Skąd wzięły się firewalle?

Przez
Emilia Ostrowski
-
0
14
5/5 - (1 vote)

Nawigacja:

Ściana ognia przed komputerami – skąd wzięła się sama idea „firewalla”

Inżynierskie korzenie pojęcia „firewall”

Termin firewall nie powstał w informatyce. Zanim trafił do świata sieci komputerowych, funkcjonował w budownictwie i inżynierii przeciwpożarowej. Firewall oznaczał dosłownie ścianę przeciwpożarową – element konstrukcyjny budynku, który ma powstrzymać rozprzestrzenianie się ognia z jednej części obiektu do drugiej. Taka ściana jest wykonana z materiałów ognioodpornych, sięga od fundamentu po dach i ma wytrzymać ogień wystarczająco długo, by uratować pozostałą część budynku.

Idea jest prosta: zakłada się, że pożary się zdarzają, więc zamiast wierzyć, że „u nas się nie zapali”, projektuje się barierę między strefą zagrożoną a strefą chronioną. Firewall budowlany nie usuwa źródła zagrożenia, ale ogranicza jego skutki i zasięg. Ta logika idealnie pasowała do problemów, które w latach 80. zaczęły pojawiać się w sieciach komputerowych – tam też potrzebna była bariera.

Przeniesienie metafory na sieci komputerowe

Gdy w środowiskach akademickich i inżynierskich pojawiły się pierwsze koncepcje separacji sieci wewnętrznych od zewnętrznych, szukano zrozumiałej metafory. Inżynierowie sieciowi i administratorzy mieli doświadczenie z klasyczną infrastrukturą budowlaną i elektryczną, więc termin „firewall” został zapożyczony niemal naturalnie: sieć wewnętrzna jako część budynku, Internet jako strefa potencjalnego pożaru, a urządzenie filtrujące ruch jako ściana, która ma ten „pożar” zatrzymać.

Metafora jest trafna w kilku wymiarach:

  • sieć zewnętrzna (Internet) jest źródłem nieprzewidywalnych zagrożeń;
  • sieć wewnętrzna (firmowa, uczelniana) to część, którą trzeba szczególnie chronić;
  • firewall stoi na styku tych dwóch światów, przepuszcza „bezpieczny ruch”, blokuje lub ogranicza „ogień” – ruch podejrzany.

W literaturze technicznej z końca lat 80. i początku 90. zaczęły pojawiać się określenia typu „network firewall”, „Internet firewall” czy „firewall gateway”. Wszystkie odnosiły się do tej samej idei: kontrolowana brama między zaufaną i niezaufaną siecią.

Od zamków i drzwi do stref buforowych i DMZ

Zanim termin „firewall” się utrwalił, używano innych analogii fizycznego bezpieczeństwa. Porównywano sieć do budynku, w którym są:

  • drzwi i zamki – loginy i hasła, systemy kontroli dostępu do serwerów;
  • korytarze i pokoje – segmenty sieci, oddzielone routerami lub mostami;
  • portiernie i recepcje – serwery brzegowe, przez które przechodzi zewnętrzny ruch.

Z tych analogii naturalnie narodziła się koncepcja stref buforowych. W budownictwie takim buforem bywa klatka schodowa oddzielona drzwiami przeciwpożarowymi. W sieciach rolę bufora zaczęła pełnić DMZ (Demilitarized Zone) – wydzielony segment, w którym umieszczano serwery wystawione do Internetu (np. serwer WWW, poczty, DNS). DMZ miała być strefą, którą można „poświęcić”, jeśli zostanie skompromitowana, bez bezpośredniego wejścia do sieci wewnętrznej.

Firewall stał się więc elementem architektury, a nie pojedynczym gadżetem bezpieczeństwa. Miał organizować ruch między strefami: Internetem, DMZ i siecią wewnętrzną. Ta koncepcja od samego początku prowadziła do myślenia o bezpieczeństwie w kategoriach projektowania całości topologii sieci, a nie tylko ustawiania kilku reguł blokujących porty.

Zmiana sposobu myślenia: od ochrony hosta do ochrony sieci

We wczesnych czasach sieci, bezpieczeństwo rozumiano głównie jako problem pojedynczych komputerów. Ochrona polegała na:

  • nadawaniu uprawnień użytkownikom w systemie operacyjnym,
  • blokowaniu fizycznego dostępu do terminali,
  • pilnowaniu haseł i kont.

Sieć miała pełnić funkcję „przedłużenia kabli” – ma po prostu przesyłać dane. Dopiero pojawienie się terminu „firewall” odzwierciedliło dojrzewanie innej perspektywy: sieć jako całość jest obiektem, który trzeba chronić. Nie chodzi już tylko o to, by ktoś nie wszedł na konkretny serwer, ale by cała wewnętrzna infrastruktura była odgrodzona od świata zewnętrznego.

To przesunięcie akcentu miało kolosalne konsekwencje. Zaczęły powstawać polityki bezpieczeństwa formułowane w kategoriach: co wolno do sieci wchodzić, a co wychodzić. Pojawiło się rozróżnienie na sieci „zaufane” i „niezaufane”, a firewall – rozumiany już nie metaforycznie, lecz jako konkretne urządzenie lub oprogramowanie – stał się kluczowym elementem strategii bezpieczeństwa sieciowego.

Specjalista cyberbezpieczeństwa analizuje kod na kilku monitorach
Źródło: Pexels | Autor: Mikhail Nilov

Świat przed firewallami – jak wyglądały sieci w latach 70. i na początku 80.

