Vart arbetar första generationen branväggar
Brandväggen placerades därför i första hand i ytterväggar eller i fastighetsgräns för att direkt hindra brandspridningBrandvägg
- För andra betydelser, titta Brandvägg (olika betydelser).
En brandvägg (sverigesvenska) alternativt brandmur (finlandssvenska) existerar inom datateknik enstaka kroppslig objekt (en s.k. hårdvarubrandvägg) alternativt ett programvara såsom förmå installeras inom enstaka generell datamaskin (en s.k.
mjukvarubrandvägg) inom avsikt för att avvärja dataintrång vid nätverksanslutna datorer.[1]
En nätverksbrandvägg ansluts mellan numeriskt värde alternativt flera nätverk, vanligen mellan Internet (WAN) samt en privat nätverk (ett alternativt flera LAN), samt existerar vanligen placerad inom anslutning mot enstaka router, alternativt inom identisk fysiska avdelning likt routern.
enstaka personlig brandvägg installeras likt ett programvara inom den datamaskin såsom bör skyddas.
En brandvägg utvärderar inkommande samt utgående trafik samt spärrar obehöriga IP-paket. till för att att fatta beslut eller bestämma något vilken trafik liksom existerar behörig alternativt ej arbetar den efter regler, bestämda från brandväggens programvara samt från dess systemadministratör.
inom inställningarna på grund av vilken trafik liksom skall tillåtas alternativt blockeras är kapabel man vanligtvis nyttja parametrar såsom IP-adress, portnummer, fysiskt interface, samt ibland visst innehåll. nära ett personlig brandvägg är kapabel man dessutom välja vilka schema vid den lokala datorn liksom tillåts kommunicera tillsammans med vissa adresser.
En oskyddad datamaskin ansluten mot Internet utsätts dagligen till oerhört flera intrångsförsök ifrån skadlig programvara vid nätet, såsom försöker utnyttja olika säkerhetshål, knäcka kod för att få tillgång, tillsammans med mera.
angående exempelvis ett datamaskin vars operativsystem ej uppdaterats vid länge ansluts mot Internet utan aktiverade brandväggar existerar risken massiv för att den inom kreditkort stund infekteras från virus samt internetmaskar.[källa&#;behövs]
Historia
[redigera | redigera wikitext]Ordet brandvägg myntades samt existerar bokstavligt vad detta låter som; enstaka skiljevägg vilket bör skydda mot för att bränder sprider sig.
Initialt syftade brandväggar i första hand till att förhindra brandspridning mellan byggnaderdå termen nylanserades handlade detta istället angående internettrafik. inom samband tillsammans för att den inledande internetmasken Morrismasken spred sig stod varenda oförberedda samt osäkra. 10 andel från varenda internetanslutna datorer smittades från samt gjordes obrukbara. Amerikanen Jeffrey Mogul vid företaget Digital skrev detta inledande förslaget vid enstaka svar mot liknande angrepp.
denne kallade skyddet till en “paketfilter” samt en färdigt förslag släpptes mot salg Sedan dess äger brandväggen utvecklats inom flera generationer.[1]
Olika typer från filtrering
[redigera | redigera wikitext]IP-adress
[redigera | redigera wikitext]I brandväggens inställningar kunna man ange vilka IP-adresser liksom tillhör detta privata nätverket samt således betraktas såsom tillförlitliga.
Trafik inom detta privata nätverket filtreras normalt ej från nätverksbrandväggar. en privat nätverk förmå exempelvis artikel organisationens Intranät alternativt domän, alternativt fastighetens lokala nätverk. Notera för att även externa datorer anslutna via virtuellt privat nätverk (VPN) inom allmänhet anses tillhöra detta privata nätverket, samt således förmå ta sig förbi nätverksbrandväggens filtrering.
Vidare förmå organisationens nätverk delas upp inom zoner alternativt "öar" såsom är kapabel skyddas ifrån varandra inom ett brandvägg såsom existerar integrerad tillsammans med enstaka router. Exempelvis kunna ett speciell demilitariserad område skapas, bestående från en skilt privat nät var man placerar webbservrar samt andra publika servrar, vilka existerar särskilt utsatta till risker.
En personlig brandvägg är kapabel sålla överföring även mot andra IP-adresser inom identisk privata nätverk, tillsammans med undantag till vissa betrodda serverdatorer. Den erbjuder således skydd även mot dataintrång samt spridande från Internetmaskar inom detta privata nätverket.
Blockering från inkommande anrop mot servrar
[redigera | redigera wikitext]Serverprocesser (program likt avvaktar vid initiativ ifrån klientprogram) existerar mer utsatta än klientprocesser (program såsom tar initiativ mot kommunikation), eftersom ett dator ständigt existerar öppen på grund av informationsutbyte ifrån valfri IP-adress, medan klienten bara existerar öppen på grund av överföring tillsammans med ett bestämd dator samt beneath den begränsade tidsperiod ett kommunikationssession pågår.
Skadlig programvara utför ofta portskanning till för att ta reda vid vilka serverprocesser såsom existerar öppna vid ett datamaskin, samt sedan behärska angripa dem likt är kapabel äga säkerhetshål. detta existerar även möjligt för att direkt testa säkerhetshålen utan skanning – en misslyckat försök existerar ej särskilt kostsamt.
Det främsta syftet tillsammans med enstaka brandvägg existerar därför för att skydda serverprocesser (nätverkstjänster) avsedda till internt bruk ifrån dataintrång ifrån klienter utanför detta privata nätverket. inom synnerhet önskar man stoppa externa brukare ifrån för att anlända åt gammal LAN-tjänster såsom delad diskaccess samt delad skrivaraccess, eftersom dessa ofta äger använts till för att sprida skadlig kod alternativt utföra dataintrång.
detta existerar därför vanligt inom brandväggar för att grundinställningen existerar för att inkommande trafik blockeras mot dem således kallade välkända portarna tillsammans siffra beneath , såsom används till dem flesta serverprogram dock ej till klienter.
Emellertid kunna man inom inställningarna "öppna hål" inom brandväggen på grund av vissa servertjänster, detta önskar yttra utföra undantag till inkommande anrop mot vissa IP-adresser samt vissa portnummer beneath , exempelvis på grund av ett webbserver liksom man önskar bör existera publikt åtkomlig.
Alternativt är kapabel man helt ändra policy, exempelvis sålunda för att man öppnar på grund av all trafik såsom ej betraktas såsom särskilt suspekt.[förtydliga]
Filtrering från avvikande utgående anrop ifrån klienter
[redigera | redigera wikitext]Traditionellt existerar grundinställningen till nätverksbrandväggar för att ej stoppa interna klienter ifrån för att kontakta externa servrar.
Tredje generationens brandväggar utvecklades redan –, och lagrar dessutom information om varje pågående sessions eller paketflödes tillståndEmellertid finns tillfälle för att stoppa trafik mot serverportnummer vilket utgör kända säkerhetsrisker, inom avsikt för att stoppa trojanska hästar samt Internetmaskar. Vidare förmå ett arbetsgivare vilja stoppa portnummer såsom brukar användas till piratkopiering alternativt på grund av spel. Dock använder flera servrar tcp-port 80 till dessa ändamål (samma portnummer liksom på grund av webbservrar), samt därför förmå detta existera svårt för att stoppa utgående illegitima anrop enbart genom för att titta vid portnummer utan för att även stoppa användarnas chans för att surfa vid internet.
I webbens tidig del av ett liv fanns detta vanligt för att HTTP-trafik styrdes via enstaka proxyserver, liksom fungerade liksom mellanlagrande nätverkscache, inom avsikt för att minska belastningen vid externa förbindelser.
Misstänkt IP-adressförfalskning samt icke-korrekta paket
[redigera | redigera wikitext]Brandväggar spärrar ofta självmant datapaket liksom ej följer IP-standarden, vilket utnyttjar ovanliga funktioner såsom existerar lätta för att missbruka alternativt annars kunna antas illegitima.
var detta förmå finnas orsak för att godkänna sådan trafik förmå detta ofta göras tillsammans med skilda inställningar.
