רשת הנמצאת מאחורי firewall מוגנת רק מפני נסיונות כניסה לפורטים שחסומים לחלוטין על ידה.
כאשר אתה פותח פורטים גם אם הם מסוננים על ידי כללים (rules) אתה למעשה פותח את הדלת לסיכון כלשהו.
בדרך כלל הגדרות של firewall בסיסיות פועלות באופן שמגדיר פורטים פתוחים ופורטים סגורים וזהו. באופן זה כל רכיב שנמצא מאחורי ה firewall והפורט עליו הוא מאזין סגור למעשה מוגן.
כאשר ב firewall פורט כלשהו פתוח אזי קיימת אפשרות לעבור דרכו ליישום שמאזין עליו ומשם ליצור בעיית אבטחה שהפשוטות בינהם הינם הצפה וגרימת DoS ( מניעת שרות בתרגום חופשי.. ). על מנת להגן גם כנגד אפשרות מעין זו ניתן להגדיר ב firewall חוקים ספציפיים לכל פורט שנשאר פתוח ולהגביל אותו למשל לקבוצות IP מסויימות וכו' על מנת לצמצם את הסיכון.
בנוסף ניתן להשתמש בתוכנות ניטור כגון portsanrty אשר מזהות נסיונות גישה חשודות ויכולות להתריע ואף לגרום להליך של חסימת ה פורט לגישה מכתובת התוקף וכו'...
עד כאן לגבי הגנת רשת פנימית על ידי firewall.
כעת לגבי שירותים שמריצים מחשבים ה"חיים" בתוך המתחם המוגן על ידי ה firewall.
לכאורה כל עוד לא קיימת הכוונה ישירה של גישה של פורט חיצוני לכתובת פנימית ( forward ) לא תיווצר למעשה אפשרות של גישה ישירה מחוץ ל firewall אל מחשב הקיים בתוך האזור המוגן. הבעיה עלולה להיווצר כאשר מחשב מתוך ה firewall יוצר קשר ישיר עם העולם החיצון ( firewall הינו רב צדדי, חסימת צד אחד איננה אומרת דבר על חסימת הצד השני ובדרך כלל מאפשרת למחשבים מתוכה לגשת לכל מתחם הכתובות והפורטים החוצה אל העולם החיצון בעוד מהעולם החיצון פנימה הגישה חסומה.)
במידה ואכן קיימת אפשרות של גישה חופשית מתוך ה firewall כלפי חוץ ללא הגבלה יכול לחדור פנימה סוס טרוייני על ידי בקשה ( request ) של מחשב ברשת הפנימית אפילו על ידי גלישה לאתר אשר מעביר קוד שכזה בעת הכניסה אילו אשר יעורר קישור שכזה כלפי חוץ ואז למעשה האבטחה למעשה נפגעת ועלולה לגרום לסיכון.
על מנת למנוע מצב שכזה מומלץ לחסום את ה firewall גם מצידו הפנימי כלפי חוץ ואכן לאפשר מעבר ספציפי של פורטים מסויימים ( ותחת בקרה ) בלבד. ולבצע ניטור של התעבורה על גבי הפורטים הפתוחים כגון סינון המעבר של המידע בפרוקסי אם בשרת הדואר וכו....
ממולץ לקרוא חומר יסודי יותר בנושאי אבטחת רשתות במטרה להכיר את הנושא מקרוב יותר..