ARPANET – sieć zbudowana na zaufaniu

W latach 70. głównym polem eksperymentów nad sieciami był ARPANET – prekursor dzisiejszego Internetu. Łączył uczelnie, laboratoria i instytuty badawcze finansowane przez agencję DARPA. Kluczowa cecha: wszyscy uczestnicy byli w jakiś sposób „znani”. sieć nie była otwarta dla przypadkowych użytkowników z ulicy. Model bezpieczeństwa opierał się na założeniu, że uczestnicy są w dużej mierze godni zaufania, a ich celem jest współpraca naukowa, nie sabotaż.

W takiej rzeczywistości nie istniała koncepcja złośliwego ruchu sieciowego jako powszechnego zjawiska. Problemy techniczne dotyczyły głównie niezawodności, przepustowości i spójności protokołów, nie ataków. Oczywiście zdarzały się incydenty (np. nieautoryzowany dostęp), ale miały raczej charakter eksperymentów lub „psikusa” niż zorganizowanej przestępczości.

Brak segmentacji i filtracji: jedna wielka współdzielona przestrzeń

Sieci lokalne i rozległe w tamtym okresie przypominały duże wspólne pomieszczenie, do którego każdy miał w zasadzie taki sam dostęp. Segmentacja logiczna i filtrowanie ruchu były minimalne albo w ogóle ich nie stosowano. Mechanizmy takie jak VLAN-y, złożone listy ACL czy strefy ochronne jeszcze nie istniały, a routery pełniły przede wszystkim funkcję przekazania pakietu dalej, bez zbyt wielu pytań o sens tego ruchu.

Oznaczało to, że jeśli ktoś uzyskał dostęp do sieci (np. fizycznie podłączając się do kabla), mógł – przy odpowiedniej wiedzy – skanować inne hosty, podsłuchiwać transmisje i wykonywać wiele operacji, które dzisiaj uznalibyśmy za poważne naruszenia bezpieczeństwa. Tyle że nie istniały jeszcze popularne narzędzia do automatyzacji takich działań, a liczba potencjalnych „atakujących” była niewielka.

Bezpieczeństwo jako kontrola dostępu do systemów, nie do sieci

Dominującym paradygmatem były systemy time-sharing – wielodostępne komputery, na których pracowało równolegle wielu użytkowników. Bezpieczeństwo realizowano głównie na poziomie:

  • systemu operacyjnego (kontrola dostępu do plików i procesów),
  • mechanizmów logowania (kontrola kont użytkowników),
  • fizycznego dostępu do terminali (kto może się podłączyć do komputera centralnego).

Sieć była traktowana jako przedłużenie terminala. Jeżeli użytkownik dostał się do systemu (lokalnie lub zdalnie), cała reszta zależała od uprawnień systemowych. Brakowało koncepcji weryfikowania czy dany strumień danych „powinien” przechodzić przez daną granicę sieciową – po prostu, jeśli urządzenia były połączone, ruch płynął.

Dlaczego tamten model przestał wystarczać

Kiedy sieci zaczęły się rozszerzać poza wąskie grono instytucji badawczych, model „wszyscy się mniej więcej znają” przestał działać. Do gry weszły:

  • nowe organizacje, których intencje nie były jasne,
  • studenci i hobbyści, często bardziej zainteresowani „hackowaniem” niż badaniami,
  • pierwsze eksperymenty z komercyjnym wykorzystaniem sieci.

Sieci zaczęły się łączyć, granice organizacyjne się rozmywały, a zaufanie „z automatu” przestało mieć sens. Jednak dopóki nie nastąpiło kilka spektakularnych incydentów, niewielu administratorów było gotowych na rewolucję w podejściu do bezpieczeństwa sieciowego. Ten impuls przyszedł pod koniec lat 80.

Pierwsze realne zagrożenia – robak Morrisa i przebudzenie środowiska akademickiego

Incydent z robakiem Morrisa z 1988 roku

W listopadzie 1988 roku Robert Tappan Morris wypuścił w sieci robaka internetowego, który przeszedł do historii jako Morris worm. Zaprojektowany pierwotnie jako eksperyment miał zbadać rozmiar Internetu. Ze względu na błędy w kodzie robak rozprzestrzeniał się jednak znacznie szybciej, niż zakładał autor, infekując tysiące systemów UNIX podłączonych do ówczesnego Internetu.

Robak wykorzystywał kilka luk, m.in. w usłudze finger i w mechanizmie zdalnego wykonania poleceń rexec. Ważny element: rozprzestrzeniał się automatycznie, bez bezpośredniego udziału człowieka przy każdej infekcji. Dla wielu administratorów, przyzwyczajonych do incydentów sporadycznych i lokalnych, był to szok. Sieć, która miała służyć do współpracy, nagle stała się kanałem szybkiego, niekontrolowanego ataku.

Dlaczego robak Morrisa podważył „zaufany” model sieci

Robak Morrisa obnażył kilka złudzeń, na których opierał się dotychczasowy model bezpieczeństwa:

  • Złudzenie kontroli fizycznej – wielu administratorów wierzyło, że skoro terminale i serwery są w budynkach uczelni/laboratoriów, kontrola fizyczna wystarczy. Okazało się, że atak może nadejść zdalnie, z innej części kraju.
  • Złudzenie zaufanej społeczności – Internet nie był już tylko zamkniętym klubem naukowców. W sieci pojawili się ludzie o innych motywacjach, a sama sieć zaczęła być zbyt duża, by „znać wszystkich uczestników”.
  • Złudzenie izolacji systemów – pojedyncza luka w jednej usłudze (finger, sendmail) wystarczyła, by masowo kompromitować hosty w całej sieci.