Inkommande trafik filtreras avseende därför kallad IP-adressförfalskning (IP spoofing), detta önskar yttra ip-adresser tilldelade inom inre nätet, vilket ej får inträffa liksom avsändaradresser inom inkommande trafik, något likt ofta utnyttjas på grund av Denial of Service-attacker.
vid identisk sätt kontrolleras ofta för att avsändaradresser (på ip-nivå) på grund av utgående trafik ligger inom dem intervall vilket tilldelats detta inre nätet, på grund av för att försvåra vissa typer från angrepp vid nätet utanför.
Du kanske har hört talas om brandväggar tidigare, men vet du verkligen vad de är och varför de är så viktiga? I denna artikel kommer jag att förklara vad en brandvägg är, hur den fungerar och varför den är avgörande för att skydda din dator och ditt nätverk från skadlig kod och obehörig åtkomstInnehållsfiltrering
[redigera | redigera wikitext]Första generationens brandväggar analyserade enbart enskilda IP-, TCP- samt UDP-pakets pakethuvuden. andra generationens brandväggar existerar även innehållsfiltrerande, samt utvärderar UDP- samt TCP-paketens innehåll genom således kallad djup inspektion, exempelvis vilket gäller applikationsprotokollets information, URL:er samt filtyper.
dem förmå då sålla trafiken även gällande mot modell ämne liksom misstänks existera olämpligt till små människor alternativt likt ej anställda bör vandra in vid arbetstid, webbplatser samt filtyper vilket existerar kända säkerhetsrisker. ett sådan brandvägg existerar emellertid långsammare samt betydligt mer komplicerad för att konfigurera samt därmed ökar risken till säkerhetsluckor inom själva brandväggen.
ej heller ett sådan brandvägg är kapabel skydda mot angrepp liksom den ej kunna skilja ifrån legitim trafik.
På vissa företag äger detta förekommit försök för att stoppa filtyper vilket är kapabel innehålla konfidentiell resultat samt vid därför sätt försvåra för att detta sprids vidare ifrån detta privata nätverket. på grund av för att enstaka brandvägg säkert skall behärska skydda mot utsmuggling från resultat måste den emellertid stoppa samtliga krypterade förbindelser, något liksom existerar svårt samt sällan önskvärt.
Dessutom måste den analysera trafiken tillsammans med tanke vid steganografi. sådana brandmurar kräver aktivt underhåll samt används ytterst sällan idag.
Portbaserad filtrering
[redigera | redigera wikitext]Första generationens brandväggar, liksom utvecklades , kallas paketfilter samt analyserade varenda försändelse på grund av sig.
tredjeplats generationens brandväggar utvecklades redan –, samt lagrar dessutom resultat angående varenda pågående sessions alternativt paketflödes tillåtelse. Dessa tillståndsbaserade brandväggar (eng. stateful firewall) kontrollerar vilket grundinställning för att varenda TCP-sessioner initieras ifrån brandväggens insida, utom inkommande anrop mot servrar mot vilka hål äger öppnats.
dem kunna granska för att paketens ordningsföljd existerar precis, samt kunna minska risken för att IP-paket ifrån ett förfalskad IP-adress (s.k. IP spoofing) är kapabel störa enstaka pågående möte. dem möjliggör även övervakning från FTP-kommunikation, något tidigare brandväggar ej klarade eftersom FTP-servern använder numeriskt värde portnummer mot identisk filöverföring; detta en används på grund av inkommande anrop (FTP-kommandon) ifrån FTP-klient mot FTP-servern, samt detta andra ibland används på grund av uppkoppling ifrån servern (vid filnedladdning), ibland på grund av uppkoppling mot servern (vid filuppladdning).
Applikationsfiltrering
[redigera | redigera wikitext]En portfiltrerande brandvägg, alltså enstaka nätverksbrandvägg likt enbart utvärderar IP-adresser samt portnummer på grund av TCP samt UDP samt liknande lågnivåinformation, kunna ej stoppa icke-legitim utgående trafik ifrån legitima portar, exempelvis ifrån klienter såsom använder portnummer högre än Dessutom är kapabel den ej utföra enstaka datamaskin trygg på grund av dataintrång mot dem tjänster (serverprocesser) mot vilka hål äger öppnats sålunda för att dem skall behärska nås ifrån yttervärlden.
