Hoppa till innehållet
Hem

Brandvägg (nätverkssäkerhet)

Brandvägg (nätverkssäkerhet): Översikt av funktion, typer och regler för att filtrera och kontrollera trafik mellan betrodda nätverk och Internet, skyddsändamål, loggning, driftsätt och begränsningar.

Brandvägg är en samling tekniker och programvara eller hårdvara som används för att kontrollera och begränsa nätverkstrafik mellan ett betrott nätverk och ett mindre betrott nätverk, till exempel Internet. En brandvägg tillämpar en uppsättning regler för att avgöra vilka anslutningar eller datapaket som tillåts passera och vilka som blockeras.

Bildgalleri

1 Bild

Syfte och funktion

  • Skydd mot obehörig åtkomst: Hindra externa angripare från att nå interna resurser.
  • Segmentering: Avgränsa delar av ett nätverk så att trafik mellan dem kan kontrolleras.
  • Filtrering: Granska och tillåta eller avvisa trafik baserat på kriterier som IP-adress, port, protokoll och innehåll.
  • Loggning och övervakning: Registrera händelser för felsökning och säkerhetsanalyser.

Typer av brandväggar

  • Programvarubaserad brandvägg: Körs som en tjänst på en dator eller server. Exempelvis host-baserade brandväggar på arbetsstationer eller servrar. Mer om denna kategori finns under programvara.
  • Hårdvarubrandvägg: En fristående enhet som är placerad i nätverksgränssnittet och ofta används för att skydda hela nätverk.
  • Paketfilter: Beslutar om enskilda paket får passera baserat på rubriker och lätta kriterier.
  • Stateful inspection: Håller reda på anslutningars tillstånd (till exempel etablerad, relaterad) och fattar beslut utifrån detta.
  • Applikationsfiltrerande proxy (application-layer): Analyserar protokoll på högre nivå (t.ex. HTTP, SMTP) och kan filtrera innehåll eller utföra inspektion på applikationsnivå.
  • Unified Threat Management (UTM): Integrerar brandvägg med andra säkerhetsfunktioner som intrusion prevention, antivirus och webbfiltrering.

Regler och paketfiltrering

En brandväggs beteende styrs av regler som specificerar villkor och handlingar. Regler kan vara enkla eller komplexa och används för att implementera organisationens säkerhetspolicy.

  1. Regeln matchar kriterier (källa, destination, port, protokoll, tid m.m.).
  2. Om en regel matchar, tillämpas den angivna åtgärden (tillåt, blockera, logga, vidarebefordra).
  3. Om inga regler matchar gäller vanligtvis en standardpolicy (vanligen att blockera).

Placering i nätverket och driftsätt

Brandväggar placeras i nätverkets gränssnitt, till exempel mellan internnätverk och Internet eller mellan interna segment. I större nätverk körs ofta brandväggsprogram på dedikerade maskiner eller fysiska enheter som inte utför andra uppgifter, för att minimera risker och optimera prestanda.

Begränsningar och kompletterande skydd

  • En brandvägg skyddar mot vissa nätverksbaserade angrepp men är inte ett fullständigt skydd mot alla hot.
  • Dolda eller legitima protokoll kan kringgå enkla filter; därför krävs ofta djupare inspektion eller proxyfunktioner.
  • Kompletterande åtgärder inkluderar intrångsdetektering/-prevention, regelbundna uppdateringar, segmentering, säkerhetskopiering och starka autentiseringsrutiner.

Praktiska råd för konfiguration

  • Använd en princip för minsta privilegium: tillåt endast nödvändig trafik.
  • Granska och förenkla regelverk regelbundet för att undvika överlapp och konflikter.
  • Logga och övervaka trafik för att upptäcka ovanliga mönster och incidenter.
  • Testa regelverket i en kontrollerad miljö innan det införs i produktion.

Sammanfattning

En brandvägg är ett centralt verktyg i nätverkssäkerhet som, genom en kombination av filtrering, regler och övervakning, begränsar vilka anslutningar och datapaket som får passera. Beroende på behov kan lösningen vara programvarubaserad, hårdvarubaserad eller en kombination av flera tekniker för att uppnå önskad nivå av skydd och prestanda. Läs mer om hur regler och paket hanteras i respektive avsnitt ovan eller följ länkarna till vidare information om programvara, regler och paket.