Dla wielu osób z tamtego okresu incydent z 1988 roku jest symbolicznym momentem, w którym świadomość bezpieczeństwa sieciowego zmieniła się z ciekawostki w poważną dyscyplinę. Zaczęto rozmawiać nie tylko o łataniu poszczególnych usług, ale o potrzebie oddzielenia sieci wewnętrznych od reszty Internetu.

Pierwsze rozmowy o izolowaniu sieci wewnętrznych od Internetu

W wyniku robaka Morrisa i kilku innych incydentów, w środowiskach administrujących dużymi sieciami zaczęły pojawiać się praktyczne pytania:

  • Czy wszystkie hosty powinny być widoczne z zewnątrz?
  • Czy każda usługa musi nasłuchiwać na publicznym interfejsie?
  • Czy można wprowadzić centralny punkt kontroli ruchu między siecią wewnętrzną a resztą świata?

Początkowo odpowiedzi szukano w prostych środkach: ograniczaniu usług, wyłączaniu niepotrzebnych demonów, zaostrzaniu konfiguracji serwerów. Szybko jednak stało się jasne, że to za mało. Pojawiła się idea, by ruch wychodzący i przychodzący był przeprowadzany przez bramę pośredniczącą, która mogłaby wprowadzać zasady filtracji.

Logowanie połączeń i filtrowanie – pierwsza linia obrony

Jednym z bezpośrednich efektów incydentu z robakiem Morrisa było silniejsze zainteresowanie rejestrowaniem zdarzeń sieciowych. Administratorzy chcieli wiedzieć:

  • skąd pochodził ruch,
  • jakie usługi były wykorzystywane,
  • jak często i kiedy dochodziło do prób połączeń.

To właśnie potrzeba obserwowania i kontrolowania przepływu ruchu stworzyła podglebie pod koncepcję firewalla. Jeżeli można ruch rejestrować, to można go też blokować – a skoro można blokować na poszczególnych hostach, to czemu nie na poziomie granicy sieci?

W kolejnych latach wiele uczelni i organizacji zaczęło wprowadzać do routerów proste zasady filtracji, co stanowiło pierwszy krok w kierunku tego, co dziś nazywamy firewallem.

Mężczyzna w czarnej bluzie analizuje bezpieczeństwo sieci na kilku monitorach
Źródło: Pexels | Autor: Tima Miroshnichenko

Narodziny filtrowania pakietów – od routerów do pierwszych „firewalli”

Czym jest pakiet IP i co znaczy filtrowanie pakietów

Struktura pakietu i punkt zaczepienia dla kontroli

Pakiet IP to najmniejsza jednostka danych routowana w sieci. Z punktu widzenia filtrowania najważniejsze są pola nagłówka:

  • adres źródłowy (skąd pochodzi ruch),
  • adres docelowy (do kogo ma trafić),
  • protokół (TCP, UDP, ICMP itd.),
  • port źródłowy i docelowy (dla TCP/UDP – konkretna usługa, np. 80 dla HTTP),
  • flagi TCP (SYN, ACK, FIN itp.), które mówią, na jakim etapie jest połączenie.

Filtrowanie pakietów (packet filtering) polega na podejmowaniu decyzji o przepuszczeniu lub zablokowaniu pakietu na podstawie tych pól. Pierwsze implementacje robiły to na poziomie routerów – urządzeń, które i tak widziały każdy przechodzący pakiet.

Listy kontroli dostępu (ACL) – pierwsze „mikro-reguły”

Producenci routerów, tacy jak Cisco, zaczęli dodawać do swoich systemów operacyjnych Access Control Lists (ACL). Były to zbiory reguł, które administrator mógł powiązać z konkretnym interfejsem sieciowym.

Typowa reguła ACL określała:

  • kierunek ruchu (inbound lub outbound),
  • adres źródłowy/źródłowe podsieci,
  • adres docelowy/docelowe podsieci,
  • protokół i port,
  • akcję: permit (zezwól) albo deny (blokuj).

Na przykład: „zezwól na TCP z naszej sieci wewnętrznej do Internetu na port 80 i 443, zablokuj wszystko inne”. Takie proste reguły były pierwszą namiastką tego, co później nazwano polityką bezpieczeństwa sieciowego.

Router z ACL jako prymitywny firewall

Kiedy zaczęto łączyć sieci uczelniane i korporacyjne z Internetem, naturalnym miejscem do wprowadzenia kontroli stał się router brzegowy. Skoro i tak przekazywał pakiety między „światem wewnętrznym” a „zewnętrznym”, dodanie do niego ACL wydawało się logicznym krokiem.

Taki router realizował kilka podstawowych funkcji, które dziś kojarzą się z firewallem:

  • blokował niechciany ruch przychodzący (np. bezpośrednie połączenia na porty administracyjne serwerów),
  • ograniczał, które podsieci mogą wychodzić do Internetu,
  • czasem „ukrywał” część adresów wewnętrznych, np. nie reklamując ich tras na zewnątrz.

Jeszcze nikt nie mówił o „firewallu” jako osobnej klasie urządzeń. To był po prostu „bardziej inteligentny router”. Dopiero rosnąca złożoność reguł i problemy z ich utrzymaniem pokazały, że potrzeba dedykowanego rozwiązania.

Ograniczenia czystego filtrowania pakietów

Statyczne ACL szybko pokazały swoje słabości. Kilka z nich jest do dziś dobrą lekcją projektowania systemów bezpieczeństwa:

  • Brak kontekstu połączenia – router widział pojedynczy pakiet, nie całe połączenie. Trudno było odróżnić legalną odpowiedź na połączenie wychodzące od niezwiązanego pakietu przychodzącego na ten sam port.
  • Skomplikowane reguły – w większych sieciach listy ACL liczyły dziesiątki, setki wpisów. Utrzymanie ich w ryzach było męczarnią, a błędna kolejność reguł potrafiła otworzyć niechcący poważną lukę.
  • Brak świadomości warstw wyższych – router mógł patrzeć na port 80, ale nie wiedział, czy w środku jest zwykłe HTTP, tunel SSH czy coś zupełnie innego.

Efekt był taki, że routery z ACL pełniły rolę pierwszego filtra, ale same nie mogły stać się kompletnym rozwiązaniem bezpieczeństwa. To otworzyło drogę do myślenia o firewallu jako o osobnym komponencie, a nie dodatku do rutingu.

Pierwsze generacje firewalli – od prostych filtrów do firewalli stanowych

„Pudełko z regułami” – wyodrębnienie firewalla jako urządzenia

Na początku lat 90. zaczęły pojawiać się dedykowane systemy, których głównym zadaniem było filtrowanie ruchu sieciowego. Technicznie często były to po prostu serwery UNIX z kilkoma interfejsami sieciowymi i oprogramowaniem do filtrowania pakietów, ale ważne było co innego: zmiana paradygmatu.

Firewall stał się:

  • centralnym punktem egzekwowania polityki (single enforcement point),
  • miejscem logowania – to na nim zbierały się informacje o próbach połączeń i blokadach,
  • barierą między strefami – Internetem, DMZ (wydzieloną strefą serwerów publicznych) i siecią wewnętrzną.

Uwaga: wiele wczesnych „komercyjnych firewalli” było w praktyce zbiorem skryptów i reguł ipfw/ipfilter czy innych mechanizmów jądra, ale sprzedawano je jako gotowe appliance’y z interfejsem do zarządzania.

Firewalle pierwszej generacji – proste filtrujące bramy

Pierwsza generacja firewalli opierała się w dużej mierze na statycznym filtrowaniu pakietów. Ich rola sprowadzała się do wdrożenia jasnej, twardej polityki typu:

  • „z zewnątrz nic nie wchodzi, oprócz ruchu do naszych serwerów WWW i poczty”,
  • „od nas na zewnątrz wychodzi tylko HTTP, HTTPS, DNS i SMTP”.

Administratorzy definiowali reguły oparte na adresach IP i portach, często grupowali je w sekcje odpowiadające konkretnym strefom sieci. Firewall stał się miejscem, w którym po raz pierwszy spisano formalnie, co jest dozwolone, a co nie w ruchu sieciowym.

Problem „połączeń zwrotnych” i NAT jako dodatkowa bariera

Jednym z praktycznych problemów było odróżnianie odpowiedzi na połączenia wychodzące od zupełnie nowych prób połączeń z zewnątrz. Statyczne ACL radziły sobie z tym kiepsko, więc zaczęto stosować kilka trików:

  • NAT (Network Address Translation) – tłumaczenie adresów wewnętrznych na jeden lub kilka adresów publicznych. Z zewnątrz pełno było tylko połączeń inicjowanych z wewnątrz, co już samo w sobie zawężało powierzchnię ataku.
  • Porty efemeryczne – firewall zezwalał na ruch przychodzący tylko na odpowiedź do losowych portów przydzielonych dla sesji wychodzącej, co komplikowało próby ataku „na ślepo”.

NAT nie był pierwotnie wymyślony jako funkcja bezpieczeństwa (bardziej jako sposób oszczędzania adresów IPv4), ale w praktyce stał się dodatkową warstwą obrony. Atakujący nie widział bezpośrednio adresów urządzeń wewnętrznych, tylko brzegowy adres firewalla/routera.

Narodziny filtrowania stanowego (stateful inspection)

Kolejny krok to wprowadzenie stanowości. Zamiast traktować każdy pakiet osobno, firewall zaczął utrzymywać tabelę aktywnych połączeń (state table). Dla każdej sesji TCP (a później także dla UDP) zapisywano m.in.:

  • adres źródłowy i docelowy,
  • port źródłowy i docelowy,
  • flagi TCP i bieżący stan połączenia (SYN_SENT, ESTABLISHED, FIN_WAIT itd.),
  • czas ostatniej aktywności.

Firewall stanowy (stateful firewall) mógł dzięki temu:

  • akceptować tylko pakiety pasujące do istniejącej sesji lub inicjujące nową w dozwolonym kierunku,
  • ignorować „osierocone” pakiety, które nie pasowały do żadnego znanego połączenia,
  • lepiej radzić sobie z dynamicznymi protokołami (np. FTP), które negocjowały dodatkowe połączenia na innych portach.

To była jakościowa zmiana: firewall przestał być tylko „tablicą filtrów”, a zaczął rozumieć przebieg konwersacji na poziomie protokołu transportowego.

Przewagi firewalli stanowych nad czystymi filtrami

Dla administratorów różnica była od razu odczuwalna. Kilka praktycznych korzyści:

  • prostszym stało się definiowanie polityki – zamiast otwierać losowe zakresy portów dla odpowiedzi, można było po prostu napisać „hosty wewnętrzne mogą inicjować połączenia HTTP na zewnątrz”, a odpowiedzi były automatycznie obsługiwane.
  • lepsza ochrona przed skanowaniem – pakiety przychodzące, które nie pasowały do żadnej sesji, były od razu odrzucane, często bez generowania odpowiedzi (tzw. stealth mode).
  • łatwiejsza analiza zdarzeń – logi można było korelować na poziomie połączeń, a nie pojedynczych pakietów.

