| VyÜlo v Φasopise: | EPP (Ekonomick² poradce podnikatele) |
| ╚φslo: | 11/97 |
| Strana: | |
| Rubrika/kategorie: | ╚lßnky o Internetu |
ZaΦn∞me nejprve malou ·vahou na tΘma samotnΘ bezpeΦnosti: dnes se jeÜt∞ najde mnoho lidφ, kte°φ °φkajφ ₧e Internet nenφ bezpeΦn², a tudφ₧ pro n∞ nenφ apriorn∞ pou₧iteln². To je ale Üpatn² p°φstup k celΘmu problΘmu, kter² se sna₧φ dφvat na bezpeΦnost jako na n∞co absolutnφho, co bu∩to je, nebo nenφ. BezpeΦnost je ve skuteΦnosti relativnφm pojmem, resp. relativnφ veliΦinou, kterß mß urΦitou mφru Φi ·rove≥, a je na mφst∞ se ptßt, zda tato mφra resp. ·rove≥ je postaΦujφcφ pro ·Φel, kter² je t°eba naplnit, a zda ji p°φpadn∞ nelze n∞jak²m zp∙sobem zv²Üit. Faktem je, ₧e takto chßpanß "mφra bezpeΦnosti" Internetu je relativn∞ nφzkß - poj∩me si nejprve naznaΦit proΦ tomu je, v jakΘm smyslu je tato mφra nφzkß, a pak si popsat kde to vadφ a jakΘ jsou cesty ke zvyÜovßnφ mφry bezpeΦnosti Internetu.
O Internetu je vÜeobecn∞ znßmo, ₧e p∙vodn∞ vzniknul jako vojensk² experiment (ve form∞ zßrodeΦnΘ sφt∞ jmΘnem ARPAnet, ke kterΘ se pozd∞ji p°ipojovaly dalÜφ sφt∞, a₧ se postupn∞ zrodil dneÜnφ Internet). ZajφmavΘ ale je, co bylo cφlem tohoto experimentu: ov∞°it mo₧nost vybudovßnφ takovΘ sφt∞, kterß by dokßzala p°e₧φt i atomov² ·der nep°φtele, a jejφ nezasa₧enΘ Φßsti dokßzaly alespo≥ n∞jak rozumn∞ fungovat. Tento po₧adavek se nakonec poda°ilo naplnit, vybudovßnφm maximßln∞ robustnφ sφt∞ bez jak²chkoli centrßlnφch prvk∙ (kterΘ by nep°φtel zajistΘ odst°elil jako prvnφ). Velkß robustnost a absence centrßlnφho prvku pak z∙stala Internetu a₧ do dneÜnφch dn∙, a prßv∞ dφky t∞mto vlastnostem Internet dokß₧e fungovat i v situaci, kdy n∞kterΘ jeho dφlΦφ Φßsti majφ problΘmy a jsou mimo provoz.
Z pohledu bezpeΦnosti je ale d∙le₧itΘ, ₧e p°i volb∞ celΘ koncepce budoucφho Internetu nebyl nastolen explicitnφ po₧adavek na v²razn∞jÜφ zabezpeΦenφ - v dob∞ kdy u₧ bouchajφ bomby by n∞jakΘ utajovßnφ u₧ stejn∞ nebylo k niΦemu. Proto se budoucφ Internet zrodil jako sφ¥ bez zabudovan²ch mechanism∙ zabezpeΦenφ. KonkrΘtnφm projevem bylo nap°φklad to, ₧e p°enosovΘ mechanismy pou₧φvanΘ v rßmci Internetu (tj. zejmΘna protokol IP na ·rovni sφ¥ovΘ vrstvy a protokoly transportnφ vrstvy) se samy nesna₧φ jakkoli Üifrovat, k≤dovat Φi jinak zabezpeΦovat p°enßÜenß data proti neoprßvn∞nΘmu odposlechu.
