To prave mozna to hlavni nedorozumeni: nikdo nerika, ze nebude davat auto do garaze. Rika, ze krome toho neni na skodu mit alarm (aby slysel, kdyz se mu do te garaze nekdo vloupe) a ze pro pripady, kdy bude napriklad muset zaparkovat mimo garaz, by chtek mit jeste sanci najit nejakou stopu - pres GPS, a ze mimochodem to GPS se mu hodi taky pro jine veci, ktere ani s bezpecnosti nesouvisi... Nemluve o tom, ze nekdo si treba garaz poridit nemuze.Yndore, auto s GPS sledováním a alarmem ti ukradnou, ani neřekneš "fuk". A to ti říkám jako člověk, který se pohybuje okolo bezpečnostní branže.
Dam ti priklad bezneho pouziti "personal firewallu". Normalni clovek pouziva svuj domaci pc tak, ze na nem obcas neco nainstaluje, vyzkousi nejaky shareware... proste nikdo neni zvedavej na to mit striktne nadefinovanych 5 "povolenych" aplikaci a zbytek zakazovat.
Soucasne mu ale neni prijemne, aby kterykoli programek (treba i ten, co prave zkousi, a nechce se mu ho zrovna instalovat pod vmware) mohl bez jeho vedomi komunikovat s internetem. Ok, v klasickem firewallu muze napriklad povolit odchozi komunikaci jenom na port 80 (pro http) a 5060 (pro voip-telefon). Jenomze co kdyz ten mrcha program bude volat ven zrovna nahodou taky na port 5060? Jak klasicky firewall pozna, ktery program vola? Analyzou L7? Ta zdaleka na vsechno nefunguje, navic je to stejne jenom hadani. A hlavne - proc se s necim takovym dve hodiny konfigurovat kvuli vyzkouseni jednoho blbyho programu?
Neni lepsi rict: "ted jdu zkouset tenhle program - kdyby chtel neco prijimat nebo posilat ven, rekni mi, o co se snazi, a zeptej se me, co dal"? Nebo "tenhle program jsem napsal ja a jeste ho menim, takze si muze posilat co chce kam chce - vubec ho nekontroluj... ale u ostatnich programu se me zeptej, kdyby lezly nekam, kam obvykle nelezou"?
Napriklad v Outpostu, kdyz uz je tu o nem rec, muze clovek vyuzivat sdilenou a prubezne se vyvijejici online databazi overenych "pravidel" pro spoustu beznych aplikaci. Pravidla reguluji, co ma mit ta ktera aplikace dovoleno, co si naopak dovolit nemuze, a na co se ma pripadne vzdycky zeptat.
Takovy "osobni firewall" je vlastne inteligentni paketovy filtr, ktery ma diky tomu, ze bezi na stejnem stroji, pristup k informacim o bezicich procesech a jejich snaham o komunikaci s vnejsim svetem. Proto je pri spravnem pouziti mnohem flexibilnejsi nez by kdy mohl byt jakykoli klasicky firewall, ktery tyhle informace proste nema (a musi je jen odhadovat pomoci analyzy L7).
Vyhoda behu na stejnem stroji s sebou nese samozrejme i jednu nevyhodou - zaskodnicky program muze takovy "osobni firewall" proste shodit. Proto je imho potreba krome toho pouzivat minimalne nejaky externi nat s presmerovanymi jen vybranymi porty. Anebo - kdyz jde o ochranu cele site - tak samozrejme normalni firewall.