Tip: do dziś wiele problemów z konfiguracją firewalli wynika z niezrozumienia, jak dokładnie działa tabela stanów – ile czasu przetrzymuje wpisy, co się dzieje przy nieoczekiwanym restarcie urządzenia, jak reaguje na asymetryczny routing.

Programista piszący kod związany z cyberbezpieczeństwem na laptopie
Źródło: Pexels | Autor: cottonbro studio

Narodziny firewalli aplikacyjnych i proxy – kiedy pakiety przestały wystarczać

Dlaczego ochrona na poziomie IP/TCP okazała się niewystarczająca

Wraz z popularyzacją usług takich jak HTTP, SMTP czy FTP szybko wyszło na jaw, że atak można „upchnąć” w legalnie wyglądającym połączeniu. Jeśli firewall patrzył wyłącznie na porty i flagi TCP, nie był w stanie:

  • wykryć, że w ruchu HTTP przesyłane są złośliwe polecenia (np. próby SQL injection),
  • ograniczyć komend protokołu (np. zezwolić w FTP tylko na odczyt),
  • wymusić uwierzytelnienia użytkownika na poziomie aplikacji.

Sieć wyglądała pozornie „czysto” – wszystkie pakiety były poprawne z perspektywy IP i TCP – ale aplikacje po drugiej stronie przyjmowały destrukcyjne ładunki.

Application-level gateway – firewall, który „rozumie” protokół

Odpowiedzią była koncepcja bramy na poziomie aplikacji (application-level gateway). Zamiast przepuszczać pakiety „w ciemno” do serwera docelowego, ruch dla danego protokołu był terminowany na firewallu, który:

  • implementował własny stos protokołu (np. HTTP, FTP, SMTP),
  • analizował i filtrował komendy (np. blokował nietypowe nagłówki lub podejrzane sekwencje w URL),
  • otwierał osobne połączenie od siebie do serwera docelowego dopiero po pozytywnej weryfikacji ruchu.

W praktyce oznaczało to, że z punktu widzenia klienta firewall zachowywał się jak serwer, a z punktu widzenia serwera – jak klient. Naturalnym rozszerzeniem tej idei stały się serwery proxy.

Proxy jako narzędzie bezpieczeństwa i kontroli

Proxy HTTP w latach 90. kojarzyło się głównie z buforowaniem (cache) i oszczędzaniem łącza. Bardzo szybko dodano jednak funkcje bezpieczeństwa:

  • autoryzację użytkowników (kto może wychodzić do Internetu),
  • filtrowanie URL (blokowanie wybranych kategorii stron),
  • inspekcję treści (skanowanie załączników, blokowanie określonych typów plików).

Proxy stało się firewallem aplikacyjnym dla HTTP. Podobne podejście stosowano dla FTP, poczty (SMTP proxy) czy nawet protokołów specyficznych dla konkretnych aplikacji korporacyjnych.

Przykład z praktyki: w wielu firmach ruch WWW z sieci pracowniczej do Internetu nie przechodził bezpośrednio przez firewall stanowy, lecz najpierw przez proxy, które wymuszało logowanie użytkownika i rejestrowało historię odwiedzanych stron.

Filtracja na poziomie komend i semantyki

Różnica między klasycznym firewallem stanowym a aplikacyjnym jest subtelna, ale istotna. Ten drugi pozwalał formułować zasady na poziomie znaczenia poleceń, a nie tylko portów.

Dla FTP można było np. ustalić:

  • zezwól na polecenia LIST i RETR (odczyt),
  • zablokuj STOR, DELE (zapis i kasowanie).

Dla SMTP:

  • blokuj wysyłkę maili z domen nadawcy, która nie jest zarządzana przez firmę,
  • sprawdzaj poprawność poleceń MAIL FROM, RCPT TO.

Ograniczenia i koszty podejścia proxy

Firewalle aplikacyjne i proxy dawały dużo większą kontrolę, ale niosły ze sobą też szereg problemów praktycznych. Najczęściej pojawiały się trzy kategorie kłopotów:

  • wydajność – każda sesja była terminowana, analizowana na poziomie treści i zestawiana ponownie. Przy większej liczbie użytkowników oznaczało to konieczność stosowania mocnych serwerów lub klastrów proxy,
  • złożoność konfiguracji – zamiast kilku reguł typu „host A może łączyć się na port 80”, trzeba było utrzymywać polityki per protokół, czasem per aplikacja (np. inne zasady dla przeglądarki, inne dla klienta aktualizacji),
  • problemy z nietypowymi aplikacjami – niestandardowe implementacje protokołów HTTP/FTP, różne „tunele w HTTPS” (np. własne API) potrafiły łamać się na zbyt restrykcyjnych lub zbyt „ortodoksyjnych” parserach po stronie proxy.

Dodaj do tego kwestie UX: użytkownicy musieli konfigurować w przeglądarkach ustawienia proxy albo polegać na automatycznej dystrybucji plików PAC (Proxy Auto-Config). Każda zmiana adresu czy wersji proxy oznaczała serię zgłoszeń do helpdesku.

Połączenie warstw – firewalle hybrydowe

Naturalną ewolucją był model hybrydowy: firewall stanowy z modułami inspekcji aplikacyjnej. Zamiast stawiać oddzielne urządzenie-proxy, producenci zaczęli dodawać do swoich firewalli:

  • ALG (Application Layer Gateway) – niewielkie moduły rozumiejące konkretne protokoły (SIP, FTP, H.323, DNS),
  • filtry treści – skanery antywirusowe, antyspam, moduły DLP (Data Loss Prevention),
  • proste proxy transparentne – użytkownik nic nie konfiguruje, ruch HTTP/HTTPS jest przechwytywany i analizowany „po drodze”.

