KWALIFIKACJA INF8 - CZERWIEC 2017

Q: Co to jest zapora sieciowa filtrująca pakiety?

To typ zapory, który dopuszcza lub blokuje ruch na podstawie zdefiniowanych reguł. Reguły odnoszą się zwykle do cech nagłówków pakietów, np. adresów IP, portów i protokołów (TCP/UDP/ICMP), bez konieczności pośredniczenia w połączeniu jak proxy.

Q: Jaka jest różnica między zaporą a NAT?

NAT służy do translacji adresów (zmienia adresację/porty), a zapora decyduje, czy ruch ma być dozwolony lub zablokowany. Często oba mechanizmy działają na jednym urządzeniu, ale odpowiadają na inne potrzeby: adresacja vs kontrola dostępu.

Q: Jak najłatwiej rozpoznać w zadaniu, że chodzi o zaporę filtrującą pakiety?

Szukaj słów kluczowych: pakiety, reguły, zezwalanie/blokowanie, adres IP, port, protokół. Jeżeli pojawia się "zmiana adresu" – to raczej NAT, a gdy "połączenie w imieniu użytkownika" – to proxy. Takie rozróżnienie często przesądza o poprawnej odpowiedzi.

PYTANIE NR 40.

Zapora sieciowa filtrująca

A.	wykonuje połączenie z serwerem w imieniu użytkownika.
B.	odsyła wszystkie pakiety do zdalnych serwerów w celu ich sprawdzenia.
C.	zmienia adres hosta wewnętrznego w celu ukrycia przed zewnętrznym monitoringiem.
D.	monitoruje przepływające przez nią pakiety IP według wcześniej zdefiniowanych reguł.
	Zostaw bez odpowiedzi

Wyjaśnienie poprawnej odpowiedzi:
Zapora filtrująca pakiety działa na poziomie sieci i kontroluje ruch, porównując nagłówki pakietów (np. adresy IP, porty, protokół) z wcześniej zdefiniowanymi regułami. Nie polega na odsyłaniu pakietów do zewnętrznych serwerów, nie jest tym samym co NAT i nie działa jak proxy łączące się w imieniu użytkownika.

Pełne wyjaśnienie:

Zapora sieciowa filtrująca (packet-filtering firewall) realizuje kontrolę dostępu do sieci przede wszystkim przez analizę cech pakietów i porównanie ich z regułami (polityką filtrowania). Typowo decyzja "zezwól/zablokuj" opiera się o informacje z nagłówków, takie jak: adres źródłowy i docelowy IP, protokół (np. TCP/UDP/ICMP) oraz porty usług. Dlatego poprawny opis to: monitoruje przepływające przez nią pakiety IP według wcześniej zdefiniowanych reguł.
Dlaczego pozostałe odpowiedzi są niepoprawne?
"Odsyła wszystkie pakiety do zdalnych serwerów w celu ich sprawdzenia" – nie jest typową cechą zapory filtrującej pakiety. Filtrowanie ma być wykonywane lokalnie na urządzeniu według reguł; wysyłanie "wszystkiego" na zewnątrz byłoby nieefektywne i ryzykowne.
"Zmienia adres hosta wewnętrznego w celu ukrycia przed zewnętrznym monitoringiem" – to opis mechanizmu translacji adresów (NAT), a nie definicja zapory filtrującej. NAT może współwystępować z zaporą, ale pełni inną funkcję (modyfikacja adresacji), podczas gdy zapora filtrująca podejmuje decyzję o dopuszczeniu ruchu.
"Wykonuje połączenie z serwerem w imieniu użytkownika" – to opis działania proxy (pośrednika aplikacyjnego). Proxy zestawia połączenie do serwera po stronie zewnętrznej, podczas gdy użytkownik łączy się z proxy; nie jest to podstawowa cecha zapory filtrującej pakiety.
W praktyce na egzaminie warto zapamiętać rozróżnienie: filtrowanie = reguły "allow/deny" dla ruchu, NAT = zmiana adresów, proxy = pośredniczenie na poziomie aplikacji. Jeśli w treści pojawiają się "pakiety" i "reguły", najczęściej chodzi właśnie o zaporę filtrującą.

Dodatkowe pytania

Dodatkowe pytania (FAQ):

Co to jest zapora sieciowa filtrująca pakiety?

To typ zapory, który dopuszcza lub blokuje ruch na podstawie zdefiniowanych reguł. Reguły odnoszą się zwykle do cech nagłówków pakietów, np. adresów IP, portów i protokołów (TCP/UDP/ICMP), bez konieczności pośredniczenia w połączeniu jak proxy.

Jak zapora filtrująca podejmuje decyzję o blokadzie ruchu?

