Brandväggar används för att skydda nätverk och system från externa hot. Brandväggar är inte ett säkerhetsverktyg utan snarare en säkerhetsanordning. När de är korrekt implementerade förhindrar de att nätverkstrafik utsätts för externa hot genom att låta trafik passera endast när trafiken är auktoriserad. Brandväggens uppgift är att kontrollera trafiken till och från en organisations nätverk och att hålla trafiken inom nätverket säker.
Olika typer av brandväggar
Det finns otaliga olika typer av brandväggar och säkerhetsanordningar tillgängliga idag. De sträcker sig från enkla hårdvaruenheter som sitter mellan en dator och Internet till komplexa mjukvarulösningar som bygger på virtuella maskiner för att skapa en avskärmad miljö.
De mest grundläggande typerna av brandväggar är dock maskinvara, programvara och virtuell. Hårdvarubrandväggar är den äldsta typen av brandvägg och används fortfarande i stor utsträckning idag. Dessa enheter är ofta externa enheter med en port som används för en anslutning till nätverket. De är ofta anslutna till en router eller switch för att ge flera anslutningar.
Komplexa interna brandväggar består av hårdvaruenheter som sitter i nätverkskanten mellan en dator och Internet. Interna brandväggar är ofta isolerade av virtuella nätverk. Dessa typer av brandväggar är utformade för att ge den största säkerheten, men de är också de dyraste. Lastbalanseringssystem, styrenheter för programleverans och annan avancerad nätverksteknik fungerar ofta som virtuella brandväggar eller säkerhetsanordningar. Dessa används vanligen för att ge säkerhet för webbplatser som är öppna för allmänheten eller för att hantera trafik.
Hårdvarubrandväggar
En hårdvarubrandvägg arbetar på NDI-lagret (Network Device Interface) i en nätverksprotokollstack och kombinerar filtrering och inspektion med kryptering på transportlagret. Detta förhindrar att ett paket från det inre nätverket vidarebefordras genom transportlagret till Internet, samtidigt som alla paket som är avsedda för Internet skickas genom brandväggen.
Hårdvarubrandväggar är ett populärt val för organisationer som har höga säkerhetskrav på grund av deras höga prestanda, skalbarhet och tillförlitlighet. De passar också bra för organisationer som har begränsad IT-personal, eftersom de kan konfigureras för att tillhandahålla grundläggande säkerhetsfunktioner med hjälp av externa hårdvaruapparater.
Programvarubrandväggar
En mjukvarubrandvägg är en mjukvarubaserad nätverksenhet som fungerar på tillämpningslagret i en nätverksprotokollstack och kombinerar filtrering och inspektion med dekryptering på transportlagret. Detta förhindrar att ett paket från det inre nätverket vidarebefordras genom transportlagret till Internet, samtidigt som alla paket som är avsedda för Internet skickas genom brandväggen.
Mjukvarubrandväggar är ett populärt val för organisationer som vill slippa den komplexitet, kostnad och förvaltningsomkostnad som är förknippad med en hårdvarubrandväggslösning. De passar också bra för organisationer som har begränsad IT-personal, eftersom de kan konfigureras för att tillhandahålla grundläggande säkerhetsfunktioner med hjälp av externa programvaruapparater.
Nätverksbrandväggar
En nätverksbrandvägg fungerar antingen på NDI- (Network Device Interface) eller applikationslagret i en nätverksprotokollstack och kombinerar filtrering och inspektion med kryptering på transportlagret. Detta förhindrar att ett paket från det inre nätverket vidarebefordras genom transportlagret till Internet, samtidigt som alla paket som är avsedda för Internet skickas genom brandväggen.
Nätverksbrandväggar passar bra för organisationer som har höga säkerhetskrav på grund av deras höga prestanda, skalbarhet och tillförlitlighet. De passar också bra för organisationer som har begränsad IT-personal, eftersom de kan konfigureras för att tillhandahålla grundläggande säkerhetsfunktioner med hjälp av externa nätverksenheter.
Personliga brandväggar
En personlig brandvägg är en dator som fungerar som en säker gateway till Internet för ett privat nätverk. Den ger en hög säkerhetsnivå för ett nätverk och är en bra lösning för små nätverk som inte kräver en stor investering i nätverksutrustning.