S postupem Φasu pak zaΦal Internet p°echßzet vφce a vφce do rukou akademickΘ sfΘry, kterß nakonec (kolem roku 1986) p°evzala od vojßk∙ i financovßnφ pßte°nφ Φßsti Internetu. Ani akademickß sfΘra vÜak nem∞la v²razn∞jÜφ po₧adavky na zv²Üenφ mφry bezpeΦnosti Internetu, resp. na zabudovßnφ pot°ebn²ch zabezpeΦovacφch mechanism∙ do protokol∙ TCP/IP, kterΘ Internet ke svΘmu fungovßnφ pou₧φvß. P°esn∞ji: jejφ po₧adavky na zv²Üenφ bezpeΦnosti Internetu nebyly tak vysokΘ, aby zd∙vodnily relativn∞ nßkladnΘ a slo₧itΘ zm∞ny, kterΘ by bylo pot°eba provΘst.
Kdy₧ se pak kolem roku 1990 Internet zaΦal otevφrat komerΦnφmu vyu₧itφ, a jeho ot∞₧e zaΦala do sv²ch rukou p°ebφrat komerΦnφ sfΘra, otßzky bezpeΦnosti nßhle zφskaly zcela novou dimenzi: po₧adavky komerΦnφ sfΘry na mφru bezpeΦnosti Internetu byly samoz°ejm∞ v²razn∞ vyÜÜφ ne₧ d°φv∞jÜφ po₧adavky akademickΘ sfΘry. Stejn∞ tak se v²razn∞ zv∞tÜila i schopnost komerΦnφ sfΘry investovat pot°ebnΘ finanΦnφ prost°edky do Internetu a do zv²Üenφ jeho bezpeΦnosti.
S postupem Φasu se ale zaΦalo stßle jasn∞ji ukazovat, ₧e zv²Üenφ bezpeΦnosti Internetu nenφ a₧ tak technick²m problΘmem: pom∞rn∞ brzy se objevila hned celß °ada mo₧n²ch technick²ch °eÜenφ. ProblΘm byl spφÜe v tom, jakou zvolit celkovou koncepci a strategii zvyÜovßnφ bezpeΦnosti, jakß dostupnß technickß °eÜenφ zvolit, jak najφt konsensus mezi vÜemi zainteresovan²mi stranami o zvolenΘm °eÜenφ, jak ho standardizovat a jak ho prosadit do praxe. Tento proces bohu₧el nenφ ani dnes zdaleka dokonΦen.
Jak jsme si ji₧ uvedli v²Üe, p°enosovΘ mechanismy Internetu nepova₧ujφ za svou povinnost starat se o jakΘkoli zabezpeΦenφ dat, kterß jim byla sv∞°ena k p°enosu, tj. samy je nijak neÜifrujφ, nek≤dujφ Φi jinak nezabezpeΦujφ proti ne₧ßdoucφmu odposlechu. Je tomu tedy podobn∞ jako nap°φklad u ve°ejnΘ telefonnφ sφt∞, kde je (Φist∞ po technickΘ strßnce) takΘ velmi jednoduchΘ odposlouchßvat probφhajφcφ hovory. P°esto se ale lidΘ nauΦili telefony pou₧φvat, a sami si volit, co sv∞°φ relativn∞ mßlo bezpeΦnΘmu telefonu a co si sd∞lφ jinou cestou.
Podobn∞ tomu m∙₧e b²t i s Internetem - takΘ v jeho p°φpad∞ je mo₧nΘ vychßzet z faktu, ₧e je nezabezpeΦenou p°enosovou infrastrukturou, a nep°enßÜet po n∞m takovß data, kterß by se nem∞la dostat do cizφch rukou. Je ale dobrΘ si uv∞domit, co p°esn∞ to znamenß: je-li pot°eba p°enΘst n∞jakß citliv∞jÜφ a d∙v∞rn∞jÜφ data, je nutnΘ je zabezpeΦit ji₧ na ·rovni aplikace, kterß je produkuje, a k p°enosu je p°edat v ji₧ zabezpeΦenΘm tvaru. Vlastnφ p°enosovΘ mechanismy Internetu pak mohou z∙stat takovΘ jakΘ jsou (tj. nezabezpeΦenΘ), a pokud by k n∞jakΘmu odposlechu p°eci jen doÜlo, neoprßvn∞nΘmu p°φjemci by odposlechnutß data nebyla k niΦemu (proto₧e by mu dalo p°φliÜ mnoho prßce, ne₧ by je dokßzal deÜifrovat, resp. dek≤dovat).
