Firewall

beskytte software

En firewall eller på dansk brandmur er et stykke netudstyr eller software, der udvælger hvilke netværkspakker som skal have adgang fra den ene side af firewall til den anden side efter et regelsæt.

En firewall's funktion
For alternative betydninger, se Firewall (flertydig). (Se også artikler, som begynder med Firewall)

Oftest sidder firewallen mellem adgang til et ubeskyttet netværk som fx Internet og et beskyttet netværk fx LAN. En firewall skal således hindre uautoriseret adgang til det interne netværk. En sådan firewall kaldes en netværksfirewall. Firewallen er typisk ikke lavet udelukkende i hardware. Derimod afvikler den et program, som kan opdateres. Nogle firewalls har en webserver indbygget, så de er nemme at administrere via en browser.

En personlig firewall er et computerprogram, som modererer netværkstrafikken til og fra de netkort, hvor firewallen er slået til på en enkelt computer.

De fleste firewall understøtter NAT.

Regelsættet i en firewall fungerer som et filter, så den første regel, som den aktuelle trafik passer med, bliver brugt. Det betyder, at de specifikke regler skal definers først og de generelle senere. Et simpelt regelsæt for en personlig firewall kunne være:

  • Tillad al trafik fra denne maskine.
  • Tillad al trafik til denne maskine, hvis det er svar på udgående trafik,
  • Tillad DHCP fra en kendt DHCP-server.
  • Log det, der ikke er taget stilling til og fortsæt med næste regel
  • Afvis det, der ikke er taget stilling til.

Hvis det drejer sig om en servermaskine er regelsættet mere omfattende.

Pakkefilter

redigér

Den enkleste form for firewall er et pakkefilter. Hver IP-pakke inspiceres og vil enten blive afvist eller accepteret. Med dette system kan TCP-baseret trafik håndteres, da der sendes en speciel synkroniseringspakke (med SYN-flag) som fortæller, at der etableres en ny forbindelse. Hvis denne pakke afvises, kan der ikke etableres en forbindelse. Et pakkefilter kan også skelne mellem afsender- eller modtageradresser og afvise eller acceptere trafik på basis af disse oplysninger.

Et pakkefilter kan ikke filtrere UDP effektivt fordi, er ikke etableres forbindelser med denne protokol. Filtret kan indstilles til at acceptere UDP-pakker, som opfylder bestemte kriterier, men det er ikke muligt, at se om en UDP-pakke er en forespørgsel eller en del af et svar. Man kan sjældent udelukke UDP-trafikken helt, da navneservere bruger UDP. Da et pakkefilter er forholdsvist enkelt, kan det gøres meget hurtigt, så store trafikmængder kan filtreres.

Firewall-protokolunderstøttelse (eng. Application Support)

redigér

Mange firewall-implementeringer kan ikke håndtere andet end rå TCP, passiv FTP, ICMP, UDP.

Mere avancerede protokoller, især multimedia, som fx RTSP (med RTP/UDP), IPsec (VPN), Real Audio, Windows Media, H.323, SIP, Quake understøttes ikke.

En sidste løsningsmodel, for at få avancerede ikke understøttede protokoller igennem, er at åbne for de tcp/udp-porte i de intervaller, der skal anvendes fra/til internettet. Sikkerhedsmæssigt er dette ikke så smart, men det kan anvendes.

Se også

redigér

Kilder/henvisninger

redigér
 
Wikimedia Commons har medier relateret til:

Eksterne henvisninger

redigér

Lag 7 firewall/traffic shaper

redigér

Klientinformation

redigér