En firewall er et sikkerhedssystem til computernetværk, der begrænser internettrafik ind i, ud af eller inden for et privat netværk.
Denne software eller dedikerede hardware-softwareenhed virker ved selektivt at blokere eller tillade datapakker. Intentionen er typisk at forhindre skadelig aktivitet, og at forhindre alle, indenfor eller udenfor et privat netværk, i at deltage i uautoriserede webaktiviteter.
Firewalls kan ses som porte, der administrerer gennemrejse af tilladt og forbudt webaktivitet i et privat netværk. Begrebet kommer fra konceptet, at fysiske vægge kan være barrierer, der forsinker ilden i at sprede sig, indtil brandvæsenet kan slukke den. Til sammenligning er firewalls til netværkssikkerhed det samme til administration af webtrafik, typisk her for at forsinke spredningen af webtrusler.
Firewalls laver flaskehalse, der leder webtrafikken, hvorefter de gennemgås på baggrund af et sæt programmerede parametre, hvorefter der handles på dem. Nogle firewalls sporer også trafikken og forbindelser i logfiler for at referere til, hvad der er blevet tilladt og blokeret.
Firewalls bruges ofte til at afgrænse et privat netværk eller dets værtsenheder. Derfor er firewalls et sikkerhedsværktøj i kategorien kontrol af brugeradgang. Disse barrierer sættes oftest op to steder, på dedikerede computere på netværker, eller på brugercomputere og andre endpoints (værter).
En firewall bestemmer, hvilken netværkstrafik der må trænge igennem, og hvilken der er farlig. Grundlæggende fungerer den ved at filtrere det gode fra det dårlige, det velkendte fra det upålidelige. Men før vi går i detaljer, hjælper det at forstå strukturen på webbaserede netværk.
Firewalls skal sikre private netværk og endpointenhederne indenfor dem, kendt som netværksværter. Netværksværter er enheder, der "taler" med andre værter på netværket. De sender og modtager mellem interne netværk, og også ud og ind af eksterne netværk.
Computere og andre endpointenheder bruger netværk til at tilgå internettet og hinanden. Men internettet er inddelt i undernetværk for sikkerhed og privatliv. De basale undernetværk er som følger:
Screeningroutere er særlige gatewaycomputere, der placeres på et netværk for at segmentere det. De kendes som husfirewalls på netværksniveau. De to mest almindelige segmentmodeller er en screenet værtsfirewall og en screenet undernetværksfirewall:
Både netværksgrænsen og værtsmaskinerne kan have en firewall. For at kunne gøre dette, placeres den mellem en enkelt computer og dens forbindelse til et privat netværk.
En netværksfirewall skal opsættes mod en bred vifte af forbindelser, hvorimod en værtsfirewall kan skræddersys til at passe hver maskines behov. Men værtsfirewalls kræver mere arbejde at tilpasse, og derfor er netværksbaserede firewalls ideelle til en gennemgående kontrolløsning. Men brugen af begge firewalls, begge steder, samtidig er ideelt til et sikkerhedssystem i flere lag.
Filtrering af trafik gennem en firewall bruger forudindstillede eller dynamisk lærte regler for hvilke forbindelser, der skal accepteres eller afvises. Disse regler er måden, en firewall regulerer webtrafikken gennem dit private netværk og private computerenheder. Uanset type kan firewalls filtrere med en kombination af de følgende:
Kilden og destinationen kommunikeres via IP-adresser og porte. IP-adresser er unikke enhedsnavne for hver vært. Porte er et underniveau af kildeværtsenheder og destinationsværtsenheder, og kan sammenlignes med kontorer i en større bygning. Porte har oftest særlige formål, så visse protokoller og IP-adresser, der bruger usædvanlige porte eller porte, der er slået fra, kan være en bekymring.
Ved at bruge disse identifikatorer kan en firewall beslutte om en datapakke, der forsøger at oprette en forbindelse, skal afvises, enten stille eller med en fejlbesked til afsenderen, eller sendes videre.
Forskellige typer firewalls anvender forskellige filtermetoder. Selvom hver type blev udviklet til at overgå tidligere firewallgenerationer, er meget af kerneteknologien nedarvet fra generation til generation.
Firewalltyper adskilles ved deres tilgang til:
Hver type opererer på et forskelligt niveau af standardkommunikationsmodellen, Open Systems Interconnection-modellen (OSI). Denne model giver et bedre billede af, hvordan hver firewall interagerer med forbindelser.
Statiske pakkefilter-firewalls, også kendt som tilstandsløse inspektions-firewalls opererer på OSI-netværkslaget (lag 3). De tilbyder basal filtrering ved at tjekke alle datapakker, der sendes igennem et netværk, baseret på hvor de kommer fra, og hvor de prøver at komme hen. Vigtigt er det, at de ikke sporer tidligere accepterede forbindelser. Derfor skal hver forbindelse godkendes igen for hver datapakke.
Filtrering baseres på IP-adresser, porte og pakkeprotokoller. Disse firewalls forhindrer som minimum to netværk fra at forbinde direkte uden tilladelse.
Filterregler sættes op baseret på en manuelt lavet adgangskontrolliste. De er ikke særlig fleksible, og det er svært at dække uønsket trafik på passende vis uden at kompromittere netværkets brugbarhed. Statisk filtrering kræver konstant manuel revision for at kunne bruges effektivt. Det kan være overkommeligt på små netværk, men bliver hurtigt svært på store netværk.
Mangel på evne til at læse applikationsprotokoller betyder, at indholdet i en besked, der leveres med en pakke, ikke kan læses. Uden at læse indholdet, har pakkefilter-firewalls en begrænset evne til beskyttelse.
Gateways på kredsløbsniveau opererer på sessions-niveauet (lag 5). Disse firewalls holder øje med funktionelle pakker i en forsøgt forbindelse, og hvis de opererer godt, tillader de en længerevarende åben forbindelse mellem de to netværk. Firewallen holder op med at holde opsyn med forbindelsen, når dette er sket.
Udover dens tilgang til forbindelser, kan gateways på kredsløbsniveau meget ligne proxyfirewalls.
Den fortsatte forbindelse uden opsyn er farlig, da forbindelsen kunne åbnes med legitime midler, og derefter tillade en ondsindet aktør at komme ind uden forstyrrelser.
Tilstandsbaserede inspektionsfirewalls, også kendt som dynamiske pakkefilterfirewalls, er forskellige fra statiske filtre, da de kan holde opsyn med fortsatte forbindelser og huske fortidens forbindelser. Oprindeligt opererede de på transportlaget (lag 4), men nu til dags kan disse firewalls holde opsyn med mange lag, inklusive applikationslaget (lag 7).
Som den statiske filterfirewall kan tilstandsbaserede inspektionsfirewalls tillade eller blokere trafik, baseret på tekniske egenskaber som specifikke pakkeprotokoller, IP-adresser eller porte. Men disse firewalls sporer også og filtrerer baseret på forbindelsernes tilstand ved brug af en tilstandstabel.
Denne firewall opdaterer filterregler baseret på fortidige forbindelseshændelser, der er nedskrevet i tilstandstabellen af screeningrouteren.
Normalt er filterbeslutninger baseret på administratorens regler, når computeren og firewallen bliver sat op. Men tilstandstabellen tillader disse dynamiske firewalls at træffe deres egne beslutninger, baseret på fortidige interaktioner, de har lært fra. F.eks. kan trafiktyper, der forårsagede forstyrrelser tidligere, blive filtreret fra i fremtiden. Den fleksibilitet, tilstandsbaseret inspektion har, har gjort det til en af de mest fremtrædende skjoldtyper.
Proxy-firewalls, også kendt som firewalls på applikationsniveau (lag 7) er unikke, da de læser og filtrerer applikationsprotokoller. De kombinerer inspektion på applikationsniveau, eller "dyb pakkeinspektion (DPI)" og tilstandsbaseret inspektion.
En proxy-firewall er så tæt på en egentlig fysisk barriere, som det er muligt at opnå. I modsætning til andre typer firewalls opfører de sig som to ekstra værter mellem eksterne netværk og interne værtscomputere, hvor en er repræsentant (eller proxy) for hvert netværk.
Filtrering baseres på data på applikationsniveau, og ikke bare IP-adresser, porte og basale pakkeprotokoller (UDP, ICMP) som i de pakkebaserede firewalls. At læse og forstå FTP, HTTP, DNS og andre protokoller tillader mere dybdegående undersøgelse og krydsfiltrering for mange forskellige dataegenskaber.
Som en vagt ved en dør ser og evaluerer den i bund og grund de indgående data. Hvis der ikke registreres et problem, kan dataene passere videre til brugeren.
Ulempen ved denne form for tung sikkerhed er, at det nogle gange forstyrrer indgående data, som ikke er en trussel, hvilket medfører forsinkelser i funktionaliteten.
Udviklingen af trusler kræver fortsat mere intense løsninger, og den næste generation af firewalls holder styr på dette problem ved at kombinere funktionerne fra en traditionel firewall med systemer til forebyggelse af netværksindtrængning.
Faktisk er trusselsspecifikke firewalls af næste generation designet til at undersøge og identificere specifikke farer, såsom avanceret malware, på et mere detaljeret niveau. De anvendes hyppigere af virksomheder og sofistikerede netværk, og de giver en holistisk løsning til bortfiltrering af farer.
Som navnet antyder bruger hybrid-firewalls to eller flere typer firewall i et enkelt privat netværk.
Firewallens opfindelse skal ses som en kontinuert proces. Det er fordi, den konstant udvikler sig, og der har været flere skabere involveret i dens udvikling.
Fra slut-firserne til midt-halvfemserne udvidede hver skaber forskellige firewallrelaterede komponenter, og versioner før blev det produkt, der blev brugt som basis til alle moderne firewalls.
Brian Reid, Paul Vixie og Jeff Mogul
I slutfirserne havde Mogul, Reid og Vixie alle roller i Digital Equipment Corp, hvor de udviklede pakkefiltreringsteknologi, der blev værdifuldt i de fremtidige firewalls. Dette førte til det koncept, at man kan undersøge eksterne forbindelser, før de kontakter computere på et internt netværk. Selvom nogen måske ser dette pakkefilter som den første firewall, var det mere en komponent, der understøttede de rigtige firewalls, der kom.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick, og Steven Bellovin
I slutfirserne og de tidlige halvfemsere forskede ansatte på AT&T Bell Labs i og udviklede et tidligt koncept af en gateway-firewall på kredsløbsniveau. Det var den første firewall, der tjekkede og tillod fortsatte forbindelser, i stedet for bare at genautorisere efter hver datapakke. Presotte, Sharma og Nigam udviklede gatewayen på kredsløbsniveau fra 1989 til 1990, og blev efterfulgt at Cheswick og Bellovins arbejde med firewall-teknologi i 1991.
Marcus Ranum
Fra 1991 til 1992 udviklede Ranum de sikkerhedsproxier ved DEC, der blev en vital komponent i det første firewallprodukt på applikationsniveau, det proxybaserede Secure External Access Link (SEAL) produkt fra 1991. Det var en videreudvikling af Reid, Vixie og Moguls arbejde for DEC, og var den første kommercielle firewall.
Gil Shwed og Nir Zuk
Fra 1993 til 1994 i Check Point spillede virksomhedens grundlægger, Gil Shwed, og en produktiv udvikler, Nir Zuk, store roller i at udvikle det første udbredte, brugervenlige firewallprodukt, Firewall-1 Gil Shwed opfandt og tog patent på tilstandsbaseret inspektion i 1993. Dette efterfulgtes af Nir Zuks arbejde på et let-anvendeligt grafisk interface til Firewall-1 fra 1994, hvilket var vitalt for udbredelsen af firewalls til virksomheder og hjem i fremtiden.
Disse udviklinger var essentielle i at forme det firewallprodukt, vi kender i dag, hvor hver bliver brugt på et eller andet plan i mange cybersikkerhedsløsninger.
Så hvad er formålet med en firewall, og hvorfor er de vigtige? Netværk uden beskyttelse er sårbare overfor al trafik, der forsøger at tilgå din systemer. Skadelig eller ej skal netværkstrafik altid godkendes.
At forbinde personlige computere til andre IT-systemer eller internettet åbner for en bred vifte af fordele, inklusive let samarbejde, kombinering af ressourcer og forøget kreativitet. Men det kan komme med netværk- og enhedsbeskyttelse som pris. Hacking, identitetstyveri, malware og onlinesvindel er almindelige trusler, som brugere står over for, når de udsætter sig for fare ved at linke deres computere til et netværk eller internettet.
Når en ondsindet aktør har opdaget dig, kan dit netværk og dine enheder let blive fundet, hurtigt tilgået, og udsat for gentagne trusler. Internetforbindelser, der hele tiden er slået til, forøger denne risiko (siden dit netværk kan tilgås når som helst).
Proaktiv beskyttelse er essentielt, når man bruger et netværk. Brugere kan beskytte deres netværk fra de værste farer ved at bruge en firewall.
Hvad gør en firewall, og hvad kan den beskytte imod? Konceptet bag en netværkssikkerhedsfirewall er, at den begrænser den angribelige grænseflade af et netværk til et enkelt kontaktpunkt. I stedet for at hver vært på et netværk er direkte eksponeret for hele internettet, skal al trafik først kontakte firewallen. Siden det også virker den anden vej, kan firewallen filtrere og blokere trafik, der ikke er tilladt, om det er ind eller ud. Derudover bruges firewalls til at lave logfiler over forsøgte netværksforbindelser, så du er mere bevidst om sikkerhed.
Siden trafikfiltrering kan være et regelsæt, ejerne af et privat netværk har etableret, er der derfor tilpassede brugssituationer for firewalls. Populære brugssituationer er at administrere følgende:
Firewalls er derimod mindre effektive til følgende:
I praksis har virkelighedens anvendelse af firewalls tiltrukket både ros og kontroverser. Selvom der er en lang historie med firewallbedrifter, skal denne sikkerhedstype implementeres korrekt for at undgå fejl, der kan udnyttes. Derudover er firewalls kendt for at blive udnyttet på etisk problematiske måder.
Siden ca. år 2000 har kina haft interne firewalls på plads for at oprette dets omhyggeligt overvågede intranet. Af natur tillader firewalls, at man opretter en tilpasset udgave af det globale internet i en nation. Det gøres ved at man forhindrer visse tjenester eller information fra at blive brugt eller tilgået på dette nationale intranet.
National overvågning og censur tillader undertrykkelsen af ytringsfrihed, mens regeringens image opretholdes. Derudover tillader Kina's firewall, at regeringen begrænser internettjenester til lokale virksomheder. Det gør kontrol over ting som søgemaskiner og e-mailtjenester meget lettere at regulere i henhold til regeringens mål.
Kina har fortløbende interne protester mod denne censur. Brugen af virtuelle private netværk og proxier, der lader dem komme forbi den nationale firewall har tilladt mange at ytre deres mishag.
I 2020, var en forkert opsat firewall en af mange svagheder i sikkerheden, der ledte til en indtrængen i et anonymt amerikansk føderalt agentur.
Det menes, at en nationalstatsaktør udnyttede en række sårbarheder i agenturets cybersikkerhed. Blandt de mange problemer med deres sikkerhed, havde den firewall, der var i brug, mange udgående porte, der var åbne for trafik, men ikke burde være det. Ud over, at det var dårligt vedligeholdt, havde agenturets netværk sikkert nye problemer med fjernarbejde. Når angriberen først var kommet ind, opførte den sig på måder, der viste en klar intention om at bevæge sig gennem andre åbne stier til andre agenturer. Denne slags angreb risikerer ikke kun at der opstår et brud på sikkerheden i det infiltrerede agentur, men i mange andre.
I 2019 blev en amerikansk udbyder af energinettet ramt af en sårbarhed overfor Denial-of-Service, som hackere udnyttede. Firewalls i grænsenetværket sad fast i en genstartsløkke i cirka ti timer.
Man fandt senere ud af, at det var resultatet af en kendt, men ikke opdateret, firmware-sårbarhed i deres firewalls. En almindelig driftsprocedure, at opdateringer skal tjekkes før implementering, var endnu ikke blevet implementeret, og derfor var opdatering forsinkede og et problem for sikkerheden. Heldigvis ledte problemet med sikkerhed ikke til nogen significant netværkspenetration.
Disse hændelser viser, hvor vigtigt det er at regelmæssigt opdatere sin software. Uden dem er firewalls bare endnu et netværkssikkerhedssystem, der kan udnyttes.
Korrekt opsætning og vedligehold af din firewall er essentielt, for at holde dit netværk og enheder beskyttet. Her er nogle tips, der kan guide din praksis for firewallnetværkssikkerhed:
Kaspersky Endpoint Security modtog tre AV-testpriser for den bedste ydeevne, beskyttelse og brugbarhed for et endpointsikkerhedsprodukt til virksomheder i 2021. I alle tests viste Kaspersky Endpoint Security fremragende ydeevne, beskyttelse og brugbarhed for virksomheder.
Relaterede links: