Firewall

Fra Wikipedia, den frie encyklopædi
Gå til: navigation, søg
En firewall's funktion
Disambig bordered fade.svg For alternative betydninger, se Firewall (flertydig).

En firewall eller på dansk brandmur er et stykke netudstyr eller software, der udvælger hvilke netværkspakker som skal have adgang fra den ene side af firewall til den anden side efter et regelsæt.

Oftest sidder firewallen mellem adgang til et ubeskyttet netværk som fx Internet og et beskyttet netværk fx LAN. En firewall skal således hindre uautoriseret adgang til det interne netværk. En sådan firewall kaldes en netværksfirewall. Firewallen er typisk ikke lavet udelukkende i hardware. Derimod afvikler den et program, som kan opdateres. Nogle firewalls har en webserver indbygget, så de er nemme at administrere via en browser.

En personlig firewall er et program, som modererer netværkstrafikken til og fra de netkort, hvor firewallen er slået til på en enkelt computer.

De fleste firewall understøtter NAT.

Regelsættet i en firewall fungerer som et filter, så den første regel, som den aktuelle trafik passer med, bliver brugt. Det betyder, at de specifikke regler skal definers først og de generelle senere. Et simpelt regelsæt for en personlig firewall kunne være:

  • Tillad al trafik fra denne maskine.
  • Tillad al trafik til denne maskine, hvis det er svar på udgående trafik,
  • Tillad DHCP fra en kendt DHCP-server.
  • Log det, der ikke er taget stilling til og fortsæt med næste regel
  • Afvis det, der ikke er taget stilling til.

Hvis det drejer sig om en servermaskine er regelsættet mere omfattende.

Pakkefilter[redigér | redigér wikikode]

Den enkleste form for firewall er et pakkefilter. Hver IP-pakke inspiceres og vil enten blive afvist eller accepteret. Med dette system kan TCP-baseret trafik håndteres, da der sendes en speciel synkroniseringspakke (med SYN-flag) som fortæller, at der etableres en ny forbindelse. Hvis denne pakke afvises, kan der ikke etableres en forbindelse. Et pakkefilter kan også skelne mellem afsender- eller modtageradresser og afvise eller acceptere trafik på basis af disse oplysninger.

Et pakkefilter kan ikke filtrere UDP effektivt fordi, er ikke etableres forbindelser med denne protokol. Filtret kan indstilles til at acceptere UDP-pakker, som opfylder bestemte kriterier, men det er ikke muligt, at se om en UDP-pakke er en forespørgsel eller en del af et svar. Man kan sjældent udelukke UDP-trafikken helt, da navneservere bruger UDP. Da et pakkefilter er forholdsvist enkelt, kan det gøres meget hurtigt, så store trafikmængder kan filtreres.

Firewall-protokolunderstøttelse (eng. Application Support)[redigér | redigér wikikode]

Mange firewall-implementeringer kan ikke håndtere andet end rå TCP, passiv FTP, ICMP, UDP.

Mere avancerede protokoller, især multimedia, som fx RTSP (med RTP/UDP), IPsec (VPN), Real Audio, Windows Media, H.323, SIP, Quake understøttes ikke.

En sidste løsningsmodel, for at få avancerede ikke understøttede protokoller igennem, er at åbne for de tcp/udp-porte i de intervaller, der skal anvendes fra/til internettet. Sikkerhedsmæssigt er dette ikke så smart, men det kan anvendes.

Kilder/henvisninger[redigér | redigér wikikode]

Commons-logo.svg
Wikimedia Commons har medier relateret til:

Eksterne henvisninger[redigér | redigér wikikode]

  • February 21, 2005, ZDNet UK: Linux kernel to include IPv6 firewall Citat: "...Version 2.6.12 of the Linux kernel is likely to include packet filtering that will work with IPv6, the latest version of the Internet Protocol...Netfilter/iptables, the firewall engine that is part of the Linux kernel, already allows stateless packet filtering for versions 4 and 6 of the Internet protocol..."

Lag 7 firewall/traffic shaper[redigér | redigér wikikode]

Klientinformation[redigér | redigér wikikode]