Brandvägg (nätverk)
När det gäller datasäkerhet är en brandvägg en programvara. Programvaran övervakar nätverkstrafiken mellan insidan och utsidan. Brandväggen placeras mellan det nätverk som ska skyddas (betrodd) och det yttre nätverket (mindre betrodd), även kallat WAN eller Internet. En brandvägg har en uppsättning regler som tillämpas på varje paket. Reglerna avgör om ett paket kan passera eller om det ska kasseras. när ett stort nätverk behöver skyddas körs brandväggsprogrammet ofta på en dator som inte gör något annat.
En brandvägg skyddar en del av nätverket mot obehörig åtkomst.
En brandvägg skyddar ett antal datorer på ett LAN mot obehörig åtkomst.
Olika typer av brandväggar.
Paketfiltrering/nätverksskikt
Data skickas på internet i små bitar, som kallas paket. Varje paket har vissa metadata, t.ex. varifrån det kommer och vart det ska skickas. Det enklaste är att titta på metadata. Baserat på regler släpps eller avvisas sedan vissa paket. Alla brandväggar kan göra detta. Det görs på nätverkslagret.
Tillståndsmässig paketinspektion
Förutom den enkla paketfiltreringen (ovan) håller den här typen av brandvägg också reda på anslutningar. Ett paket kan vara början på en ny anslutning eller vara en del av en befintlig anslutning. Om det inte är något av de två är det troligen oanvändbart och kan därför tappas bort.
Brandväggar i applikationsskiktet
Brandväggar i applikationsskiktet tittar inte bara på metadata utan även på de faktiska data som transporteras. De vet hur vissa protokoll fungerar, till exempel FTP eller HTTP. De kan då se om uppgifterna i paketet är giltiga (för det protokollet). Om det inte är det, kan det tappas bort.
Andra saker som brandväggar används till
Tunnling
Brandväggar kan ge en säker anslutning mellan två nätverk. Detta kallas tunnellng. Uppgifterna kan vara krypterade. De dekrypteras i den andra änden. Eftersom brandväggarna gör detta är resten av nätverket omedvetet om det. Ett alternativ är att tillhandahålla en säker åtkomst (till företagsnätet).
Översättning av nätverksadresser (NAT)
Mycket ofta kan brandväggar översätta IP-adresser. På så sätt kan många datorer dela på ett fåtal offentliga IP-adresser. Brandväggen översätter mellan de offentliga och privata IP-adresserna.
Typer av brandväggar
I allmänhet finns det två typer av brandväggar:
- Mjukvarubaserade brandväggar: Dessa brandväggar körs ofta som tilläggsprogram på datorer som används för andra saker. De kallas ofta för personliga brandväggar som kan uppdateras på persondatorer.
Bland de framstående varumärkena finns OPNsense, pfsense, comodo etc.
- Hårdvarubaserade brandväggar: Hårdvarubaserade brandväggar körs på en särskild dator (eller apparat). Ofta ger de bättre prestanda än mjukvarubrandväggar, men de är också dyrare.
Bland de främsta varumärkena finns PaloAlto, WiJungle, Checkpoint, Cisco etc.
Vad brandväggar inte kan skydda mot
Brandväggar kan skydda mot vissa problem (virus och attacker) som kommer från Internet. De kan inte skydda mot virus som kommer från infekterade medier (t.ex. ett infekterat kontorsdokument på ett USB-minne).
Frågor och svar
F: Vad är en brandvägg?
S: En brandvägg är en programvara som används inom datasäkerhet och som övervakar nätverkstrafik mellan betrodda och mindre betrodda nätverk och tillämpar en uppsättning regler på varje paket.
F: Vad gör en brandvägg?
S: En brandvägg skyddar en del av nätverket mot obehörig åtkomst genom att tillämpa en uppsättning regler på varje paket med nätverkstrafik som passerar genom den.
F: Vilka nätverk skyddar en brandvägg?
S: En brandvägg placeras mellan det nätverk som ska skyddas (tillförlitligt) och det externa nätverket (mindre tillförlitligt), t.ex. WAN eller Internet.
F: Var placeras brandväggen i ett nätverk?
S: Brandväggen placeras mellan det betrodda nätverket och det externa nätverket (mindre betrott), t.ex. WAN eller Internet.
F: Vilka regler tillämpar en brandvägg?
S: En brandväggs uppsättning regler avgör om ett paket med nätverkstrafik kan passera till det betrodda nätverket eller om det ska kasseras.
F: Hur fungerar en brandvägg?
S: Brandväggen övervakar nätverkstrafik som passerar mellan betrodda och mindre betrodda nätverk och tillämpar en uppsättning regler på varje paket för att avgöra om det får passera eller inte.
F: Skyddar en brandvägg hela nätverket?
S: Nej, en brandvägg skyddar bara en del av nätverket mot obehörig åtkomst.
