Mida tulemüür endast kujutab? Lihtsalt öeldes on tegemist filtriga, mis teatud reeglite alusel filtreerib sisenevat ja väljuvat võrguliiklust. Vaikimisi seatud reegleid tulemüüridel tavaliselt pole, mistõttu tuleb endale sobiv reeglistik pärast tulemüüri installimist välja mõelda ning seejärel tulemüüri sisestada. Soovitusi reeglite loomiseks on üsna raske anda, sest iga reeglistik sõltub konkreetsest võrgust, pakutavatest teenustest ning kehtivast turvapoliitikast. Siiski on võimalik anda üks üldine juhis, mille järgi võiks tulemüüri reegleid looma hakata – vaikimisi on kõik keelatud (“Deny all” põhimõte), s.t algselt on tulemüürist juurdepääs kõigile teenustele suletud ning lubavaid reegleid hakatakse lisama vastavalt vajadusele.
Reegleid saab luua:
võrguprotokolli järgi – TCP, UDP, ICMP
lähteaadressi järgi
lähte teenuspordi järgi
sihtaadressi järgi
sihtteenuse pordi järgi
internetti pöörduva rakenduse järgi
Eelnevate tunnuste järgi saab koostada reegleid nii siseneva kui väljuva liikluse filtreerimiseks. Näiteks reegel “Permit tcp any 1.1.1.1 25” lubab meililiikluse meiliserverisse – suvaliselt IP-aadressilt ning suvalisest pordist tulnud tcp-protokolli liikluse meiliserveri (IP aadressiga 1.1.1.1) 25. (smtp-) porti.
Personaalsed tulemüürid kasutavad rakendustepõhist reeglistikku, mis võimaldavad lubada või keelata konkreetse rakenduse pääsu internetti.
Tulemüür iseenesest ei paku veel mingisugust turvalisust, sest tulemüür on nii hea, kui head on selle reeglid. Läbimõtlematult või valesti koostatud reeglid võivad tekitada võltsturvalisuse – tulemüür on paigas ja reeglid ka, tegelikult saab aga tulemüürist “mööda minna”, s.t kuskil reeglites on viga, mida ründaja võib ära kasutada. Samuti ei kaitse tulemüür nende rünnakute eest, mis on suunatud mõne tulemüürist lubatud teenuse vastu. Näiteks reegel, mis lubab internetist juurdepääsu arvutis olevale veebiserverile. Juhul, kui kasutatavast veebiserveritarkvarast leitakse turvalisusega seotud viga, ei takista tulemüür selle turvavea ärakasutamist, kuna antud teenus on avatud kõigile. |