Olika typer av brandväggar.

Paketfiltrering/nätverksskikt

Data skickas på internet i små bitar, som kallas paket. Varje paket har vissa metadata, t.ex. varifrån det kommer och vart det ska skickas. Det enklaste är att titta på metadata. Baserat på regler släpps eller avvisas sedan vissa paket. Alla brandväggar kan göra detta. Det görs på nätverkslagret.

Tillståndsmässig paketinspektion

Förutom den enkla paketfiltreringen (ovan) håller den här typen av brandvägg också reda på anslutningar. Ett paket kan vara början på en ny anslutning eller vara en del av en befintlig anslutning. Om det inte är något av de två är det troligen oanvändbart och kan därför tappas bort.

Brandväggar i applikationsskiktet

Brandväggar i applikationsskiktet tittar inte bara på metadata utan även på de faktiska data som transporteras. De vet hur vissa protokoll fungerar, till exempel FTP eller HTTP. De kan då se om uppgifterna i paketet är giltiga (för det protokollet). Om det inte är det, kan det tappas bort.

 

Andra saker som brandväggar används till

Tunnling

Brandväggar kan ge en säker anslutning mellan två nätverk. Detta kallas tunnellng. Uppgifterna kan vara krypterade. De dekrypteras i den andra änden. Eftersom brandväggarna gör detta är resten av nätverket omedvetet om det. Ett alternativ är att tillhandahålla en säker åtkomst (till företagsnätet).

 

Översättning av nätverksadresser (NAT)

Mycket ofta kan brandväggar översätta IP-adresser. På så sätt kan många datorer dela på ett fåtal offentliga IP-adresser. Brandväggen översätter mellan de offentliga och privata IP-adresserna.

 

Typer av brandväggar

I allmänhet finns det två typer av brandväggar:

  • Mjukvarubaserade brandväggar: Dessa brandväggar körs ofta som tilläggsprogram på datorer som används för andra saker. De kallas ofta för personliga brandväggar som kan uppdateras på persondatorer.

Bland de framstående varumärkena finns OPNsense, pfsense, comodo etc.

  • Hårdvarubaserade brandväggar: Hårdvarubaserade brandväggar körs på en särskild dator (eller apparat). Ofta ger de bättre prestanda än mjukvarubrandväggar, men de är också dyrare.

Bland de främsta varumärkena finns PaloAlto, WiJungle, Checkpoint, Cisco etc.

 

Vad brandväggar inte kan skydda mot

Brandväggar kan skydda mot vissa problem (virus och attacker) som kommer från Internet. De kan inte skydda mot virus som kommer från infekterade medier (t.ex. ett infekterat kontorsdokument på ett USB-minne).

 

Frågor och svar

F: Vad är en brandvägg?

S: En brandvägg är en programvara som används inom datasäkerhet och som övervakar nätverkstrafik mellan betrodda och mindre betrodda nätverk och tillämpar en uppsättning regler på varje paket.

F: Vad gör en brandvägg?

S: En brandvägg skyddar en del av nätverket mot obehörig åtkomst genom att tillämpa en uppsättning regler på varje paket med nätverkstrafik som passerar genom den.

F: Vilka nätverk skyddar en brandvägg?

S: En brandvägg placeras mellan det nätverk som ska skyddas (tillförlitligt) och det externa nätverket (mindre tillförlitligt), t.ex. WAN eller Internet.

F: Var placeras brandväggen i ett nätverk?

S: Brandväggen placeras mellan det betrodda nätverket och det externa nätverket (mindre betrott), t.ex. WAN eller Internet.

F: Vilka regler tillämpar en brandvägg?

S: En brandväggs uppsättning regler avgör om ett paket med nätverkstrafik kan passera till det betrodda nätverket eller om det ska kasseras.

F: Hur fungerar en brandvägg?

S: Brandväggen övervakar nätverkstrafik som passerar mellan betrodda och mindre betrodda nätverk och tillämpar en uppsättning regler på varje paket för att avgöra om det får passera eller inte.

F: Skyddar en brandvägg hela nätverket?

S: Nej, en brandvägg skyddar bara en del av nätverket mot obehörig åtkomst.

Relaterade artiklar

Författare

AlegsaOnline.com Brandvägg (nätverkssäkerhet)

URL: https://sv.alegsaonline.com/art/34494

Dela