Alternativnφ mo₧nostφ by bylo zabudovat p°φsluÜnΘ zabezpeΦovacφ mechanismy p°φmo do p°enosov²ch sφtφ. To by ale p°ineslo mnoho negativnφch aspekt∙: nap°φklad ten, ₧e by nebylo mo₧nΘ zvolit takovΘ °eÜenφ, kterΘ by vyhov∞lo vÜem mo₧n²m po₧adavk∙m na bezpeΦnost. Po₧adavky jednotliv²ch aplikacφ na mφru zabezpeΦenφ jsou a v₧dy budou odliÜnΘ - jinΘ budou nap°φklad u soukromΘ poÜty a jinΘ u bankovnφch transakcφ provßd∞n²ch po Internetu. A¥ u₧ by se pro zabezpeΦujφcφ mechanismy zabudovanΘ p°φmo do Internetu zvolila jakßkoli mφra bezpeΦnosti, v₧dy by se naÜla takovß aplikace, kterΘ by tato mφra nepostaΦovala, a musela si svou mφru bezpeΦnosti zajiÜ¥ovat sama, vlastnφmi prost°edky. Naproti tomu pro jinΘ, mΘn∞ nßroΦnΘ aplikace, by v∞tÜφ mφra bezpeΦnosti p°edstavovala zbyteΦnou re₧ii.
Zabudovßnφm zabezpeΦovacφch mechanism∙ p°φmo do p°enosovΘ infrastruktury Internetu by se takΘ zv²Üila slo₧itost celΘ tΘto infrastruktury, kterß za svou robustnost a efektivnost vd∞Φφ zejmΘna svΘ jednoduchosti. Podstatn² by jist∞ byl i psychologick² faktor: pokud by bezpeΦnost byla zajiÜ¥ovanß provozovatelem p°enosovΘ infrastruktury, zatφmco u₧ivatelem (provozovatelem aplikacφ) by byl n∞kdo jin², pak by tento u₧ivatel pln∞ vklßdal bezpeΦnost o svß data do rukou n∞koho jinΘho. A to nenφ zdaleka ka₧d² ochoten ud∞lat.
V neposlednφ °ad∞ by se zabudovßnφm bezpeΦnostnφch mechanism∙ p°φmo do p°enosovΘ infrastruktury Internetu tato infrastruktura v²razn∞ prodra₧ila. V dob∞, kdy se Internet stßle rozÜi°uje a kdy je tendence budovat p°φpojky k Internetu nap°φklad i z jednotliv²ch domßcnostφ, to jde p°esn∞ proti ₧ßdoucφmu sni₧ovßnφ nßklad∙ na tyto p°φpojky.
DalÜφ p°φΦinou relativn∞ nφzkΘ mφry bezpeΦnosti dneÜnφho Internetu jsou dosti "d∙v∞°ivΘ" slu₧by, pou₧φvanΘ v tΘto sφti sφtφ. N∞kterΘ z nich v∙bec nevy₧adujφ ₧ßdnß hesla Φi jinΘ formy ov∞°ovßnφ identity a oprßvn∞nosti u₧ivatel∙, zatφmco jinΘ ano, ale d∞lajφ to dosti naivnφm zp∙sobem, kter² je pom∞rn∞ snadnΘ p°ekonat. Mnoho slu₧eb, kterΘ po u₧ivateli po₧adujφ zadßnφ hesla, toto heslo p°enßÜφ po sφti nezak≤dovßnΘ, a tedy p°esn∞ v takovΘm tvaru, v jakΘm jej autor zadal. Nenφ pak p°φliÜ t∞₧kΘ takovΘto heslo neoprßvn∞n∞ odposlechnout a zneu₧φt.
KonkrΘtnφm p°φkladem m∙₧e b²t jedna z nejpopulßrn∞jÜφch Internetov²ch aplikacφ, kterou je elektronickß poÜta. Pro Φlov∞ka, kter² alespo≥ trochu rozumφ zp∙sobu fungovßnφ el.poÜty v Internetu, nenφ v∞tÜφm problΘmem poslat n∞komu poÜtu jmΘnem n∞koho jinΘho (nap°φklad jmΘnem MikulßÜe, Φerta apod.). Pro mo₧nost zasφlßnφ obchodnφ korespondence elektronickou poÜtou je n∞co takovΘho samoz°ejm∞ nep°ijatelnΘ --zde je zapot°ebφ za°φdit v∞ci tak, aby p°φjemce m∞l rozumnou jistotu, ₧e zprßva skuteΦn∞ pochßzφ od toho, kdo se vydßvß za jejφho odesilatele, a ₧e obsah zprßvy nebyl p°i p°enosu jakkoli zm∞n∞n. Stejn∞ tak p°φjemce chce mφt rozumnou jistotu, ₧e adresßt jeho zprßvu obdr₧el, a ₧e t°eba n∞kdy pozd∞ji nebude moci tvrdit, ₧e nic takovΘho nedostal. Elektronickß poÜta v takovΘ podob∞, jakß je dnes pou₧φvanß v Internetu, nic takovΘho nenabφzφ. Existujφ sice r∙znß rozÜφ°enφ, kterß pot°ebnΘ zabezpeΦenφ dokß₧φ zajistit, ale zatφm nejsou jeÜt∞ ve stßdiu masovΘho rozÜφ°enφ a nasazenφ (a neexistuje ani vÜeobecn² konsensus o tom, kterΘ °eÜenφ by m∞lo p°evlßdnout).
DalÜφ slu₧bou dneÜnφho Internetu, u kterΘ je velmi poci¥ovßn nedostatek zabezpeΦenΘho fungovßnφ, je tolik populßrnφ World Wide Web. Zde nenφ ₧ßdn²m problΘmem prohlßsit n∞kterΘ WWW strßnky za neve°ejnΘ a p°φstup k nim vßzat na zadßnφ sprßvnΘho p°φstupovΘho hesla. ProblΘm je spφÜe s p°enosem informacφ mezi WWW servery a jejich klienty, a zejmΘna pak opaΦn²m sm∞rem, od klient∙ (a jejich u₧ivatel∙) sm∞rem k WWW server∙m. Za standardnφch okolnostφ tato data cestujφ po sφti v nezabezpeΦenΘm tvaru, a jejich p°φpadn² odposlech tudφ₧ nenφ principißln∞ obtφ₧n². Pokud takovßto data p°edstavujφ konkrΘtnφ adresy WWW strßnek, kterΘ si u₧ivatel p°eje zobrazit, ₧ßdnΘ nebezpeΦφ nehrozφ. Pokud se ale jednß nap°φklad o Φφslo kreditnφ karty, pak m∙₧e b²t opravdu zle.
LidΘ vÜak cht∞jφ vyu₧φvat slu₧bu World Wide Web pro nejr∙zn∞jÜφ ·Φely, vΦetn∞ elektronickΘho obchodovßnφ, nakupovßnφ, provßd∞nφ finanΦnφch transakcφ apod., a pro tyto ·Φely je opravdu nutnΘ zv²Üit stßvajφcφ ·rove≥ bezpeΦnosti, kterou slu₧ba World Wide Web vykazuje. V praxi op∞t existuje n∞kolik nßvrh∙ a °eÜenφ, na kter²ch si lze nßzorn∞ ukßzat dva mo₧nΘ p°φstupy k °eÜenφ celΘ problematiky.
Prvnφm mo₧n²m p°φstupem je oΦekßvat, ₧e zv²Üit mφru svΘ bezpeΦnosti bude pot°ebovat vφce aplikacφ resp. slu₧eb, pou₧φvan²ch v rßmci Internetu, a ₧e se tudφ₧ vyplatφ zabudovat p°φsluÜnΘ mechanismy takov²m zp∙sobem, aby byly vyu₧itelnΘ vÜemi aplikacemi kterΘ o to budou mφt zßjem (co₧ znamenß implementovat je pouze jednou, a zaΦlenit je na vhodnΘ mφsto do vrstev sφ¥ovΘho programovΘho vybavenφ). Takov²mto °eÜenφm je nap°. koncepce tzv. SSL (Secure Socket Layer), vyvinutß firmou Netscape a podporovanß jejφmi browsery.
V²hodou tohoto p°φstupu je i skuteΦnost, ₧e vÜe se dß za°φdit tak, aby se pou₧φvanΘ aplikace nemusely n∞jak v²razn∞ji m∞nit. ZabudovanΘ zabezpeΦovacφ mechanismy toti₧ mohou vytvß°et jednotliv²m aplikacφm iluzi toho, ₧e pracujφ nad takovou p°enosovou infrastrukturou, kterß je ji₧ sama zabezpeΦenß a sama se starß o bezpeΦnost p°enßÜen²ch dat. Nev²hodou je pak skuteΦnost, ₧e takovßto "spoleΦnß" mφra bezpeΦnosti nemusφ vÜem aplikacφm postaΦovat - ze stejn²ch d∙vod∙, o kter²ch jsme se ji₧ zmi≥ovali v²Üe.
Alternativnφm p°φstupem je oΦekßvat, ₧e bezpeΦnost bude vy₧adovat spφÜe mΘn∞ aplikacφ, a ₧e se tudφ₧ vyplatφ, aby si ka₧dß svou bezpeΦnost zajiÜ¥ovala sama, vlastnφmi prost°edky (neboli aby pot°ebnΘ zabezpeΦovacφ mechanismy byly implementovßny poka₧dΘ znovu, v ka₧dΘ z aplikacφ kterß n∞co takovΘho pot°ebuje). Z°ejmou v²hodou je mo₧nost tyto zabezpeΦovacφ mechanismy doslova "uÜφt na mφru" p°φsluÜn²m aplikacφm, nev²hodou nutnost jistΘ nadbyteΦnosti (opakovanΘ implementace jednoho a toho samΘho). P°φkladem m∙₧e b²t protokol S/HTTP (Secure HTTP), kter² je rozÜφ°enφm stßvajφcφho protokolu HTTP (HyperText Transfer Protocol, slou₧φ pro komunikaci mezi WWW serverem a u₧ivatelsk²m browserem) o pot°ebnΘ zabezpeΦovacφ mechanismy.
Jin²m p°φkladem m∙₧e b²t protokol SET (Secure Electronic Transactions), kter² je specificky zam∞°en na pot°eby placenφ po Internetu, vΦetn∞ placenφ pomocφ kreditnφch karet. Jde o °eÜenφ, spoleΦn∞ vyvinutΘ velk²mi firmami v oblasti programovΘho vybavenφ pro Internet (mj. i firmami Microsoft a Netscape) a spoleΦnostmi kterΘ se zab²vajφ kreditnφmi kartami (mj. Mastercard i Visa). Pomocφ protokolu SET by nap°φklad m∞lo b²t mo₧nΘ p°enßÜet po Internetu ·daje o kreditnφch kartßch (v rßmci jednotliv²ch transakcφ) v zabezpeΦenΘm tvaru, ani₧ by se platφcφ majitel kreditnφ karty musel obßvat, ₧e se n∞kdo neoprßvn∞n² dostane k ·daj∙m o jeho kart∞ a bude moci je zneu₧φt.