Porównuje parametry pakietu (np. IP źródłowe/docelowe, port, protokół) z listą reguł. Gdy pakiet pasuje do reguły "deny", jest odrzucany; gdy pasuje do "allow", jest przepuszczany. Kluczowe jest poprawne ułożenie kolejności reguł i polityka domyślna.

Jaka jest różnica między zaporą a NAT?

NAT służy do translacji adresów (zmienia adresację/porty), a zapora decyduje, czy ruch ma być dozwolony lub zablokowany. Często oba mechanizmy działają na jednym urządzeniu, ale odpowiadają na inne potrzeby: adresacja vs kontrola dostępu.

Jaka jest różnica między zaporą filtrującą a proxy?

Zapora filtrująca ocenia pakiety i reguły na poziomie sieci/transportu. Proxy działa jako pośrednik: klient łączy się z proxy, a proxy nawiązuje połączenie z serwerem "w imieniu" klienta. Proxy częściej wiąże się z warstwą aplikacji i analizą treści.

Dlaczego odpowiedź o "zdalnych serwerach do sprawdzania pakietów" jest błędna?

Klasyczne filtrowanie pakietów ma działać lokalnie na zaporze według reguł. "Odsyłanie wszystkich pakietów" do zdalnych serwerów byłoby niepraktyczne (opóźnienia, koszty, awaryjność) i mogłoby tworzyć dodatkowe ryzyko bezpieczeństwa przez przekazywanie ruchu na zewnątrz.

Jakie informacje w pakiecie IP są najczęściej używane w regułach zapory?

Najczęściej wykorzystuje się: adres IP źródłowy i docelowy, protokół (np. TCP/UDP/ICMP) oraz – dla TCP/UDP – port źródłowy i docelowy. W praktyce reguły bywają też powiązane z interfejsem, kierunkiem ruchu i stanem połączenia.

Czy zapora filtrująca zawsze analizuje treść danych aplikacji?

Nie. Zapora filtrująca pakiety zwykle ogranicza się do informacji z nagłówków (warstwa sieci/transportu). Analiza treści aplikacji to domena rozwiązań bardziej zaawansowanych, np. zapór aplikacyjnych lub systemów inspekcji. Na egzaminie "pakiety + reguły" zwykle oznacza filtrowanie.

Kiedy w praktyce stosuje się filtrowanie pakietów w sieci firmowej?

Gdy trzeba szybko ograniczyć komunikację między segmentami sieci (np. VLAN, DMZ, WAN) i dopuścić tylko wybrane usługi, np. DNS, HTTP/HTTPS lub SSH administracyjne. To podstawa twardej segmentacji i minimalizacji powierzchni ataku przy administrowaniu siecią.

Jakie błędy najczęściej robi się przy konfiguracji reguł zapory?

Typowe błędy to: zła kolejność reguł (bardziej ogólna blokuje szczegółową), brak polityki domyślnej, pomylenie kierunku ruchu, nieuwzględnienie ruchu powrotnego oraz zbyt szerokie wyjątki (np. "allow any"). Warto zawsze testować reguły i dokumentować zmiany.

Jak najłatwiej rozpoznać w zadaniu, że chodzi o zaporę filtrującą pakiety?

Szukaj słów kluczowych: pakiety, reguły, zezwalanie/blokowanie, adres IP, port, protokół. Jeżeli pojawia się "zmiana adresu" – to raczej NAT, a gdy "połączenie w imieniu użytkownika" – to proxy. Takie rozróżnienie często przesądza o poprawnej odpowiedzi.

info

Statystycznie 68% uczniów zna prawidłową odpowiedź. średnie

Eksperci podkreślają: "Zapora filtrująca pakiety działa na poziomie sieci i kontroluje ruch, porównując nagłówki pakietów (np. adresy IP, porty, protokół) z wcześniej zdefiniowanymi regułami."

Źródła:

NIST Special Publication 800-41 Revision 1: Guidelines on Firewalls and Firewall Policy, sections on packet filtering and firewall capabilities, 2009, https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-41r1.pdf (dostęp: 2026-02-18)
RFC 2979: Behavior of and Requirements for Internet Firewalls, IETF, 2000, https://www.rfc-editor.org/rfc/rfc2979 (dostęp: 2026-02-18)
Cisco documentation: Filtering at the Network Layer / Access Control Lists overview (materiał o regułach filtrowania ruchu), https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html (dostęp: 2026-02-18)

Materiały:

Dokumentacja producenta zapory/routera używanego w laboratorium (sekcje o regułach i politykach)
Materiały szkoleniowe z podstaw bezpieczeństwa sieci (zapory, NAT, proxy, ACL)
Ćwiczenia praktyczne: tworzenie i testowanie reguł filtrowania w środowisku wirtualnym

Aktualizacja pytania: 31.03.2026

LOGOWANIE

KWALIFIKACJA INF8 - CZERWIEC 2017

Dodatkowe pytania

Dodatkowe pytania (FAQ):

Zobacz też: