Fully qualified domain name

(plně kvalifikované doménové jméno)
Symbolické jméno, přidělené konkrétní doménou, ještě zdaleka nemusí být celosvětově jednoznačné - například skoro v každé doméně existuje uzel, plnící roli WWW serveru a pojmenovaný www. Symbolické jméno, přidělené v určité doméně, se s určitostí stane celosvětově unikátní až v okamžiku, kdy se k němu přidá (připíše, a to zprava) ještě celosvětově unikátní jméno domény jako takové - například domény chipweek.cz - čímž vzniká tzv. plně kvalifikované symbolické doménové jméno, např. www.chipweek.cz. K zajištění jeho unikátnosti je samozřejmě nutné, aby v příslušné doméně nebylo jedno symbolické jméno přiděleno dvakrát či dokonce vícekrát. To ale není až tak velký problém zajistit, zvláště když velikost domény lze ovlivnit a dosáhnout takové konkrétní velikosti, která zajišťuje potřebnou přehlednost a organizační zvládnutelnost.

Domain

(doména)
pokud by se symbolická jména přidělovala "z jednoho pytle", neboli z jediného jmenného prostoru, tento by byl velmi záhy vyčerpán, a musela by být používána i značně kryptická (umělá, nesrozumitelná) symbolická jména, což by negovalo hlavní cíl systému DNS. Jediným řešením je vytvořit dostatečný počet "pytlů" (jmenných prostorů), ze kterých by bylo možné čerpat, a které by byly nezávislé na sobě - právě to je podstata tzv. domén. Každou doménu si lze představit jako jeden takovýto "pytel" se jmény, ze kterého lze čerpat (přidělovat) nová symbolická jména, bez toho že by bylo nutné brát ohled na dění v jiných doménách - ptát se jich na souhlas či jinak se s nimi koordinovat, či brát ohled na to, zda stejné symbolické jméno již bylo použito v jiné doméně.

dns

Dále bylo nutné zavést určitá opatření i do způsobu přidělování symbolických jmen jednotlivým uzlům Internetu, tak aby tato jména byla také celosvětově jednoznačná, a byl vůbec možný jejich překlad na číselné IP adresy - tato opatření počítají s existencí tzv. domén, a zpětně ovlivňují i tvar symbolických jmen, přidělovaných jednotlivým uzlům - tato jsou nyní tzv. symbolickými jmény doménového typu (či zkráceně: symbolickými doménovými jmény). Výsledkem je pak celý ucelený systém, umožňující uživatelům používat symbolická doménová jména místo číselných adres. Součástí tohoto systému jsou jak pravidla pro tvorbu doménových jmen i domén jako takových, tak i mechanismy a prostředky pro praktický převod symbolických jmen na číselné IP adresy (systém tzv. name serverů, které dohromady tvoří distribuovanou databázi obsahující potřebné převodní informace). Celému tomuto systému se dohromady říká DNS - Domain Name System, neboli "systém doménových jmen".

dNS

DNS (Domain Name System, systém doménových jmen)
přenosové protokoly Internetu identifikují jednotlivé uzly prostřednictvím tzv. IP adres, např. 193.84.252.1, které jsou celosvětově unikátní. Pro člověka jsou ale tyto adresy velmi špatně zapamatovatelné - lidé by nejraději dávali svým počítačům snadno zapamatovatelná jména, např. mail, WWW, sef, sun1 apod. Pokud by k takovýmto symbolickým jménům existovala vhodná převodní tabulka, ve které by bylo uvedeno jaká číselná IP adresa odpovídá kterému symbolickému jménu, bylo by použití symbolických jmen možné. V rozsahu celosvětového Internetu by ale takováto tabulka vycházela neúměrně velká, a místo ní musí být použita obrovská distribuovaná databáze.

...

V zásadě tedy lze říci, že díky zavedení mechanismu CIDR lze IP adresy přidělovat po skupinách velikosti libovolné mocniny dvou (to proto, aby bylo vždy možné rozdělit jejich 32 bitů na část odpovídající adrese sítě, a část odpovídající relativní adrese uzlu v rámci sítě).
Zavedení mechanismu CIDR současně pomohlo řešit i jeden další naléhavý problém - neúměrně rostoucí objem směrovacích informací, které musí distribuovány po celém Internetu, a které si musí pamatovat každý směrovač. Díky CIDR blokům je možné objem těchto informací velmi významně snížit, ovšem za cenu toho, že IP adresy se stanou závislé na konkrétním poskytovateli připojení (v zásadě si lze představit, že Internet provider, který současně musí být i IP registry), dostane přidělen celý CIDR blok adres. Z něj pak "vykrajuje" menší CIDR bloku a ty přiděluje svým zákazníkům, ovšem detailní informace o tomto "vykrojení" již nemusí šířit do světa, ale ponechává si je pouze u sebe).

CIDR

(Classless InterDomain Routing)
jedním z důvodů, proč nově vyvinutý protokol IPv6 nedoznal zatím příliš velkého nasazení, je ztráta motivace - nebezpečí brzkého vyčerpání 32-.bitového adresového prostoru současných IP adres totiž bylo různými dočasnými opatřeními zmírněno natolik, že do radikální změny v podobě přechodu na zcela nový protokol se dnes nikdo nehrne. Snad nejefektivnějším opatřením na úsporu a efektivnější přidělování IP adres bylo zavedení mechanismu CIDR (Classless InterDomain Routing). Ten si lze v zásadě představit jako odstranění původního dělení na třídy A, B a C, a na jejich nahrazení libovolně velkými logickými celky, které odpovídají celým sítím (nyní jde o tzv. CIDR bloky - například čtyři původní síťové IP adresy třídy C mohou tvořit jeden CIDR blok, a být přiděleny provozovateli, který si nárokuje několik stovek jednotlivých IP adres.

IPnG, IPv6

(IP next generation, IP version 6)
způsob přidělování IP adres po celých třídách A, B a C časem začal být příliš neefektivní. Při prudkém rozvoji Internetu, a tím při nesmírné poptávce po IP adresách totiž začalo hrozit i jejich případné vyčerpání. Radikálním a současně i definitivním řešením hrozícího nebezpečí mohl být pouze přechod na větší síťové adresy (s větším počtem bitů), ale to znamenalo úplně předělat celý protokol IP (do kterého jsou stávající 32-bitové IP adresy tak dokonale "zažrány", že změna velikosti adres není dost dobře možná). Proto byl vyvinut nástupce současného protokolu IP (verze č. 4). Nový protokol IP, který již pracuje se 128 bitovými adresami, dostal jméno "IP nové generace" (IPnG, IP Next Generation), nebo je označován také jako IP verze 6 (IPv6, přičemž verze 5 neexistuje). Praktické nasazení tohoto protokolu je ale zatím téměř nulové.

IP registry

v ranných dobách Internetu byly IP adresy distribuovány přímo z jediného centra, a dokud poptávka po nich nebyla příliš velká, mohlo toto středisko (při jedné univerzitě v USA) svou roli zvládat bez větších problémů. Jakmile však zájem o IP adresy vzrostl, muselo toto středisko delegovat část svých pravomocí a povinností "dílčím přidělovatelům", typicky po jednom z každé země , připojené k Internetu,. Těmto subjektům se pak začalo říkat IP registry (někdy překládáno jako "IP registrář"). Ještě později, kvůli zavedení mechanismu CIDR (viz dále) došlo k ještě jemnější delegaci pravomoci k přidělování IP adres - dnes v zásadě musí být takovýmto přidělovatele (IP registry) každý Internet provider s vlastní přípojkou do zahraničí.

IP

Proto zavedli tři tzv. třídy IP adres, pojmenované A, B a C (přičemž ještě existují i třídy D a E, pro speciální účely). Třída A je určená pro velmi velké sítě, a je charakteristická tím, že pro číslo sítě používá 7 bitů, zatímco pro relativní adresu uzlu má vyhrazeno 24 bitů. To znamená, že sítí s adresou třídy A může být nejvýše 128 (tj. dvě, umocněno na 8, ve skutečnosti ale méně, protože krajní hodnoty mají speciální význam). Na druhé straně každá z takovýchto sítí může mít až 2 umocněno na 24 různých uzlů, což je opravdu hodně. Adresy třídy B rozdělují 32 bitů celé IP adresy na obě logické složky rovnoměrněji: pro adresu sítě mají vyčleněno 14 bitů, a pro relativní adresu uzlu v rámci sítě bitů 16 (dva bity jsou nutné pro rozlišení tohoto typu adresy). Adresy třídy B proto byly určeny pro středně velké sítě, čítající maximálně 65 536 uzlů (přesněji o dva méně, bez obou krajních). Adresy třídy C pak byly určeny pro nejmenší sítě maximálně s 256 uzly (přesněji 254, kvůli oběma krajním hodnotám) - protože pro relativní adresu uzlu v rámci sítě mají vyhrazeno jen 8 bitů. Pro další vývoj IP adres pak bylo nesmírně podstatné, že tyto adresy se přidělovaly vždy po celých třídách: pokud někdo chtěl například jen čtyři IP adresy (pro velmi malou síť se čtyřmi uzly), nejmenší "kvantum" které mohl dostat přidělené byla jedna síťová adresy třídy C (lidově tzv. jedno C-čko), neboli 256 jednotlivých IP adres. V případě sítě s několika stovkami uzlů to bylo dokonce ještě horší: místo již nepostačující adresy třídy C dostal majitel takovéto sítě jednu adresu třídy B, a tím 65 536 různých IP adres (které využil například jen na několik málo procent).

Pro potřeby takovéhoto směrování si jednotlivé směrovače (routery) pamatují vždy jen to, kde leží určitá konkrétní síť jako celek, a již se nezabývají jednotlivými počítači v rámci těchto dílčích sítí (pokud by tak činily, museli by si uchovávat mnohem větší objem informací o topologii celé výsledné soustavy sítí).
Představě, že určitá skupina uzlů tvoří jeden logický celek - síť - autoři protokolů TCP/IP nutně museli uzpůsobit i celou koncepci IP adres a způsob jejich distribuce. Dvaatřicetibitové IP adresy rozdělily logicky na dvě části tak, aby jedna z nich (tvořená vyššími bity) představovala číslo sítě, zatímco zbývající (nižší) bity budou reprezentují relativní adresu konkrétního uzlu v rámci příslušné sítě (s tím že směrovače se při svém rozhodování řídí vždy jen síťovou částí IP adresy). Autoři TCP/IP naštěstí předpokládali, že k Internetu se budou připojovat opravdu různě velké sítě (od velmi velkých, které mohou mít až stovky tisíc uzlů), až po velmi malé sítě, s desítkami uzlů.

Class A, B, C

(IP adresy třídy A, B a C)
Když se autoři protokolů TCP/IP rozhodli pro adresy v rozsahu 32 bitů, představovalo to z jejich tehdejšího pohledu více než dostatečnou rezervu. Dokonce rezervu tak velikou, že si mohli dovolit určitou nehospodárnost v přidělování těchto adresu - což ale na druhé straně velmi šikovně využili pro efektivní fungování přenosových mechanismů, zejména pak protokolu IP. Vtip je v tom, že vždy určitou skupinu IP adres prohlásili za jeden celek (odpovídající jedné síti), a protokol IP uzpůsobili tak, aby této skutečnosti využíval, zejména při tzv. směrování (neboli při hledání cest v soustavě vzájemně propojených sítí).

Pro člověka

však takovéto čistě číselné adresy nejsou vhodné proto, že jsou málo mnemonické - a to i v případě, kdy se použije obvyklá konvence pro symbolické zapisování těchto adres: celé 32-bitové číslo, představující konkrétní IP adresu, se rozdělí na 4 části, odpovídající jednotlivým 8-bitovým bytům. Obsah každé z těchto čtyř částí (bytů) se pak vyjádří samostatné jako desítkové číslo, a čtyři takto vzniklá čísla se zapíší za sebe, oddělená čárkami. výsledkem jsou zápisy typu: 193.84.252.1, které sice vypadají mnohem "uživatelsky přítulněji" než 32-bitová binární čísla, ale stále ještě nejsou pro člověka snadno zapamatovatelná. Z tohoto důvodu se v Internetu zavedla ještě další možnost - použití tzv. symbolických doménových jmen (o nich si ale povíme příště).

IP adresy

IP address (IP adresa)
Pro fungování protokolů TCP/IP, a ostatně i pro fungování samotného Internetu, který je na těchto protokolech vybudován, je nezbytně nutný vhodný mechanismus pro adresování konkrétních uzlů sítě. Důležité přitom je, aby každý jednotlivý uzel měl jednoznačnou (tzv. unikátní) síťovou adresu - což v případě celosvětového Internetu znamená celosvětově unikátní síťovou adresu. Přenosové protokoly TCP/IP, zejména pak protokoly síťové vrstvy (tj. hlavně protokol IP) za tímto účelem používají číselné adresy v rozsahu 32 bitů, označované jako tzv. IP adresy.

Caching proxy

(cachující proxy brána)
s funkcí proxy brány bývá často spojena i existence vyrovnávací (cache) paměti, která si pamatuje odpovědi na požadavky které sama zprostředkovala. Při dalším požadavku na stejná data pak může poskytnout odpověď přímo ze své cache paměti, což je jednak rychlejší, a jednak to šetří přenosovou kapacitu. Nejčastější jsou cachující proxy brány používány právě pro službu WWW - zde si cachující brána pamatuje WWW stránky, které skrz ni prošly, a při opakované žádosti o tytéž stránky je již nemusí sama znovu získávat z jejich originálního umístění.

Proxy

častějším označením pro brány na aplikační úrovni je termín "proxy", či "proxy brána" (proxy gateway). Asi nejsnáze lze způsob fungování aplikační brány (proxy brány) popsat na příkladu WWW proxy brány, umístěné v demilitarizované zóně: když nějaký uživatel v chráněné privátní síti chce získat WWW stránku z některého WWW serveru v nechráněném Internetu, nemůže svůj požadavek poslat přímo, skrz demilitarizovanou zónu (protože skrz ni nic neprojde). Místo toho uživatelův browser pošle požadavek WWW proxy bráně, umístěné přímo v demilitarizované zóně. Ta pak požadavek znovu vyšle (nyní již svým jménem) z demilitarizované zóny do nechráněného Internetu, počká si na odpověď, a tu pak vrátí zpět původnímu žadateli. Důležité přitom je, že uživatel v chráněné privátní síti nemusí o ničem vědět - existence WWW proxy brány mu může zůstat utajena (a "ví o ní" jen jeho browser, který je nakonfigurován tak, aby všechny uživatelovy požadavky posílal příslušné proxy bráně).

ALG

ALG (Application-Level Gateway)
"hlídač", umístěný v demilitarizované zóně a zajišťující kontrolovaný průchod dat skrz tuto zónu, bude mít tím větší možnosti fundovaného rozhodnutí, čím více bude rozumět tomu, co skrz něj prochází. Proto je většina takovýchto "hlídačů", umisťovaných do demilitarizované zóny a fungujících jako přestupní uzly pro průchod skrz zónu, řešena až na úrovni jednotlivých aplikací - například samostatně pro elektronickou poštu, samostatně pro službu WWW, samostatně pro FTP atd. Proto se jim také obecně říká "Application-Level Gateway, neboli "brána na aplikační úrovni".

V odborné terminologii se tomuto mezistupni říká trefně "demilitarizovaná zóna", neboť skutečně slouží jako určité nárazníkové pásmo mezi oběma okolními světy. Jde ostatně o stejný princip, jaký lidé znají už celá staletí, a používali jej třeba při stavbě středověkých hradů - ty obehnali vodním příkopem, přes který se nikdo nemohl dostat. Pak vytvořili jedinou, hodně úzkou bránu do hradu (s padacím mostem), a ta byla jediným místem, skrz které bylo možné se do hradu dostat. U brány přitom stál hlídač, a nikdo nemohl kolem něj proklouznout bez povšimnutí - hlídač si každého kdo přicházel či odcházel zkontroloval, a buďto pustil, nebo nepustil. Analogicky funguje i demilitarizovaná zóna v rámci dnešních firewallu. Také skrz ni nemůže nic projít přímo, a jediná možnost je využít služeb přestupního uzlu, umístěného přímo v demilitarizované zóně (a plnícího roli hlídače).

Demilitarized zone

DMZ, (demilitarizovaná zóna)
komplexnější řešení, plnící roli firewallu, bývají založena na použití určitého "mezistupně" mezi oběma světy, které mají být řízeným způsobem propojeny - tedy mezi chráněnou privátní sítí, a nechráněným Internetem. Tento mezistupeň má charakter malého samostatného síťového segmentu, který je "viditelný" z každé z obou stran, ale není "průhledný skrz": díky způsobu, jakým je propojen s privátní sítí i se samotným Internetem je možný pouze takový provoz, který začíná či končí v tomto "mezistupni", ale žádný provoz nemůže projít "skrz" něj.

Packet filter

(paketový filtr)
jedním možným technickým řešením, které dokáže oddělit od sebe dvě části sítě a připustit jen konkrétně vymezený druh provozu mezi nimi, jsou tzv. paketové filtry. Lze si je představit jako hlídače, kteří kontrolují každý síťový paket který skrz ně prochází, dívají se do jeho obsahu a podle toho se rozhodují, zda jeho průchod povolí či nikoli. Pracují na úrovni síťové vrstvy (na které se přenáší jednotlivé pakety, odsud: paketové filtry), a tedy na stejné úrovni, na jaké pracují klasické směrovače - konstrukčně proto mohou být řešeny například i jako čistě softwarová nadstavba nad běžnými směrovači. Důležité ale je, že paketové filtry se "dívají" dovnitř datových paketů ještě hlouběji, než jak činí běžné směrovače, a dokáží z nich tudíž získat mnohem více informací a podkladů pro své rozhodování (například to, které aplikaci data patří). Celý firewall, chápaný jako "řešení zvyšující bezpečnost" přitom může být realizováno jedním jediným paketovým filtrem (tj. pak je paketový filtr sám o sobě firewallem). Stejně tak ale může být paketový filtr použit jako součást komplexnějšího řešení, které plní roli firewallu.

...

Na opačném konci spektra stojí komplexnější řešení, tvořená kombinací technických a programových prostředků. Obecně se všem takovýmto opatřením (resp. řešením na zvýšení bezpečnosti) říká "firewall", což v doslovném překladu znamená ohnivou stěnu. To odpovídá nejčastějšímu nasazení, pro potřeby oddělení chráněné privátní sítě (například podnikové sítě LAN) od "divokého" Internetu, ve kterém mohou působit různí hackeři, crackeři či jiní nezvaní uživatelé, přičemž "firewall" má sloužit právě jako zábrana proti jejich nežádoucím aktivitám.

Firewall

absenci zabezpečovacích mechanismů v samotném Internetu (na úrovni jeho přenosových mechanismů) lze samozřejmě kompenzovat dodatečnými opatřeními, které se realizují v koncových uzlech (nikoli v přenosových částech sítě), a to tam, kde jsou skutečně zapotřebí (na úrovni konkrétních aplikací). Taková je ostatně i celková filosofie Internetu, která říká že přenosové mechanismy by měly hlavně přenášet data, zatímco o další věci (včetně zabezpečení) by se měly starat ty subjekty (koncové uzly a aplikace na nich provozované), které to fakticky potřebují a jsou k tomu i lépe disponovány a vybaveny. Ke zvýšení bezpečnosti přitom lze použít celou širokou škálu řešení, začínající u čistě organizačních opatření (spočívajících například v tom, že důležitá data se nenechávají na pevných discích, ale uchovávají se na disketách, které se uzamykají do trezorů).

Hacker, cracker

nebezpečí a potenciální ohrožení na Internetu skutečně existují, i když v praxi bývá jejich význam často přeceňován. Na druhé straně není správné ani jejich úplné ignorování - důležité je reálné posouzení míry ohrožení, významu toho, co má být chráněno, i možností dodatečné ochrany. Jedno z možných ohrožení přitom pochází od lidí, pro které se vžilo označení "hacker". Jsou to odborně velmi zdatní uživatelé Internetu, kteří dokáží překonat mnohé nástrahy a využít nejrůznější mezery a skulinky k provedení něčeho, co "není zcela standardní". Důležitá je přitom jejich motivace a podstata jejich "nestandardních" činů. Klasický hacker nemusí mít skutečně zlé úmysly, spíše mu jde o to, aby si ověřil svou odbornou zdatnost, aby ukázal co umí, aby se předvedl, či aby "přišel věcem na kloub" - takže například někam neoprávněně pronikne jen proto, aby se podíval co tam je, nebo aby sám sobě či někomu jinému dokázal, že to zvládne. Jde tedy v jistém smyslu o hodně specifický druh zábavy a vlastní seberealizace. Pokud má "narušitel" skutečně zlé úmysly, a své akce podniká s cílem ublížit, zničit, něco neoprávněně získat, využít apod., pak je označován spíše jako "cracker". V praxi ale toto jemné rozlišení není bráno příliš v úvahu, a termínem "hacker" je nepříliš správně označován i cracker, neboli i ten, kdo má skutečně zlé úmysly.