Um firewall tem algumas responsabilidades. Primeiramente, ele deve implementar a política de segurança da rede em questão. Se uma ação particular não é permitida pela política, o firewall deve garantir que todas a tentativas de realizá-la irão falhar. O firewall deverá fazer registros de log de todos os eventos suspeitos. Ele deve alertar a administração interna sobre tentativas que comprometem a política de segurança.
No primeiro caso, o firewall deve ser projetado para bloquear tudo, e os serviços devem ser habilitados individualmente após uma cuidadosa determinação de necessidades e riscos. Isto tende a atingir os usuários diretamente, e eles podem enxergar o firewall como um obstáculo.
No segundo caso, os administradores de sistemas estão em posição reacionária, tendo que predizer que tipos de ações dos usuários podem enfraquecer a segurança do firewall e preparar-se para se defender das mesmas. Se o usuário tem um login de acesso direto ao próprio sistema de firewall, isto pode resultar numa grande ameaça à segurança. A presença de logins de usuários no sistema de firewall tende a aumentar o problema de manutenção da integridade do sistema.
É importante dizer, que o primeiro caso é livre de falhas, uma vez que os administradores habilitam apenas serviços, por exemplo, que certamente não representam ameaças à segurança.
Toda rede apresenta zonas de risco que correspondem às partes vulneráveis do sistema. No caso de uma rede que está conectada à Internet sem qualquer firewall, observa-se que toda ela está sujeita a ataques. Isto não implica que a rede é vulnerável a ataques, mas numa situação em que toda uma rede pode ser alcançada por uma rede não confiável, é necessário garantir a segurança de todos os hosts presentes na mesma. No caso de um firewall típico, a zona de risco é normalmente reduzida ao próprio firewall, ou um subconjunto selecionado dos hosts da rede, reduzindo significativamente as preocupações dos gerenciadores de rede no que diz respeito a ataques diretos. Se um firewall é violado, a zona de risco novamente se expande, passando a incluir toda a rede protegida.
No geral, firewalls representam uma redução da zona de risco a um único ponto de falha.
O sistema acima mencionado que contém pelo menos duas interfaces de rede corresponde ao ponto crítico de segurança da rede e é chamado de bastion host.
A principal desvantagem de um dual homed gateway é o fato de bloquear o tráfego IP direto em ambas as direções. Muitos programas rodando na rede privada que requerem um caminho de roteamento para máquinas externas não funcionarão neste ambiente. Para resolver estes problemas os dual homed gateway podem rodar programas chamados proxies que transmitem pacotes entre as redes. Um proxy controla a conversação entre processos clientes e servidores num ambiente protegido. A maioria dos proxies pode ser configurada para permitir ou negar a transmissão dos pacotes através do firewall baseando-se nos endereços das máquinas fonte e destino ou nas portas. Proxies podem também requerer uma autenticação do requisitante do serviço, usando sistemas baseados em criptografia ou senhas.
A zona de risco para um screened host gateway é restrita ao bastion host e ao screening router, e a postura de segurança do screened host gateway é determinada pelo software que está rodando naquele sistema. Se um intruso adquire o login de acesso ao bastion host, existe um largo conjunto de opções para atacar o resto da rede privada.
É muito difícil detectar a destruição total de um firewall usando um screening router. Se um roteador comercial (que não mantém registros de log) é usado, e a senha do administrador do roteador é comprometida, toda a rede privada pode estar suscetível a ataques.
Screening routers não são a solução mais segura, mas eles são populares já que permitem livre acesso à Internet de qualquer ponto dentro da rede privada. O autor não recomenda o uso de screening routers para proteger informações sensíveis ou confidenciais, uma vez que eles são permeáveis.
Uma screened subnet é normalmente configurada com um bastion host como o único ponto de acesso à sub-rede. A zona de risco é pequena, consistindo naquele bastion host ou hosts, e quaisquer screening routers que fazem as conexões entre a screened subnet, a Internet e a rede privada.
Uma vantagens dos firewalls baseado em screened subnet com bloqueio de roteamento entre redes é atacado com a intenção de destruí-lo, o intruso deve reconfigurar o roteamento em três redes, sem desconectar e sem bloquear a ele mesmo, e sem que as mudanças de roteamento sejam notadas.
Screening toda uma sub-rede provê uma funcionalidade similar ao dual homed gateway ou screened hsot gateway; ela difere primordialmente no nível de complexidade extra no roteamento e configuração dos screening routers.
Existem algumas observações que são relevantes no que diz respeito a firewalls de uma maneira geral. Primeiramente, um firewall é um dispositivo de fortalecimento do ponto de vista de gerenciamento de rede. O tamanho da zona de risco é crucial para o projeto; se ela é pequena, a segurança pode ser mantida e controlada facilmente, mas se a segurança for comprometida os danos podem ser maiores.
Outro aspecto importante na construção de um firewall é que ele não é algo a ser projetado no vácuo. Na inicialização de um firewall, deve-se fazer um balanço de tempo e dinheiro, segurança e risco. Finalmente, é importante que quando se decide implementar um firewall deve-se evitar a ânsia de começar do nada. Aprender com as experiências alheias ou aprender com suas falhas e sucessos é importante.
[2] Marcus J. Ranum, “Thinking About Firewall”