TKK | Tietoverkkolaboratorio | Opetus

Henkilökohtaiset palomuurit

tekijät: Ville Heikkinen / 48101P,  Kaarle Honkamaa / 48113F, Mikko Merger / 48235R

+ etusivu + ohjelmistot + laitteet + hyökkäysten syyt + tietokilpailu + sanasto + linkit + tekijät ja lähteet

Laitteet Jos tietokoneita on verkossa useampia tarjoavat laitteistopohjaiset palomuuriratkaisut monia etuja hajautettuun ratkaisuun verrattuna. Esim. pienyrityksille palomuurilaite on usein parempi ratkaisu kuin henkilökohtaiset palomuuriohjelmat. Palomuurilaitteiden hintahaarukka on noin 1500 markasta 15000 markkaan. Yksinkertaisimmillaan palomuurilaite on NAT-toiminnolla varustettu reititin. NATin (Network Address Translation) avulla sisäverkon työasemat näkyvät ulospäin yhdellä IP-osoitteella, mutta jos yritys haluaa tarjota Internetiin palveluita, on sen kuitenkin paljastettava jonkin palvelimensa olemassaolo palomuurin läpi. Tällöin voidaan käyttää myös porttinumeron muunnosta (port forward). Reititin NAT-toiminnolla (ZyXEL Prestige 310) lähde: ZyXEL's Graphics Library Copyright 1995-2000 ZyXEL Communications Corp. Monipuolisimmissa varsinaisissa palomuurilaitteissa yrityksen omat Internet-palvelimet sijoitetaan niin sanotulle demilitarisoidulle vyöhykkeelle (Demilitarized Zone, DMZ). Tällaisissa laitteissa on kolme Ethernet-liitäntää: yksi Internetiin vievää reititintä varten, toinen suojattua sisäverkkoa varten ja kolmas DMZ-vyöhykettä varten. Tällöin sisäverkkoon ei tarvitse päästää minkäänlaisia yhteyksiä ulkoapäin. Palomuurilaitteet ovat yleensä tilallisia eli se voi myös sallia tai estää liikennettä yhteyden tilan (avoin, puoliavoin, suljettu) perusteella. Suurin erillisellä palomuurilaitteella saavutettava etu on hallinnoinnin keskittäminen. Laitteeseen tehtävät määritykset koskevat oletusarvoisesti kaikkia käyttäjiä. Tämä koskee myös ulosmenevien yhteyksien kontrollointia. Usein halutaan esim. rajoittaa työntekijöiden pääsy vain tiettyihin sovelluksiin tai WWW-selaus vain hyötykäyttöön. Yrityksille suunnatuissa palomuureissa on usein lisätoimintoina saatavissa virtuaaliverkko (Virtual Private Network, VPN) eli salatut kahden pisteen väliset yhteydet Internetin läpi sekä keskitetty virustutka. Virtuaaliverkkoa käytetään esim. etätyöntekijän ja toimiston väliseen liikenteeseen.