Ruch nadal przechodził przez klasyczną ścieżkę: filtrowanie pakietów → inspekcja stanowa → dopiero potem logika aplikacyjna. Dawało to kompromis między wydajnością a głębokością analizy.

Lata 90. – eksplozja Internetu i komercjalizacja firewalli

Od narzędzia akademickiego do produktu „z pudełka”

Gdy Internet wyszedł poza środowisko naukowe i wojskowe, firewalle przestały być niszowym wynalazkiem kilku zespołów z uczelni i laboratoriów. Firmy, które chciały korzystać z HTTP, poczty czy wczesnych VPN-ów, potrzebowały prostego sposobu na:

  • oddzielenie sieci biurowej od „dzikiego” Internetu,
  • kontrolę, które usługi są wystawione na zewnątrz,
  • logowanie i rozliczanie dostępu pracowników do zasobów zewnętrznych.

Na rynku pojawiły się pierwsze komercyjne produkty firewallowe, często jako dedykowane appliance’y (sprzęt + system + oprogramowanie firewall w jednym). Dla biznesu była to wygodna opcja: zakup urządzenia, krótkie wdrożenie, gotowe polityki „domyślne” i support producenta.

Standaryzacja pojęć i modeli wdrożeń

Lata 90. to także czas, w którym ujednolicił się język, jakim opisywano architekturę bezpieczeństwa sieci. Pojęcia takie jak:

  • DMZ (Demilitarized Zone) – wydzielona strefa dla serwerów dostępnych z Internetu,
  • strefa zaufana / niezaufana – wewnętrzna sieć firmowa vs. Internet,
  • screened subnet – podsieć „screenowana” przez dwa firewalle lub firewall i router filtrujący,

trafiły do dokumentacji vendorów, podręczników i standardów branżowych. Firewalle stały się centralnym elementem tych modeli – punktem, w którym zderzały się polityki bezpieczeństwa, wymagania biznesowe i ograniczenia technologiczne.

Firewalle jako „brama do Internetu” w korporacjach

W typowej organizacji z końca lat 90. architektura wyglądała podobnie:

  • na brzegu stał router operatora,
  • za nim firewall główny, często w trybie zapasowym (active/standby),
  • w DMZ: serwery WWW, poczty, czasem DNS i serwery aplikacyjne,
  • dalej – sieć wewnętrzna podzielona na VLAN-y lub podsieci funkcjonalne.

Wszelki ruch między siecią wewnętrzną a Internetem musiał przejść przez ten firewall. To tam decydowano, które porty są otwarte, kto może inicjować połączenia na zewnątrz, jak wygląda NAT i jak rozplanowane są publiczne adresy IP.

Praktyczny efekt: firewall stał się nie tylko elementem bezpieczeństwa, ale też newralgicznym punktem infrastruktury. Awaria lub błędna reguła mogła sparaliżować całe przedsiębiorstwo.

Rozkwit funkcji dodatkowych – VPN, IPSec, filtry treści

Gdy podstawowa rola „blokowania i przepuszczania” ruchu została opanowana, producenci zaczęli do firewalli dokładkać kolejne moduły. Najważniejsze z nich to:

  • VPN (Virtual Private Network) – tunelowanie ruchu pomiędzy oddziałami firmy lub pracownikami zdalnymi a centralą. Firewalle zaczęły terminować tunele IPSec i L2TP, szyfrując całe sesje między brzegowymi urządzeniami,
  • filtry treści WWW – listy kategorii stron (pornografia, hazard, media społecznościowe) podciągnięte pod politykę HR i compliance,
  • integracja z katalogami (LDAP/Active Directory) – reguły firewallowe oparte na tożsamości użytkownika, a nie tylko na adresie IP.

W praktyce firewall stał się centralnym punktem integracji między siecią, bezpieczeństwem i administracją systemową. Przez jedno urządzenie przechodził ruch VPN, polityka dostępu do Internetu i rozgraniczenie stref sieci.

Segmentacja wewnętrzna – firewalle nie tylko na brzegu

W miarę jak świadomość zagrożeń rosła, przestało wystarczać proste założenie „mur na brzegu, w środku zaufanie”. Pojawił się trend stawiania firewalli:

  • pomiędzy siecią użytkowników a siecią serwerową,
  • pomiędzy różnymi strefami serwerów (np. bazy danych odseparowane od serwerów WWW),
  • na granicy stref partnerów / dostawców podłączonych przez MPLS lub VPN.

Takie podejście zwiększało złożoność, ale ograniczało skutki pojedynczego incydentu. Zainfekowana stacja robocza w dziale marketingu nie mogła „ot tak” połączyć się z serwerami księgowości czy z systemami produkcyjnymi.

Różnicowanie produktów: od SOHO do „carrier grade”

Komercjalizacja oznaczała też segmentację rynku. Firewalle zaczęły być sprzedawane w kilku klasach:

  • SOHO (Small Office/Home Office) – małe routery z prostym NAT-em, kilkoma podstawowymi regułami i webowym interfejsem,
  • Mid-range / enterprise – urządzenia dla średnich i dużych firm, z rozbudowaną polityką, redundancją, obsługą VPN-ów site-to-site i klient-serwer,
  • carrier grade – rozwiązania dla operatorów, zdolne filtrować ruch na łączach wielogigabitowych, często z funkcjami QoS i obsługą tysięcy VLAN-ów.