V dneÜnφ dob∞ existuje velkΘ mno₧stvφ nejr∙zn∞jÜφch privßtnφch lokßlnφch sφtφ, kterΘ by jejich majitelΘ rßdi p°ipojili i k Internetu a zφskali tak mo₧nost vyu₧φvat jeho slu₧eb. SouΦasn∞ se vÜak obßvajφ mo₧nosti naruÜenφ sv²ch internφch systΘm∙ (nap°. vlastnφch server∙, databßzφ apod.) n∞k²m "zvenΦφ", z prost°edφ velkΘho a nep°φliÜ bezpeΦnΘho Internetu. ╚asto jsou takovΘto obavy zbyteΦn∞ zveliΦovßny, ale na druhΘ stran∞ nenφ ani mo₧nΘ je bagatelizovat. V ka₧dΘm p°φpad∞ je vhodnΘ si podrobn∞ rozebrat mo₧nß rizika a ohro₧enφ, mφru jejich nebezpeΦnosti a srovnat je s vlastnφmi po₧adavky, pravidly, p°edpisy atd. V²sledkem by m∞la b²t ucelenß p°edstava provozovatele privßtnφ sφt∞ o tom, co je ochoten tolerovat a co naopak nenφ ochoten tolerovat (v praxi se tomu °φkß "bezpeΦnostnφ politika"). Teprve pak by m∞lo nßsledovat hledßnφ technick²ch mo₧nostφ toho, jak zmφn∞nou p°edstavu (bezpeΦnostnφ politiku) prakticky naplnit. V praxi se pak m∙₧e ukßzat nap°φklad to, ₧e vÜem po₧adavk∙m lze vyhov∞t pouh²mi organizaΦnφmi opat°enφmi (t°eba tφm, ₧e lidΘ nebudou nechßvat citliv∞jÜφ data na pevn²ch discφch, ale budou je uklßdat na diskety a ty zavφrat do trezor∙). Nebo se m∙₧e naopak ukßzat, po opravdu peΦlivΘm zhodnocenφ vÜech po₧adavk∙ a mo₧nostφ °eÜenφ, ₧e jedinou Üancφ je v∙bec se k Internetu nep°ipojovat.
V praxi je ale mnohem Φast∞jÜφ p°φpad, kdy po₧adavk∙m na zabezpeΦenφ privßtnφ sφt∞ proti neoprßvn∞nΘmu p°φstupu zvenΦφ lze vyhov∞t pomocφ vhodn²ch opat°enφ a technick²ch °eÜenφ, kter²ch je dnes nabφzena celß Üirokß Ükßla. NejΦast∞ji jde o °eÜenφ, kter²m se obecn∞ °φkß firewall (v doslovnΘm p°ekladu: ohnivß st∞na, kv∙li analogii s protipo₧ßrnφmi st∞nami, kterΘ se budujφ mezi budovami kv∙li tomu, aby v p°φpad∞ po₧ßru zastavily Üφ°enφ ohn∞).
Firewally mohou b²t koncipovßny a °eÜeny r∙zn²mi zp∙soby. V principu ale vÜechny vychßzφ z myÜlenky, kterou lidΘ ji₧ znajφ a pou₧φvajφ opravdu hodn∞ dlouho, a kterou vyu₧ili nap°φklad u st°edov∞k²ch hrad∙: ty byly obehnßny hlubok²m p°φkopem, kter² brßnil ve vstupu. Do hradu pak bylo mo₧nΘ vstoupit jedin∞ skrz ·zkou brßnu, ve kterΘ stßl hlφdaΦ, a ka₧dΘho zßjemce o vstup prohlΘdnul. P°esn∞ stejn² princip pou₧φvajφ i dneÜnφ firewally: takΘ ony obecn∞ zakazujφ jak²koli "voln²" p°φstup do privßtnφ sφt∞ z vn∞jÜφho Internetu. Umo₧≥ujφ pouze prostup skrz p°esn∞ definovanΘ mφsto (analogii brßny), ve kterΘ kontrolujφ oprßvn∞nost ka₧dΘho jednotlivΘho po₧adavku (analogie hlφdaΦe).
KonkrΘtnφ °eÜenφ firewall∙ se v praxi d∞lφ do dvou hlavnφch skupin. Prvnφ z nich p°edstavujφ tzv. "dvounohΘ" firewally, kterΘ naznaΦuje prvnφ obrßzek. Jde vlastn∞ o za°φzenφ (na bßzi b∞₧nΘho poΦφtaΦe, event. sm∞rovaΦe), kterΘ mß dv∞ rozhranφ, p°iΦem₧ jedno z nich je zapojeno do vn∞jÜφho Internetu, a druhΘ do privßtnφ sφt∞, kterß mß b²t chrßn∞na. VeÜker² provoz mezi ob∞ma sv∞ty samoz°ejm∞ musφ prochßzet skrz tento firewall, kter² zajiÜ¥uje vÜechny pot°ebnΘ funkce - funkce "omezujφcφho" charakteru, kterΘ brßnφ takovΘmu druhu provozu jak² si majitel privßtnφ sφt∞ nep°eje, a funkce "povolujφcφho" charakteru, kterΘ umo₧≥ujφ takov² provoz, jak² je p°φpustn². V²hodou tohoto °eÜenφ je mo₧nost "krabicovΘho" °eÜenφ, tj. zmφn∞n² firewall m∙₧e b²t koncipovßn jako ucelen² produkt, kter² zajiÜ¥uje vÜe pot°ebnΘ, kter² si zßkaznφk koupφ, nainstaluje a nakonfiguruje (resp. nechß nainstalovat a nakonfigurovat), a ji₧ nepot°ebuje ₧ßdnΘ dalÜφ prvky Φi dopl≥ky. Nev²hodou pak je obtφ₧nß Ükßlovatelnost - pokud se po₧adavky provozovatele privßtnφ sφt∞ v²razn∞ji zm∞nφ, nebo t°eba vzroste objem provozu skrz firewall, nemusφ b²t mo₧nΘ vyhov∞t zm∞nßm v rßmci stßvajφcφho firewallu, a m∙₧e b²t nutnΘ jej cel² nahradit jin²m °eÜenφm. Obecn∞ pak lze °φci, ₧e toto °eÜenφ je vhodn∞jÜφ pro menÜφ firmy, podniky Φi instituce, a pro takovΘ, kterΘ nemajφ dostateΦnΘ vlastnφ odbornΘ zßzemφ (a spφÜe si cht∞jφ koupit ji₧ hotovΘ °eÜenφ, resp. oΦekßvajφ, ₧e pot°ebnou sprßvu firewallu pro n∞ bude zajiÜ¥ovat externφ subjekt).
Alternativnφ mo₧nostφ °eÜenφ firewallu ukazuje druh² obrßzek. Jde o °eÜenφ, kterΘ poΦφtß se zavedenφm "p°echodovΘho" segmentu, kter² lze s trochou p°edstavivosti p°irovnat k padacφmu mostu p°es vodnφ p°φkop, obepφnajφcφ st°edov∞k² hrad. Na tomto most∞ stojφ hlφdaΦi, kte°φ kontrolujφ veÜker² provoz, a vÜe je za°φzeno tak, aby nebylo mo₧nΘ projφt p°es tento most a vyhnout se n∞kterΘmu z hlφdaΦ∙. V praxi je zmφn∞n² segment oznaΦovßn jako tzv. demilitarizovanß z≤na, a je propojen s Internetem a privßtnφ sφtφ prost°ednictvφm dvou sm∞rovaΦ∙. Tyto sm∞rovaΦe jsou p°itom nakonfigurovßny tak, aby byl mo₧n² p°enos dat z Internetu do tΘto demilitarizovanΘ z≤ny, a souΦasn∞ i p°enos dat z privßtnφ sφt∞ do demilitarizovanΘ z≤ny (i v opaΦnΘm sm∞ru), ale aby nebyl mo₧n² prostup skrz demilitarizovanou z≤nu, neboli p°φm² p°enos dat z Internetu p°φmo do privßtnφ sφt∞. To pak znamenß, ₧e veÜker² provoz mezi ob∞ma sv∞ty (mezi Internetem a privßtnφ sφtφ) nutn∞ musφ zaΦφnat Φi konΦit v demilitarizovanΘ z≤n∞. Do tΘ p°itom jsou umis¥ovßny uzly, fungujφcφ jako p°estupnφ body (a souΦasn∞ i jako "hlφdaΦi", kte°φ kontrolujφ oprßvn∞nost ka₧dΘho po₧adavku kter² p°es n∞ prochßzφ). D∙le₧itΘ je, ₧e tyto p°estupnφ body fungujφ jako brßny °eÜenΘ na aplikaΦnφ ·rovni (°φkß se jim takΘ proxy servery), co₧ jim umo₧≥uje rozum∞t samotnΘ podstat∞ jednotliv²ch po₧adavk∙, a lΘpe tak kontrolovat jejich oprßvn∞nost. P°φkladem m∙₧e b²t proxy brßna pro slu₧bu WWW: kdy₧ se u₧ivatel n∞jakΘho browseru v rßmci privßtnφ sφt∞ rozhodn∞ navÜtφvit n∞kterou WWW strßnku nachßzejφcφ se ve vn∞jÜφm Internetu, jeho browser neodeÜle p°φsluÜn² po₧adavek p°φmo "ven", tomu WWW serveru na kterΘm se zmφn∞nß strßnka nachßzφ (proto₧e takov²to po₧adavek by ani neproÜel skrz demilitarizovanou z≤nu). Mφsto toho u₧ivatel∙v browser zaÜle sv∙j po₧adavek WWW proxy brßn∞, nachßzejφcφ se v demilitarizovanΘ z≤n∞. Ta po₧adavek p°evezme, a jako zcela nov² po₧adavek ho sv²m jmΘnem "vyslovφ" (zaÜle) cφlovΘmu WWW serveru ve vn∞jÜφm Internetu. Ten odpovφ zaslßnφm po₧adovanΘ strßnky proxy brßn∞, kterß si nßsledn∞ musφ "vzpomenout", kdo tuto strßnku p∙vodn∞ cht∞l, a pak mu ji p°edat.
Obecnou v²hodou °eÜenφ firewall∙ na principu demilitarizovanΘ z≤ny je jejich stavebnicov² charakter - lze je mnohem lΘpe p°izp∙sobit konkrΘtnφm pot°ebßm. Do demilitarizovanΘ z≤ny lze nap°φklad postupn∞ p°idßvat takovΘ proxy brßny, jakΘ jsou zapot°ebφ, Φi je posilovat, upgradovat atd. Stejn∞ tak se do demilitarizovanΘ umis¥ujφ nap°φklad "ve°ejnΘ" WWW servery (tj. takovΘ, kterΘ obsahujφ informace urΦenΘ externφm u₧ivatel∙m, zatφmco informace urΦenΘ pouze internφm u₧ivatel∙m se umis¥ujφ na WWW servery nachßzejφcφ se a₧ v chrßn∞nΘ privßtnφ sφti). Jde tedy o mnohem pru₧n∞jÜφ a adaptabiln∞jÜφ °eÜenφ, ne₧ jak²m jsou "dvounohΘ" firewally popisovanΘ v p°edchozφm odstavci.
Jistou nev²hodou firewall∙ na principu demilitarizovanΘ z≤ny je jejich vyÜÜφ nßroΦnost na konfiguraci, sprßvu a systΘmovou ·dr₧bu. Proto jsou takΘ °eÜenφ tohoto typu nasazovßna spφÜe u v∞tÜφch institucφ, kterΘ si cht∞jφ zajiÜ¥ovat vlastnφ bezpeΦnost sami, a majφ na to takΘ dostateΦnΘ odbornΘ zßzemφ.
