Firewall
Fra Wikipedia, den frie encyklopædi
En firewall eller på dansk brandmur er et stykke netudstyr eller software, der udvælger hvilke netværkspakker som skal have adgang fra den ene side af firewall til den anden side efter et regelsæt.
Oftest sidder firewallen mellem adgang til et ubeskyttet netværk som fx Internet og et beskyttet netværk fx LAN. En firewall skal således hindre uautoriseret adgang til det interne netværk. En sådan firewall kaldes et netværksfirewall. Firewallen er typisk ikke lavet udelukkende i hardware. Der i mod afvikler den et program, som kan opdateres. Nogle firewalls har en webserver indbygget, så de er nemme at administrere via en browser.
En personlig firewall er et program, som modererer netværkstrafikken til og fra de netkort, hvor firewallen er slået til på en enkelt computer.
De fleste firewall understøtter NAT.
Regelsættet i en firewall fungerer som et filter, så den første regel, som den aktuelle trafik passer med, bliver brugt. Det betyder, at de specifikke regler skal definers først og de generelle senere. Et simpelt regelsæt for en personlig firewall kunne være:
- Tillad al trafik fra denne maskine.
- Tillad al trafik til denne maskine, hvis det er svar på udgående trafik,
- Tillad DHCP fra en kendt DHCP-server.
- Log det, der ikke er taget stilling til og fortsæt med næste regel
- Afvis det, der ikke er taget stilling til.
Hvis det drejer sig om en servermaskine er regelsættet mere omfattende.
Indholdsfortegnelse |
[redigér] Pakkefilter
Den enkleste form for firewall er et pakkefilter. Hver IP-pakke inspiceres og vil enten blive afvist eller accepteret. Med dette system kan TCP-baseret trafik håndteres, da der sendes en speciel synkroniseringspakke (med SYN-flag) som fortæller, at der etableres en ny forbindelse. Hvis denne pakke afvises, kan der ikke etableres en forbindelse. Et pakkefilter kan også skelne mellem afsender- eller modtageradresser og afvise eller acceptere trafik på basis af disse oplysninger.
Et pakkefilter kan ikke filtrere UDP effektivt fordi, er ikke etableres forbindelser med denne protokol. Filtret kan indstilles til at acceptere UDP-pakker, som opfylder bestemte kriterier, men det er ikke muligt, at se om en UDP-pakke er en forespørgsel eller en del af et svar. Man kan sjældent udelukke UDP-trafikken helt, da navneservere bruger UDP. Da et pakkefilter er forholdsvist enkelt, kan det gøres meget hurtigt, så store trafikmængder kan filtreres.
[redigér] Firewall-protokolunderstøttelse (eng. Application Support)
Mange firewall-implementeringer kan ikke håndtere andet end rå TCP, passiv FTP, ICMP, UDP.
Mere avancerede protokoller, især multimedia, som fx RTSP (med RTP/UDP), IPsec (VPN), Real Audio, Windows Media, H.323, SIP, Quake understøttes ikke.
En sidste løsningsmodel, for at få avancerede ikke understøttede protokoller igennem, er at åbne for de tcp/udp-porte i de intervaller, der skal anvendes fra/til internettet. Sikkerhedsmæssigt er dette ikke så smart, men det kan anvendes.
[redigér] Kilder/henvisninger
[redigér] Eksterne henvisninger
- Frit firewall-kursus - frit tilgængeligt kursusmateriale til et firewallkursus.
- February 21, 2005, ZDNet UK: Linux kernel to include IPv6 firewall Citat: "...Version 2.6.12 of the Linux kernel is likely to include packet filtering that will work with IPv6, the latest version of the Internet Protocol...Netfilter/iptables, the firewall engine that is part of the Linux kernel, already allows stateless packet filtering for versions 4 and 6 of the Internet protocol..."
[redigér] Lag 7 firewall/traffic shaper
- Freeware, open source: Linux firewall-program: netfilter/iptables project homepage. The netfilter/iptables project. Kernet 2.6 iptables er en firewall med udvidelig NAT protokolunderstøttelse.
- Application Layer Packet Classifier for Linux Citat: "...This is a classifier for the Linux kernel's Netfilter subsystem that identifies packets based on application layer data (OSI layer 7). This means that it can classify packets as HTTP, FTP, Gnucleus, eDonkey2000, etc, regardless of port. Our classifier complements existing ones that match on route, port numbers and so on..."
- Vejviser: linuxguruz.com: iptables
[redigér] Klientinformation
- Microsoft: Visse programmer holder op med at fungere, efter at du har installeret Windows XP Service Pack 2 Citat: "...Windows Firewall er som standard slået til..."