Co istotne, różnica między „domowym routerem z firewallem” a prawdziwym firewallem klasy enterprise była (i nadal jest) kolosalna – zarówno pod względem wydajności, jak i głębokości kontroli, logowania czy integracji z otoczeniem.

Standaryzacja praktyk i audytów bezpieczeństwa

Gdy firewalle stały się elementem obowiązkowym w sieciach firmowych, audytorzy i standardy (np. w branży finansowej, telekomunikacyjnej) zaczęli wymagać konkretnych praktyk wdrożeniowych. W dokumentach typu security policy i baseline pojawiały się zapisy wprost odnoszące się do konfiguracji firewalli:

  • zasada default deny – domyślnie wszystko zablokowane, otwierane tylko jasno wskazane usługi,
  • rozdzielenie stref – odrębne reguły dla ruchu z Internetu do DMZ, z DMZ do sieci wewnętrznej i wewnątrz samej sieci firmowej,
  • regularne przeglądy reguł – usuwanie starych, nieużywanych wyjątków, które po latach stawały się „tylnymi drzwiami”.

Dla administratorów oznaczało to, że firewall przestał być wyłącznie narzędziem technicznym; stał się też elementem dokumentacji zgodności (compliance) i materiałem do raportowania na poziomie zarządu.

Ewoluująca rola firewalli w obliczu nowych typów ataków

Pod koniec lat 90. i na początku 2000. typowe zagrożenia – robaki masowo skanujące Internet, pierwsze większe DDoS-y, ataki na aplikacje webowe – pokazały słabości klasycznego podejścia opartego wyłącznie na filtracji pakietów i prostych regułach. Wymusiło to kilka zmian w projektowaniu i używaniu firewalli:

  • większa granularność reguł – zamiast „otwórz TCP 80 z Internetu do serwera WWW”, zaczęto rozbijać zasady wg źródła, stref i typów użytkowników,
  • łączenie z IDS/IPS – systemy wykrywania i zapobiegania włamaniom integrowano z firewallami, aby reagowały automatycznie na wykryte skany lub exploity,
  • świadomość kontekstu aplikacyjnego – nawet jeśli urządzenie było formalnie „firewallem sieciowym”, musiało przynajmniej rozumieć podstawowe schematy ataków HTTP, SMTP czy DNS.

To wszystko doprowadziło do narodzin późniejszych koncepcji, takich jak UTM (Unified Threat Management) i NGFW (Next-Generation Firewall), w których kilka warstw ochrony łączy się w jednym punkcie sieci. Fundament jednak pozostał ten sam, co w latach 80.: między zaufaną a niezaufaną strefą stoi urządzenie, które kontroluje, jakie informacje mogą przepłynąć na którą stronę.

Najczęściej zadawane pytania (FAQ)

Skąd wzięło się pojęcie „firewall” i co pierwotnie oznaczało?

Termin „firewall” pochodzi z budownictwa i inżynierii przeciwpożarowej. Oznaczał ścianę przeciwpożarową – konstrukcję wykonaną z materiałów ognioodpornych, która oddziela jedną część budynku od drugiej, żeby ogień nie mógł się swobodnie rozprzestrzeniać.

Taka ściana nie gasi pożaru u źródła, tylko ogranicza jego skutki i kupuje czas na reakcję. Ta sama logika została później przeniesiona na sieci komputerowe: firewall nie usuwa wszystkich zagrożeń, ale ma zatrzymać „ogień” (złośliwy ruch) na granicy sieci.

Dlaczego w informatyce zaczęto używać nazwy „firewall”?

Gdy sieci komputerowe zaczęły łączyć środowiska uczelniane, firmowe i publiczne, pojawiła się potrzeba wyraźnego oddzielania „wnętrza” (sieci zaufanej) od „zewnętrza” (Internetu). Inżynierowie, którzy znali pojęcie ściany przeciwpożarowej, uznali tę metaforę za bardzo trafną: firewall stoi dokładnie na styku dwóch światów i decyduje, co może przejść, a co ma zostać zablokowane.

Stąd w literaturze technicznej końca lat 80. i początku 90. pojawiły się określenia takie jak „network firewall”, „Internet firewall” czy „firewall gateway”, opisujące bramę filtrującą między siecią zaufaną i niezaufaną.

Jak wyglądały sieci komputerowe przed pojawieniem się firewalli?

W latach 70. i na początku 80. sieci, w tym ARPANET (prekursor Internetu), były budowane na zaufaniu. Łączyły głównie uczelnie i laboratoria badawcze, gdzie zakładano, że użytkownicy działają w dobrej wierze. Sieć była traktowana jak wspólna przestrzeń – jeśli ktoś miał do niej dostęp, miał też szerokie możliwości komunikacji z innymi hostami.

Nie stosowano powszechnie segmentacji, filtracji ruchu ani zaawansowanych list kontroli dostępu. Bezpieczeństwo sprowadzało się głównie do kontroli logowania do systemów (kont użytkowników) i fizycznego dostępu do terminali. Tip: z dzisiejszej perspektywy taka architektura byłaby skrajnie ryzykowna, ale w tamtych realiach działała, bo liczba uczestników i potencjalnych atakujących była ograniczona.

Co zmusiło twórców sieci do wprowadzenia firewalli?