Även ifall brandväggen är kapabel stoppa flera externa angrepp mot tjänster liksom enbart existerar avsedda till bruk inom intranät, således besitter den begränsade möjligheter för att skilja mellan legitim samt icke-legitim trafik. Mer avancerade brandväggar klarar för att analysera innehållet inom trafiken. tillsammans med innehållsfiltrering förmå man stoppa kända angrepp samt trafik liksom ej följer standarderna på grund av vad trafiken utger sig existera.
En personlig brandvägg förmå fungera likt applikationsbrandvägg, dem önskar yttra be användaren ifall stöd innan en nyinstallerat schema får tillåtelse för att fungera vilket klient alternativt dator, dels mot detta privata nätverket, dels mot externa IP-adresser. vid därför sätt förmå man försvåra på grund av skadlig programvara såsom trojaner samt nätmaskar för att spridas vidare.
detta existerar dock inom allmänhet möjligt på grund av programvaran för att låta en legitimt schema förmedla trafiken, mot modell ifall slumpmässiga schema besitter chans för att be ett webbläsare plocka upp eller ta önskade webbsidor.
Olika typer från brandväggar
[redigera | redigera wikitext]Hårdvarubrandväggar
[redigera | redigera wikitext]Med ett hårdvarubrandvägg menar man ett speciell utrustning avsedd för att fungera vilket brandvägg, alternativt inom identisk nätverksutrustning vilket fungerar vilket router.
inom praktiken existerar den enstaka datamaskin tillsammans operativsystem samt behövlig programvara, dock utrustningen existerar ej utformad till för att fungera vilket generell datamaskin, samt programvaran existerar ofta skriven, vald alternativt konfigurerad till för att minimera kvantiteten säkerhetsluckor. Hårdvarubrandväggar existerar vanligast hos företag samt organisationer, dock även mot modell ADSL-modem är kapabel innehålla ett inbyggd brandvägg.
Mjukvarubrandväggar
[redigera | redigera wikitext]Med enstaka mjukvarubrandvägg menar man programvara avsedd för att installeras vid enstaka normal datamaskin. detta kunna då existera frågan angående identisk programvara vilket inom hårdvarubrandväggen (till modell Linux-kärnan besitter ett inbyggd brandvägg såsom används även inom Linux-baserade hårdvarubrandväggar) alternativt programvara skriven uttryckligen för att användas vid ett dator alternativt icke-specialiserad serverdator.
Nätverksbrandväggar
[redigera | redigera wikitext]En nätverksbrandvägg kopplas mellan numeriskt värde alternativt flera nätverk (där en ofta existerar Internet), samt sitter vanligen inom identisk objekt såsom alternativt inom direkt anslutning mot den router likt sammankopplar nätverken.
Den första generationen brandväggar fungerade som paketfilter som jämförde grundläggande information om datapaketen, såsom paket ursprungliga avsändare och mottagare, vilken port som används eller använt protokoll mot en lista med fördefinierade reglerenstaka nätverksbrandvägg existerar idag oftast ett hårdvarubrandvägg, dock förmå även artikel ett mjukvarubrandvägg. enstaka nätverksbrandvägg utvärderar samt filtrerar inkommande samt utgående IP-paket baserat vid portnummer, IP-adress samt inom vissa fall även innehållet, dock förmå ej hindra särskilda datorprogram.
Personliga brandväggar
[redigera | redigera wikitext]En sålunda kallad personlig brandvägg existerar enstaka programvara avsedd för att installeras vid ett dator till för att skydda denna, ej en helt nätverk samt ej ett dator alternativt en fleranvändarsystem.
Den skyddar ej bara ifrån dataintrång ifrån datorer utanför intranätet, utan även ifrån andra datorer inom identisk nätverk.
Den personliga brandväggen kunna utnyttja förståelse ifall vilka specifika schema vid datorn såsom försöker producera ett förbindelse utåt alternativt kommer för att behandla ett inkommande förbindelse samt kunna därför äga olika regler även till olika schema.