NAT-routrar
En NAT (Network Address Translation) är ett sätt att översätta en enda intern IP-adress till en annan offentlig IP-adress. Detta används vanligen i brandväggar för att översätta källadressen på inkommande paket från det inre nätverket till det inre nätverket. På så sätt tillåter brandväggen inkommande paket från det inre nätverket men hindrar dem från att lämna det inre nätverket.
En NAT-router å andra sidan översätter en enda intern IP-adress till en offentlig IP-adress och kan också översätta den offentliga IP-adressen tillbaka till en intern IP-adress. Detta används ofta i routrar för att ge det bästa av två världar: möjligheten att översätta en enda IP-adress till flera olika adresser och tillbaka igen.
Brandväggen är expert på att kontrollera inkommande trafik
Brandväggen kan bestämma vad som kommer igenom, så den måste bestämma vad som kommer igenom. När ett externt nätverk skickar trafik till en viss enhet i ett privat nätverk måste brandväggen inspektera trafiken och bestämma om den ska släppas igenom eller blockeras.
Brandväggen kan inspektera trafiken och fatta detta beslut på grundval av tekniska egenskaper, t.ex. protokoll och port, eller metadata, t.ex. destinationens IP-adress eller den användare som försöker skicka en viss typ av meddelande. Brandväggen kan inspektera metadata eller de tekniska egenskaperna för att avgöra om trafiken ska tillåtas passera.
Den kan till exempel analysera meddelandet för att se om det är legitimt, till exempel ett e-postmeddelande, eller den kan analysera IP-adressen för att se om det kommer från en betrodd källa. Den kan också analysera porten för att se om den är säker att använda för målprogrammet.
Olika typer av filtrering för en brandvägg
Brandväggen kan tillämpa filter på varje datapaket för att avgöra vilka data som överförs. Dessa filter kan användas för att avgöra om data tillåts passera genom en brandvägg eller blockeras. De kan också användas för att avgöra vilka data som levereras till användarens dator.
Den mest grundläggande och vanliga brandväggsfiltreringen är åtkomstkontroll. Detta innebär att brandväggen bestämmer vilken trafik och från vilka källanordningar som tillåts passera genom brandväggen.
Åtkomstkontrollen genomförs ofta som en lista med regler som anger vem, vad, när och var paketet ska tillåtas passera. En annan typ av filtrering är headerinspektion. Detta liknar inspektion vid källan, där brandväggen undersöker varje pakets rubrik för att avgöra om paketet ska tillåtas att passera.
Olika användningsområden för en brandvägg
Nätverkssäkerhet
En brandvägg är en enhet för nätverkssäkerhet som begränsar vilka data som kan nå en dator eller ett nätverk. Den kan blockera vissa typer av data och bestämma vilka data som kan nå datorn. En brandväggs viktigaste uppgift är att skydda datorn.
Nätverkstrafikstyrning
En nätverkstrafikstyrning kan användas för att styra trafikflödet i ett nätverk. Den kan användas för att styra bandbredd, fördröjning eller förlust mellan två eller flera enheter. Nätverkstrafikkontroller används ofta i höghastighets-WAN.
Tjänstekvalitet
Tjänstekvalitet (QoS) kan användas för att prioritera nätverkstrafik. QoS är en metod för att hantera nätverkstrafik med hjälp av hårdvarufunktioner som prioritet, vikt eller burststorlek. Den kan användas i många olika typer av miljöer.
Slutsats
Brandväggar används för att skydda nätverk och system från externa hot. De är inte ett säkerhetsverktyg, utan snarare en säkerhetsanordning som tillåter trafik att passera och hindrar trafik från att lämna en miljö. Inkommande data inspekteras av brandväggen för att avgöra om den ska tillåtas passera eller blockeras.
Brandväggen kan inspektera data för att fatta detta beslut eller så kan den använda metadata för att avgöra vilken trafik som ska tillåtas passera. Utgående data inspekteras också av brandväggen för att avgöra om den ska tillåtas passera eller blockeras.
Brandväggen kan använda metadata eller inspektera paketets tekniska egenskaper för att avgöra om det ska tillåtas. Beroende på vilka typer av brandväggar du använder kan de användas för att skydda nätverket från externa hot, filtrera inkommande trafik och kontrollera trafikflödet.