Gdy sieci zaczęły wychodzić poza zamknięte środowiska badawcze, przestało działać założenie „wszyscy się mniej więcej znają”. Do sieci dołączyły nowe organizacje, studenci, hobbyści oraz pierwsze podmioty komercyjne. Pojawiły się też motywacje inne niż czysta nauka: testowanie zabezpieczeń, „hackowanie” dla sportu, a z czasem także działania przestępcze.

Wraz z tym ruchem rosło ryzyko nieautoryzowanego dostępu i nadużyć. Sieć przestała być tylko „przedłużeniem kabli”, a stała się infrastrukturą, którą trzeba aktywnie chronić. Firewall był odpowiedzią systemową: wprowadzał kontrolowaną granicę między tym, co wewnątrz, a tym, co na zewnątrz.

Na czym polega różnica między ochroną hosta a ochroną sieci, którą wprowadziła koncepcja firewalla?

Ochrona hosta skupia się na pojedynczym komputerze: jego kontach użytkowników, uprawnieniach do plików, konfiguracji systemu operacyjnego. Tak wyglądało myślenie o bezpieczeństwie w erze systemów time-sharing – ważne było, kto zaloguje się do konkretnej maszyny.

Pojawienie się firewalli przesunęło perspektywę na poziom całej sieci. Zaczęto projektować polityki typu: który ruch może wejść do sieci, który może ją opuścić, jakie protokoły są dozwolone z Internetu, a jakie wyłącznie wewnątrz. Sieć pojawiła się jako całościowy „obiekt do ochrony”, a firewall stał się centralnym punktem egzekwowania tych reguł.

Co to jest DMZ w sieci i jaki ma związek z historią firewalli?

DMZ (Demilitarized Zone) to wydzielona strefa sieciowa, w której umieszcza się serwery wystawione do Internetu – typowo serwer WWW, pocztowy, DNS itp. Idea jest podobna do buforowej klatki schodowej z drzwiami przeciwpożarowymi: jeśli „zapali się” DMZ (czyli zostanie przejęta), to ogień nie powinien łatwo przenieść się do sieci wewnętrznej.

Rozwój firewalli naturalnie doprowadził do projektowania właśnie takich stref buforowych. Firewall przestał być pojedynczym gadżetem, a zaczął organizować ruch między trzema głównymi obszarami: Internetem, DMZ i siecią wewnętrzną. Uwaga: poprawnie zaprojektowana DMZ często decyduje o tym, czy incydent bezpieczeństwa skończy się na jednym serwerze, czy na całej organizacji.

Czy dzisiejsze firewalle nadal opierają się na tej samej podstawowej idei?

Tak. Mimo że technicznie współczesne firewalle są znacznie bardziej zaawansowane (inspekcja stanu połączeń, filtrowanie aplikacyjne, IPS/IDS, integracja z systemami uwierzytelniania), rdzeń koncepcji pozostał identyczny: stworzyć kontrolowaną barierę między siecią zaufaną i niezaufaną oraz ograniczyć zasięg „pożaru”, gdy coś pójdzie nie tak.

Różnica polega głównie na szczegółach implementacji i skali. Tam, gdzie kiedyś wystarczały proste reguły blokujące porty, dziś działają złożone polityki bezpieczeństwa dla całych segmentów, aplikacji i użytkowników, często obsługiwane przez wiele warstw firewalli w jednej infrastrukturze.

Co warto zapamiętać

  • Termin „firewall” pochodzi z budownictwa i inżynierii przeciwpożarowej, gdzie oznaczał ścianę przeciwpożarową ograniczającą rozprzestrzenianie się ognia; w sieciach przejęto dokładnie tę logikę – nie eliminować zagrożenia, tylko odseparować i ograniczyć jego skutki.
  • Metafora ściany ognia dobrze odwzorowuje relację Internet – sieć wewnętrzna: zewnętrzna przestrzeń jest źródłem nieprzewidywalnych zagrożeń, wewnętrzna wymaga szczególnej ochrony, a firewall kontroluje „przejście” między tymi dwoma światami.
  • Przed upowszechnieniem nazwy „firewall” bezpieczeństwo sieci opisywano analogiami do drzwi, zamków, portierni i korytarzy, co naturalnie doprowadziło do koncepcji stref buforowych (np. DMZ) jako obszarów pośrednich, które można poświęcić bez bezpośredniego narażenia całej sieci.
  • Firewall zaczął być traktowany jako element całej architektury sieci (Internet – DMZ – sieć wewnętrzna), a nie pojedyncze urządzenie; wymusiło to myślenie w kategoriach projektowania topologii i przepływów ruchu, a nie tylko pojedynczych reguł blokujących porty.
  • Nastąpiła zmiana perspektywy z ochrony pojedynczego hosta (uprawnienia w systemie, fizyczny dostęp, hasła) na ochronę całej sieci jako zasobu, który trzeba wyraźnie oddzielić od świata zewnętrznego.

    • Źródła informacji

  • Firewalls and Internet Security: Repelling the Wily Hacker. Addison-Wesley (1994) – Wczesna, klasyczna monografia o koncepcji firewalli i ich historii
  • Building Internet Firewalls. O’Reilly Media (1995) – Praktyczne omówienie architektur firewalli, DMZ i segmentacji sieci
  • The Design Philosophy of the DARPA Internet Protocols. ACM (1988) – Opis założeń projektowych ARPANET/Internet, w tym modelu zaufania
  • The ARPANET & the Origins of the Internet. U.S. Department of Defense – Historyczne opracowanie ARPANET, uczestników i modelu współpracy
  • Internet Security Firewalls. CERT Coordination Center, Carnegie Mellon University (1996) – Raport techniczny CERT o roli i typach firewalli w sieciach

Kontynuuj zgłębianie tematu: