Podczas analizy pakietu danych przez zaporę sieciową <b>nie jest</b> brany pod uwagę

Prawidłowo wskazany został adres fizyczny nadawcy, czyli adres MAC. Typowa zapora sieciowa, szczególnie taka działająca na brzegu sieci lub w routerze, analizuje pakiety głównie na poziomie warstwy trzeciej i czwartej modelu ISO/OSI, czyli IP oraz porty TCP/UDP. To właśnie dlatego w regułach firewalla zawsze widzisz pola typu: źródłowy adres IP, docelowy adres IP, port źródłowy, port docelowy, protokół (TCP, UDP, ICMP). Moim zdaniem to jest taki absolutny standard, bez którego żadna sensowna polityka bezpieczeństwa by nie zadziałała. Adres MAC funkcjonuje w warstwie drugiej (warstwa łącza danych) i jest istotny dla przełączników, mechanizmów typu VLAN, STP czy filtrowania na poziomie portów switcha. Klasyczna zapora sieciowa L3/L4 – zgodnie z dobrymi praktykami i typowymi wdrożeniami w firmach – nie opiera reguł na adresach MAC, bo te zmieniają się przy każdym przejściu przez router. Pakiet IP przechodzący przez Internet będzie miał ten sam adres IP nadawcy i odbiorcy (pomijając NAT), ale adresy MAC będą inne na każdym kolejnym odcinku sieci, zależne od lokalnych interfejsów. W praktyce, gdy administrator konfiguruje firewall w małej firmie, zwykle blokuje np. ruch z określonej podsieci IP, zamyka porty 445/TCP czy 3389/TCP, albo zezwala tylko na ruch HTTP/HTTPS na portach 80 i 443. Nikt normalnie nie wpisuje tam adresów MAC komputerów z biura, bo firewall ich po prostu nie widzi w klasycznym scenariuszu routingu. Są oczywiście rozwiązania UTM czy zapory warstwy 2, które potrafią brać MAC pod uwagę, ale w typowym, podręcznikowym pytaniu o analizę pakietu przez zaporę sieciową chodzi właśnie o to rozróżnienie: firewall analizuje IP i porty, a nie adres fizyczny nadawcy. Z mojego doświadczenia dobrze jest kojarzyć to z modelem OSI: firewall – warstwa 3/4, switch – warstwa 2. Jak myślisz o regułach firewalla, myśl o IP i portach, a o MAC-ach raczej w kontekście sieci lokalnej i przełączników. To bardzo ułatwia później projektowanie i diagnozowanie sieci.