-based firewally jako druhá linie obrany. Pokud útočník překoná perimetr (třeba přes kompromitovaný VPN účet), host-based firewall na cílovém serveru ho může ještě zastavit.
NAT — není firewall, ale chová se tak
NAT (Network Address Translation) je mechanismus, který překládá privátní IP adresy vnitřní sítě na jednu veřejnou IP adresu. Používá ho prakticky každý domácí i firemní router. Jeho primární účel je řešit nedostatek IPv4 adres — celá vaše domácí síť sdílí jednu veřejnou IP. Důležité je zmínit, že NAT je záležitostí světa IPv4. U IPv6, kde má každé zařízení vlastní veřejnou adresu, NAT není potřeba (existuje sice NAT66, ale jeho použití je okrajové a nedoporučované). To mimo jiné znamená, že s nástupem IPv6 zmizí i ta „náhodná ochrana", kterou NAT poskytuje, a o to důležitější se stává správně nakonfigurovaný firewall.
Vedlejší efekt NATu je, že zařízení za NATem nejsou přímo adresovatelná z internetu. Když se někdo pokusí iniciovat spojení k vašemu notebooku zvenčí, router neví, kam paket doručit, a zahodí ho. To vypadá jako firewall — a lidé si NAT s firewallem často pletou.
Jenže NAT není bezpečnostní funkce. Chrání jen náhodou, jako vedlejší produkt překladu adres. Nepracuje s pravidly, neloguje, nerozlišuje mezi legitimním a škodlivým provozem. Pokud máte nastavený port forwarding (přesměrování portu z veřejné IP na konkrétní zařízení uvnitř sítě), ochrana NATu pro ten port neplatí — provoz jde přímo dovnitř.
Firewall ve firmě — praktické nasazení
Segmentace sítě — VLANy a firewall mezi nimi
Jedním z nejdůležitějších principů firemní bezpečnosti je segmentace sítě. Namísto jedné velké „ploché" sítě, kde každé zařízení vidí každé jiné, se síť rozdělí do logických segmentů (VLANů — Virtual LANs). Typicky: zaměstnanecká síť, serverová síť, Wi-Fi pro hosty, management síťových prvků a případně IoT zařízení (kamery, tiskárny, senzory).
Mezi VLANy pak stojí firewall, který řídí, kdo s kým může komunikovat. Zaměstnanci se dostanou na interní servery, ale ne na management síťových prvků. Hosté na Wi-Fi se dostanou na internet, ale ne do interní sítě. Tiskárny komunikují jen s print serverem. IoT kamery posílají data do NVR, ale nikam jinam.
Bez segmentace stačí útočníkovi kompromitovat jedno zařízení — třeba IoT kameru se slabým heslem — a má přístup ke všemu v síti. Se segmentací se dostane pouze do segmentu kamer a firewall ho nepustí dál.
DMZ — demilitarizovaná zóna
Pokud provozujete služby, které musejí být přístupné z internetu (webový server, mailový server, VPN gateway), nepatří přímo do interní sítě. Patří do DMZ — speciálního síťového segmentu, který je izolovaný jak od internetu, tak od interní sítě. Firewall stojí na obou stranách: filtruje provoz z internetu do DMZ i provoz z DMZ do interní sítě.
Pokud útočník kompromituje webový server v DMZ, stále musí překonat druhý firewall, aby se dostal k interním systémům. Bez DMZ by kompromitovaný webový server měl přímý přístup ke všemu v síti.
Logování a monitoring
Firewall bez logování je jako bezpečnostní kamera bez nahrávání — zachytí problém, ale nemáte důkaz a zpětně nic nezjistíte. Kvalitní firewallová konfigurace zahrnuje logování odmítnutých i povolených spojení (alespoň těch klíčových), odesílání logů na centrální syslog server, pravidelnou kontrolu a ideálně napojení na SIEM (Security Information and Event Management) systém, který automaticky hledá podezřelé vzory.
Pravidla firewallu — jak se píšou a čtou
Anatomie pravidla
Každé pravidlo firewallu má stejnou základní strukturu, ať už ho konfigurujete v MikroTiku, pfSense, iptables nebo korporátním Palo Alto. Obsahuje tyto složky: chain (řetězec — kam pravidlo patří: vstupní, výstupní, nebo průchozí provoz), zdrojová adresa/síť, cílová adresa/síť, protokol (TCP, UDP, ICMP…), cílový port a akce (co se s paketem stane).
Akce: accept, drop, reject
Accept — paket projde, spojení je povoleno. Drop — paket je tiše zahozen, odesílatel nedostane žádnou odpověď (pro útočníka to vypadá, jako by cíl neexistoval). Reject — paket je odmítnut a odesílateli se pošle zpráva „odmítnuto" (ICMP Port Unreachable nebo TCP RST). V bezpečnostním kontextu se obecně preferuje drop, protože neprozrazuje informace o existenci cíle. Reject se hodí v interní síti, kde chcete, aby klient rychle dostal odpověď místo čekání na timeout.
Pořadí pravidel — first match wins
Tohle je kriticky důležité a zdroj nesčetných problémů. Většina firewallů — včetně MikroTik firewall filter, iptables a pfSense — vyhodnocuje pravidla shora dolů a jakmile najde první pravidlo, kterému paket odpovídá, provede příslušnou akci a dál nehledá (princip „first match wins"). To znamená, že pořadí pravidel zásadně ovlivňuje chování firewallu.
Existují ale důležité výjimky. V MikroTiku mají některé akce parametr passthrough=yes — typicky v tabulce mangle, kde pravidlo paket označí, ale nepřeruší jeho cestu řetězcem a vyhodnocování pokračuje dalšími pravidly. Podobně akce log jen zaznamená paket do logu a nechá ho pokračovat dál. V novějších frameworcích jako nftables (nástupce iptables na Linuxu) nebo u firewallů typu Palo Alto je logika ještě odlišná — pravidla se mohou vyhodnocovat ve více fázích nebo se řetězit. Pro účely tohoto článku ale platí: v klasickém firewall filter řetězci na MikroTiku a většině tradičních firewallů platí first match wins.
Příklad: máte pravidlo č. 1 „povol vše z interní sítě" a pravidlo č. 2 „zakaž přístup na server X z interní sítě". Pravidlo č. 2 se nikdy neuplatní, protože pravidlo č. 1 už veškerý interní provoz povolilo. Správné pořadí je opačné: nejdříve konkrétní zákazy, pak obecná povolení.
Ukázka — MikroTik firewall filter
Protože na tomto blogu se MikroTiku věnujeme často, ukážeme si reálný příklad konfigurace firewallu na MikroTik routeru. Následující sada pravidel chrání vstupní řetězec (input chain — provoz mířící na router samotný):
# 1. Přijmi pakety patřící k existujícím spojením /ip firewall filter add chain=input connection-state=established,related action=accept \ comment="Povol established a related" # 2. Zahoď nevalidní pakety add chain=input connection-state=invalid action=drop \ comment="Zahod invalid pakety" # 3. Povol ICMP (ping) — omezený rate add chain=input protocol=icmp limit=10,20:packet action=accept \ comment="Povol ping s rate limitem" # 4. Povol přístup na Winbox z interní sítě add chain=input protocol=tcp dst-port=8291 \ src-address=192.168.1.0/24 action=accept \ comment="Winbox jen z LAN" # 5. Povol SSH z interní sítě add chain=input protocol=tcp dst-port=22 \ src-address=192.168.1.0/24 action=accept \ comment="SSH jen z LAN" # 6. Povol DNS z interní sítě add chain=input protocol=udp dst-port=53 \ src-address=192.168.1.0/24 action=accept \ comment="DNS jen z LAN" # 7. Default drop — vše ostatní zahoď add chain=input action=drop \ comment="Default drop — vse ostatni"
Všimněte si struktury: na začátku stojí pravidla pro connection tracking, pak specifická povolení pro konkrétní služby a na konci default drop. Tato logika je univerzální a najdete ji na každém správně nakonfigurovaném firewallu, nejen na MikroTiku.