Den personliga brandväggen kunna även dra fördel från för att äga ett brukare vilket inom realtid är kapabel ta ställning mot vilka förbindelser vilket skall tillåtas samt vilka såsom skall förkastas. vid därför sätt är kapabel den ibland hindra skadlig programvara ifrån för att kommunicera, mot modell angripa andra datorer alternativt plocka upp eller ta instruktioner.
inom praktiken ifrågasätts dessa fördelar riktig allmänt, då användaren sällan besitter tillräcklig insikt till för att fatta goda beslut samt detta finns metoder (ofta triviala) för att maskera icke-legitim trafik.
Serverbrandväggar samt applikationsspecifika brandväggar
[redigera | redigera wikitext]En mjukvarubrandvägg kunna installeras även vid ett dator, varvid den liksom den personliga brandväggen skyddar datorn egen mot angrepp även ifrån detta privata nätverket.
liknande brandväggar ingår inom flera serveroperativsystem. Liksom ett personlig brandvägg är kapabel den äga regler till vilka schema, samt även vilka användarkonton, likt får öppna förbindelser utåt (allmänt alternativt mot enskilda datorer) samt vilka såsom får fungera likt servrar.
NAT-routrar
[redigera | redigera wikitext]En NAT-router förmå inom praktiken fungera vilket brandvägg inom den meningen för att den filtrerar försvunnen trafik såsom ej initierats ifrån insidan, då den ej vet mot vilken datamaskin trafiken borde styras.
Trafik utifrån förmå styras mot enstaka viss datamaskin alternativt mot olika datorer beroende vid destinationsport, varvid brandväggsfunktionen uteblir mot dessa delar (liksom då motsvarande hål öppnas inom ett vanlig brandvägg).
Första generationens brandväggar, som utvecklades , kallas paketfilter och analyserade varje paket för sigNAT-routrar ingår ofta inom bredbandsmodem.
Internetleverantörers filtrering
[redigera | redigera wikitext]Internetleverantörer kunna sålla försvunnen både inkommande samt utgående trafik mot problematiska tjänster avsedda på grund av intranät liksom utgör kända säkerhetshål (till modell SMB) alternativt RPC-porten, dock måste släppa igenom detta mesta, såväl inkommande liksom utgående anrop, eftersom dem ej vet vilka tjänster kunderna förmå vilja tillhandahålla yttervärlden, alternativt behöver komma åt.
detta existerar vanligt för att internetleverantörer kräver för att e-post skall skickas via deras e-postserver (för för att minska chansen för att skicka ut skräppost).
Filtrering från specifika protokoll
[redigera | redigera wikitext]Det finns en antal IP-protokoll andra än TCP, UDP, samt ICMP, mot modell RIP på grund av informationsutbyte mellan routrar.
upplysning utifrån bör sällan användas på grund av för att styra dem interna routrarnas funktion. detta existerar vanligt för att sålla försvunnen sådana box.
Många nätverksprotokoll vid högre nivå använder således kallade ”välkända” TCP- alternativt UDP-portar vid serversidan. ifall den relaterade servicen skall tillåtas räcker detta ofta för att tillåta alternativt blockera eller hindra trafik mot (och svarstrafik från) ifrågavarande port. Detta gäller mot modell e-post, domännamnssystemet, SMB samt sålunda kallad energisk FTP.
på grund av andra rapport förmå dem nyttja portarna variera, antingen inom enskilda fall såsom till HTTP alternativt SSH, alternativt således för att någon etablerad port ovan viktig taget ej finns, utan varierar fritt.
För passiv FTP framgår portnumret till dataöverföring ur trafiken vid den välkända porten till kontrollkanalen.
flera brandväggar klarar från för att analysera trafiken inom tillräcklig grad på grund av för att tillåta trafik mot den port såsom behövs.
Trafik till e-post (SMTP) samt på grund av webbplatser (HTTP) styrs ofta via ett huvud dator, likt känner protokollet inom detalj samt därför kunna analysera samt sålla själva innehållet inom trafiken.
detta existerar då möjligt för att köra enskilda delar via en antivirusprogram till för att stoppa kända angrepp samt kända hot. även denna plats gäller för att enskilda delar kunna existera krypterade samt därmed omöjliga för att analysera – samt omöjliga för att stoppa ifall kryptering tillåts på grund av den ifrågavarande typen från information.
Kringgående från brandväggar
[redigera | redigera wikitext]Firewall bypass (FWB) existerar en icke-etablerat engelskt formulering på grund av tekniker för att undvika brandväggar. Begreppet besitter ännu inget etablerat namn vid svenska. Tekniken existerar oftast införd inom schema vars avsikt existerar för att att koppla eller förena med något ut mot Internet.
enstaka från teknikerna bygger vid för att "injicera" kod inom en schema såsom "går förbi" brandväggen likt Internet Explorer alternativt MSN Messenger. andra tekniker bygger vid för att påverka koden inom själva brandväggen. angående man ej besitter tillfälle för att köra kod vid brandväggsenheten behövs andra metoder.
Om man besitter passage mot enstaka dator utanför brandväggen är kapabel man ifrån insidan nyttja portar till trafik såsom sällan spärras, såsom port 80/tcp på grund av webbservrar samt port 53/udp på grund av namnservrar samt styra trafiken via servern mot avsedd datamaskin samt port.
nära behov kunna man omforma trafiken därför för att den följer dem formella reglerna på grund av användningen ifråga (men massiv trafik mot ett namnserver bör ändå uppväcka uppmärksamhet).
Många brandväggar spärrar endast grundlig trafik.
Den spelar en avgörande roll i att skydda känslig information och förhindra potentiella cyberattackerpå grund av för att erhålla förbindelse tillsammans med enstaka datamaskin liksom ligger på baksidan enstaka sådan brandmur behöver datorn ifråga egen upprätta enstaka förbindelse mot ett dator utanför brandmuren. Den vilket önskar äga förbindelse tillsammans med datorn kontaktar då servern, vilket via den tidigare upprättade förbindelsen överför antingen enstaka kontaktbegäran (om den liksom ber ifall förbindelse kunna kontaktas direkt) alternativt all trafik.
Denna teknik använd allmänt nära IP-telefoni, då den uppringda datorn ofta existerar på baksidan enstaka brandvägg från denna typ.
Tillverkare från programvarubaserade brandväggar
[redigera | redigera wikitext]Brandväggstest till hemanvändare
[redigera | redigera wikitext]Brandväggstest existerar problematiska. dem förmå ej säkert fastställa för att brandväggen skyddar mot annat än specifika angrepp samt då endast genom för att testa dessa.
Ofta kontrollerar testservicen om datorn svarar vid vissa typers box, dock detta för att datorn ej svarar betyder ej för att datorn ej skulle behandla paketet samt därmed behärska artikel mottaglig mot angrepp tillsammans med denna typ från box.
Flera sådana test ger att vara berusad eller övermättad poäng endast då datorn ej svarar ovan viktig taget, vilket bryter mot standarderna.
Fördelen tillsammans för att ej svara beskrivs såsom för att datorn då ej är kapabel upptäckas samt därmed ej framstår såsom en attraktivt syfte. Detta existerar ej sant, då angrepp genomförs antingen mot slumpvisa uppgift, utan för att granska deras existens, alternativt mot ifrån tidigare kända syfte, vars existens ej behöver verifieras.
Total tystnad existerar dessutom ej en indikator vid icke-existens – liksom tvärtom anges genom för att routern närmast destinationen skickar en ICMP-paket från typen "destination unreachable" alternativt liknande – utan vid för att enstaka brandvägg spärrar trafiken inom någondera riktningen alternativt vid mer sällsynta nätverksproblem.
Exempel vid brandväggstest
[redigera | redigera wikitext]Post- samt telestyrelsen stängde sin arbete eller position inom en organisation "Testa datorn" den 29 femte månaden i året i enlighet med enstaka överenskommelse mellan PTS samt Myndigheten till samhällsskydd samt beredskap (MSB) inom samband tillsammans med för att PTS tjänster samt data ifall internetsäkerhet flyttats mot MSB.
Tjänsten fanns inom huvudsak avsedd till hemanvändare samt testade vilka portar brandväggen tillåter trafik vid. Liknande samt mer utförliga tjänster existerar ShieldsUP tillhandahålls från Steve Gibson, denne besitter även gjort programmet leaktest liksom är kapabel användas till för att undersöka hur brandväggen reagerar vid trojaner såsom försöker koppla upp sig mot internet.