Firewall

Kdy byl firewall nainstalován a proč?
První firewall pracoviště CIT zakoupilo na základě schválení Návrhu bezpečnostních pravidel fakulty. Byl nainstalován ve dnech 5.- 8. 2. 2004. Hlavní důvody byly:
- obrana proti zvyšujícímu se počtu napadených počítačů na fakultě
- zajištění ochrany fakultních serverů a agend

V současné době je nasazen pokračovatel Cisco PIX Firewallu tzv. NextGeneration Firewall s enginem Firepower, který obsahuje i IPS sondu.

V roce 2023 došlo k výměně stávajícího perimetního firewallu za dva nové perimetní firewally. Tímto krokem došlo k modernizaci zařízení a byla zajištěna vysoká dostupnost (HA) služeb připojení do Internetu.

FAQ

Jak firewall funguje?
Firewally jsou bezpečnostní produkty, které chrání interní počítačové sítě. Instalují se na rozhraní mezi interní LAN a Internet (viz. obrázek). Primární funkce firewalu je ochrana před neoprávněným průnikem do sítě, hackerskými útoky vedoucími k odepření služeb (Denial of Service, DoS) a posuzování oprávněnosti přístupu do sítě pro vzdálené uživatele (VPN). Firewall kontroluje veškerý provoz, který přes něj teče a na základě tzv. access-listů rozhoduje, jestli se spojení mezi počítači povolí nebo ne.

Co mi firewall dovolí a co ne?
Firewall stojí mezi Internetem a fakultní sítí, provádí překlad adres (NAT resp. PAT) a směrem dovnitř nepropustí žádné spojení navazované počítačem v Internetu. Váš počítač je tak skryt za firewallem a neumožní útoky vedené z Internetu. Z toho ale také vyplývá, že se na Váš počítač nebudete moci přímo připojit např. z domova.
Naopak z Vašeho počítače můžete bez omezení (kromě smtp TCP portu 25 a Windows sdílení SMB TCP porty 445, 139, 138, and 137 ) navazovat spojení směrem ven. Firewall sám ohlídá návratový provoz.

Co to znamená překlad adres?
Překlad adres funguje tak, že se neveřejná IP (nevyskytuje se na Internetu) 10.x.y.z fakultních počítačů při přístupu na Internet na firewallu překládají na veřejná IP z rozsahu 195.113.47.1-254, 195.113.58.1-254 a 195.113.59.1-254. Každý počítač, který přistupuje ven, dostane přiděleno jedno volné IP z tohoto rozsahu - neboli NAT. Pokud IP z volného rozsahu dojdou, provádí se tzv. PAT, kdy se víc neveřejných IP překládá na jedno veřejné.

Mám na fakultě linuxový stroj a potřeboval bych ho na dálku spravovat. Půjde to nějak?
Ano, můžete pro správu Vašeho počítače využít tunelování přes port 22 (ssh) přes náš poštovní server. Nebo se připojit pomocí protokolu SSH přímo na náš poštovní server a z něj potom spravovat Váš fakultní počítač. Další možností je požádat o VPN přístup - pouze zaměstanci a postgraduální studenti.

Chci nabízet služby do internetu - typicky vlastní webový server. Jak mám postupovat?
V případě, že serverové služby nebude možné zajistit přes celofakultní servery, je možné zažádat o přidělení veřejného IP z rozsahu 195.113.57.0/24. Server potom bude "vystrčen" před firewall a uživatel bude plně zodpovídat za případné hacknutí serveru a s tím spojených problémů.
Žádost ve formě webového formuláře je k dispozici zde.