Connection tracking a mangle — pokročilá práce s provozem v MikroTiku
Connection tracking (conntrack) jsme zmínili v sekci o stavovém firewallu. V MikroTiku je to samostatný subsystém, na kterém závisí nejen firewall filter, ale i NAT a další součásti. Pojďme se podívat, jak funguje pod kapotou a jak ho lze využít spolu s tabulkou mangle pro pokročilé řízení provozu.
Jak connection tracking funguje
Kdykoli přes router projde první paket nového spojení, connection tracking engine ho zaznamená do stavové tabulky. Každý záznam obsahuje zdrojovou a cílovou IP, porty, protokol, aktuální stav spojení (new, established, related, invalid) a časové razítko posledního paketu. U TCP sleduje conntrack celý trojcestný handshake a podle něj mění stav z new na established. U UDP, které nemá formální navazování spojení, se stav změní na established po průchodu prvního odpovědního paketu.
Tabulka má omezenou velikost (v MikroTiku výchozích 262 144 záznamů). Ve vytížených sítích — nebo při DDoS útoku — se může tabulka zaplnit, což vede k zahazování nových spojení. Proto se u vytížených routerů connection tracking ladí: zvyšuje se maximální velikost tabulky, snižují se timeouty pro neaktivní spojení a sleduje se její zaplnění.
Mangle — značkování a řízení provozu
Tabulka mangle v MikroTiku slouží k označování paketů a spojení bez toho, aby je filtrovala nebo překládala. Můžete si ji představit jako štítkovací stanici na výrobní lince — každý paket projde, dostane (nebo nedostane) barevný štítek, a na základě tohoto štítku se s ním dál zachází v jiných částech systému: v routingu, ve frontách (QoS), ale i zpět ve firewallu.
Mangle těží přímo z connection trackingu, protože můžete značkovat nejen jednotlivé pakety, ale celá spojení. Jakmile označíte spojení (connection mark), všechny pakety patřící k tomuto spojení automaticky „dědí" příslušnost — nemusíte složitě porovnávat každý paket zvlášť.
Praktické příklady využití mangle v kombinaci s connection trackingem:
Priorizace VoIP provozu. V mangle označíte spojení na porty typické pro SIP/RTP (5060, 10000–20000) značkou „voip". V Queue Tree pak spojení se značkou „voip" dostanou vyšší prioritu. Výsledek: i když někdo v kanceláři stahuje velký soubor, telefonní hovory nezačnou sekat.
Policy-based routing. Provoz od určitých zařízení (třeba Wi-Fi pro hosty) označíte značkou a pomocí routing rules ho nasměrujete přes jiného ISP nebo přes VPN tunel. Zaměstnanecký provoz jde přes primární linku, hosté přes záložní.
Pokročilé firewallové pravidlo. V mangle označíte spojení, která odpovídají určitému vzoru (třeba opakované pokusy o připojení na SSH z jedné IP), a ve firewall filter na základě této značky uplatníte přísnější pravidla — například rate limiting nebo dočasný ban přidáním zdrojové IP do address listu.
# Příklad: Značkování VoIP provozu v mangle /ip firewall mangle add chain=forward protocol=udp dst-port=5060 \ action=mark-connection new-connection-mark=voip passthrough=yes \ comment="Oznac SIP spojeni" add chain=forward connection-mark=voip \ action=mark-packet new-packet-mark=voip_packet passthrough=no \ comment="Oznac pakety VoIP spojeni" # V Queue Tree pak: /queue tree add name=voip-priority parent=global packet-mark=voip_packet \ priority=1 max-limit=2M \ comment="Priorita pro VoIP"
V tomto příkladu mangle nejdřív označí spojení mířící na SIP port značkou „voip" (connection mark). Druhé pravidlo pak všem paketům patřícím k takto označeným spojením přiřadí packet mark „voip_packet". V Queue Tree se na základě packet marku nastaví priorita. Celý řetězec funguje díky connection trackingu — jakmile je spojení označené, všechny jeho pakety značku přebírají automaticky.
IDS a IPS — firewall na steroidech
Co je IDS a IPS
IDS (Intrusion Detection System) je systém, který analyzuje síťový provoz a hledá v něm podezřelé vzory — známé útoky, neobvyklé chování, pokusy o průnik. Když něco najde, vyvolá alarm. Ale sám nezasahuje — jen upozorní.
IPS (Intrusion Prevention System) dělá totéž, ale navíc dokáže podezřelý provoz aktivně zablokovat. Je to jako rozdíl mezi bezpečnostní kamerou (IDS) a bezpečnostní kamerou napojenou na automatický zámek dveří (IPS).
Jak detekce funguje
IDS/IPS systémy používají dva základní přístupy. Signaturová detekce porovnává provoz s databází známých útoků — podobně jako antivirus hledá známé vzory malwaru. Je přesná, ale nechytí neznámé útoky (zero-day). Behaviorální (anomální) detekce se naučí, jak vypadá „normální" provoz ve vaší síti, a hlásí odchylky. Dokáže zachytit i neznámé útoky, ale produkuje více falešných poplachů.
V praxi se oba přístupy kombinují. Známé open-source IDS/IPS systémy jsou Snort a Suricata. Komerční NGFW řešení mají IDS/IPS integrovaný — Fortinet, Palo Alto i Check Point.
UTM — Unified Threat Management
UTM je koncept „všechno v jednom" — jedno zařízení, které v sobě kombinuje firewall, antivirus/antimalware, antispam, content filtering (blokování kategorií webů), VPN gateway, IDS/IPS a někdy i web application firewall. Myšlenka je prostá: malá nebo střední firma nechce kupovat a spravovat pět samostatných bezpečnostních zařízení. UTM nabídne vše v jedné „krabičce" s jedním administrátorským rozhraním.
Výhoda je zřejmá — jednoduchost správy a nižší náklady. Nevýhoda: UTM je vždy kompromis. Každá součást je o něco méně výkonná a konfigurovatelná než specializované řešení. Pro firmu do 50 zaměstnanců je to většinou ideální volba. Pro enterprise s tisíci uživateli už ne.
Příklady UTM řešení: Fortinet FortiGate (nejrozšířenější), Sophos UTM/XG, pfSense s pluginy (Suricata, pfBlockerNG, Squid), a v určitém smyslu i MikroTik — i když MikroTik nemá nativní antivirus nebo IDS, nabízí firewall, VPN, QoS i content filtering v jednom.
Deep Packet Inspection — firewall, který čte obsah
Klasický stavový firewall se dívá na „obálku" paketu — IP adresy, porty, stav spojení. Deep Packet Inspection (DPI) jde dál a čte samotný obsah paketu. Nerozhoduje se jen podle toho, kam paket míří, ale podle toho, co přenáší.
DPI umožňuje rozpoznat konkrétní aplikace bez ohledu na port. Mnoho moderních aplikací totiž komunikuje přes port 443 (HTTPS) — Netflix, Spotify, Slack, torrenty i běžný web vypadají z pohledu klasického firewallu úplně stejně. DPI dovnitř nahlédne a rozliší je. Díky tomu lze ve firmě například povolit Slack, ale zakázat torrent klienty — i když oba běží na portu 443.
DPI se také používá pro detekci malwaru (firewall analyzuje přenášené soubory), vynucování firemních politik (blokování kategorií webů) a pro Quality of Service (prioritizace provozu na základě aplikace, nejen portu).
Kontroverze: bezpečnost versus soukromí
DPI je mocný nástroj, ale má i stinnou stránku. Aby firewall mohl číst obsah, musí ho vidět — a to je problém u šifrovaného provozu (HTTPS, který dnes tvoří přes 90 % webového provozu). Řešením je SSL/TLS inspection, o které si povíme za chvíli. Ale i bez rozbíjení šifrování dokáže DPI analyzovat metadata, vzory provozu a nešifrované části komunikace (SNI v TLS handshake, DNS dotazy).
V některých zemích se DPI používá pro státní cenzuru a sledování — přesně ten mechanismus, proti kterému bojují VPN s obfuskací (viz náš článek o VPN). DPI je tedy dvojsečný meč: v rukou zodpovědného IT oddělení chrání firemní síť, v rukou autoritářského režimu omezuje svobodu.
SSL/TLS inspection — firewall, který „rozbíjí" šifrování
Řekli jsme, že DPI má problém se šifrovaným provozem. SSL/TLS inspection je technika, která tento problém řeší — za cenu, kterou ne každý považuje za přijatelnou.
Jak to funguje
Princip je v podstatě řízený man-in-the-middle útok. Firewall se staví do pozice prostředníka: zachytí šifrované HTTPS spojení od klienta, rozšifruje ho pomocí vlastního certifikátu, analyzuje obsah (hledá malware, kontroluje firemní politiky), a pak data znovu zašifruje a pošle dál na cílový server. Aby to fungovalo, musí mít klientská zařízení nainstalovaný kořenový certifikát firewallu jako důvěryhodný — jinak by prohlížeč hlásil bezpečnostní varování.
Proč to firmy dělají
Důvod je prostý: pokud přes 90 % webového provozu je šifrované a firewall do něj nevidí, je de facto slepý. Malware se může skrývat v HTTPS stahování, citlivá firemní data mohou unikat přes šifrované kanály. SSL inspection vrací firewallu „zrak".
Právní a etické implikace
SSL inspection ve firemním prostředí je ve většině jurisdikcí legální, pokud jsou zaměstnanci informováni (typicky v interních IT směrnicích nebo pracovní smlouvě). Eticky je to citlivější — zaměstnanci by měli vědět, že jejich firemní provoz je monitorovaný. Technicky to také znamená, že IT oddělení může vidět obsah vaší komunikace — včetně přihlašovacích údajů na weby, které navštěvujete z firemního zařízení.
Firewall a VPN — jak spolu souvisí
Pokud jste četli náš článek o VPN, víte, že VPN vytváří šifrovaný tunel pro přístup k firemní síti nebo pro ochranu soukromí. Firewall a VPN nejsou konkurenční technologie — naopak, úzce spolupracují.
Typická firemní topologie vypadá takto: na hranici sítě stojí firewall, který filtruje veškerý příchozí a odchozí provoz. Na firewallu (nebo na dedikovaném zařízení těsně za ním) běží VPN gateway. Vzdálený zaměstnanec se připojí přes VPN tunel, který prochází firewallem, a firewall pak řídí, k čemu má zaměstnanec po VPN přístup — na základě jeho identity, skupinového členství nebo IP adresy přidělené VPN klientem.
Na MikroTiku se tato integrace řeší elegantně: VPN spojení (WireGuard, L2TP/IPsec nebo SSTP) vytvoří virtuální rozhraní, ze kterého se dá identifikovat provoz v firewall filter pravidlech podle zdrojového rozhraní (in-interface=wg0 pro WireGuard) nebo podle adresního rozsahu přiděleného VPN klientům.
Souvisí to i se split tunnelingem z pohledu firewallu. Pokud firma používá split tunneling (jen část provozu jde přes VPN), firewall na straně firmy filtruje pouze provoz, který VPN tunel přivede. Zbytek klientova provozu jde přímo do internetu bez firemní ochrany — to je potenciální riziko, které musí firemní bezpečnostní politika reflektovat.
Jak si vybrat firewallové řešení
Výběr závisí na velikosti sítě, rozpočtu a na tom, jakou úroveň ochrany potřebujete. Zde je orientační přehled:
| Prostředí | Doporučené řešení | Přibližná cena | Poznámky |
|---|---|---|---|
| Domácnost | Router s firewallem + vestavěný OS firewall | 0 Kč (součást routeru) | Pro většinu domácností dostačující. Důležité: změňte výchozí heslo routeru. |
| Malá firma (do 15 lidí) | MikroTik (hEX, hAP ax³) nebo pfSense/OPNsense na mini PC | 2 000 – 8 000 Kč | Výborný poměr cena/výkon. Vyžaduje znalosti pro konfiguraci nebo externího správce. |
| Střední firma (15–100 lidí) | Fortinet FortiGate, Sophos XGS, MikroTik vyšší řady | 15 000 – 80 000 Kč + roční licence | UTM/NGFW funkce, centrální správa, podpora. FortiGate je nejrozšířenější v ČR. |
| Velká firma / Enterprise | Palo Alto, Check Point, Cisco Firepower | 100 000+ Kč + roční licence | Plnohodnotné NGFW, pokročilá analytika, integrace se SIEM, dedikovaná podpora. |
Časté chyby a mýty
„Mám firewall, jsem v bezpečí." Firewall je nezbytný, ale sám o sobě nestačí. Neochrání vás před phishingovým e-mailem, slabým heslem, sociálním inženýrstvím ani před zaměstnancem, který vědomě vynáší data. Bezpečnost je vrstvená — firewall je jedna vrstva z mnoha.
„Firewall na routeru stačí." Ano, pro domácnost. Pro firmu ne. Firemní prostředí vyžaduje segmentaci, logování, pravidelné aktualizace pravidel a ideálně i IDS/IPS. Router s výchozím nastavením tohle neřeší.
Pravidla z roku 2015, kterým nikdo nerozumí. Jedno z nejčastějších rizik v reálných firemních sítích. Někdo před lety vytvořil sadu pravidel, od té doby přibývala nová a stará nikdo nemazal, protože „co když to rozbiju". Výsledek: stovky pravidel, z nichž polovina je redundantních a desetina potenciálně nebezpečná. Pravidelný audit firewallových pravidel (alespoň jednou ročně) je nutnost.
Zapomenutý port forwarding. „To jsem otevřel jen na chvíli pro testování." Klasika. Port forwarding obchází firewall pro daný port a směruje provoz přímo na interní zařízení. Pokud na něj zapomenete, máte díru do sítě. Řešení: pravidelně kontrolujte seznam port forwardingů, nepotřebné smažte a pro přístup zvenčí preferujte VPN.
„Stačí blokovat příchozí provoz." Ne. Filtrování odchozího provozu (egress filtering) je stejně důležité. Pokud malware na vašem počítači odesílá data na řídící server útočníka, bez egress filtrování si toho firewall nevšimne.
Shrnutí — firewall je základ, ne celá stavba
Firewall je jednou z nejstarších a nejdůležitějších bezpečnostních technologií v IT. Od jednoduchých paketových filtrů z 80. let se vyvinul v sofistikované systémy, které rozumějí aplikacím, detekují útoky a řídí provoz na základě identity uživatele.
Pro domácnost stačí základní firewall na routeru a v operačním systému. Pro firmu je to komplexnější — potřebujete segmentaci sítě, promyšlená pravidla, logování, pravidelný audit a ideálně vícevrstvou ochranu. Nástroje jako MikroTik s jeho connection trackingem a mangle tabulkou nabízejí pokročilé možnosti za rozumnou cenu. Pro větší organizace jsou tu NGFW řešení od Fortinetu, Palo Alto nebo Check Pointu.
Klíčové poselství je ale vždy stejné: firewall je nezbytný základ, ale jen základ. Je to první linie obrany — ne jediná. Bez aktualizovaného softwaru, silných hesel, vícefaktorové autentizace, záloh a proškolených uživatelů vám ani ten nejdražší firewall nezajistí bezpečnost. Bezpečnost není produkt, který si koupíte. Je to proces, který nikdy nekončí.