CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Firewalls beskytter netværket

En firewall beskytter et netværk mod hackeres adgang til systemet. Der findes flere forskellige måder at opsætte en firewall. Adgang til det interne netværk kan blandt andet kontrolleres via IP-headere eller via applikationer. I denne artikel kigger vi nærmere på, hvordan en firewall virker.

5. oktober 2001 kl. 09.42
Suzette Wagner Suzette Wagner

Flere typer

I ethvert firma, hvor der eksisterer et internt netværk, bør der også være en firewall. En firewall beskytter kort sagt netværket imod at hackere kan få adgang til computere, der har forbindelse til internettet.

En firewall bestemmer hvilke tjenester i et internt netværk, som udefrakommende må få adgang til, hvilke brugere uden for det interne netværk, der må få adgang til de tilladte tjenester indenfor, og hvilke tjenester, de interne brugere må få adgang til. Alt trafik mellem det interne og det eksterne netværk skal altså gå gennem firewallen. Og lad os slå det fast med det samme: Der findes mange forskellige måder at opsætte en firewall på, og derfor kigger vi nærmere på, hvordan en firewall virker.

Der findes to ekstreme modeller for en firewall:

  • Alt det, som ikke er tilladt, er forbudt.
  • Alt det, som ikke er forbudt, er tilladt.
Systemadministratorer og sikkerhedseksperter foretrækker den første model, da det er let kun at tillade nogle få ting og lade alle andre ting være forbudt. Brugerne af netværket kan bedst lide den anden model, da de her kan få mere frihed til at arbejde med systemerne. Som regel vil man derfor se en kombination af disse ekstremer.

Firewalls kan groft deles ind i tre typer alt efter hvilken funktion, de varetager: Pakkefiltrerings-router, application level gateway og circuit-level gateway. Disse tre typer ser vi på i de næste tre afsnit. Typisk vil man dog altid bruge en kombination mellem to eller alle tre typer, og dette forklares i en senere artikel.

Pakkefiltrering

Pakkefiltrerings-router
En pakkefiltrerings-router (screening router) anbringes ud mod internettet. Når der kommer en pakke ind til routeren, anvender den et sæt filtreringsregler for at kontrollere, om pakken skal afvises eller ej. Reglerne er baseret på indholdet af IP-headeren. Routeren kan altså filtrere pakkerne efter afsenderadresse, modtageradresse samt sessions- og applikationsprotokol, der benyttes til at sende data. De fleste routere og bridges har disse egenskaber.


Ulempen ved denne type firewall er, at det kun er IP-headeren, som bliver kontrolleret. Det vil sige, at dataindholdet ikke analyseres. En let måde at angribe denne type firewall på, er derfor at bruge en falsk IP-header, med et gyldigt portnummer, til at få transmitteret en ugyldig applikation.

Der findes flere varianter af pakkefiltrering blandt andet dynamisk pakkefiltrering og tilstandsbaseret pakkefiltrering.

Applikationer

Application level gateway
En application level gateway (proxy server) kontrollerer adgang til systemet på applikationsniveau. Det vil sige, at den sidder som et slags led mellem applikationer på det indre og ydre netværk. Både indgående og udgående trafik kan kontrolleres. Der skal være implementeret en speciel kode for alle relevante applikationer, eksempelvis SNMP, HTTP, FTP og Telnet.

En gateway benytter autentifikation til at kontrollere de brugere, som har adgang til netværket. Det vil sige, at en bruger skal opgive identifikation. Dette kan for eksempel bruges til at medarbejdere kan læse e-mail hjemmefra.

Kontrol på applikationsniveau giver mulighed for at kontrollere selve indholdet af pakkerne, hvilket gør det muligt eksempelvis at sortere java-appletter eller scripts fra. En ulempe er, at der skal implementeres speciel kode for hver applikation, hvilket både giver mere udvikling og vedligeholdelse samt flere omkostninger.

To TCP-forbindelser

Circuit-level gateway
Denne type firewall kan være et system for sig selv, eller den kan være en specialiseret funktion firewall af typen application level gateway. Firewallen godkender ikke en end-to-end TCP-forbindelse. I stedet for oprettes en virtuel forbindelse ved at firewallen sætter to TCP-forbindelser op: En mellem sig selv og brugeren indenfor, og en mellem sig selv og brugeren udenfor. Når de to forbindelser er etableret, vil firewallen normalt ikke evaluere indholdet af pakkerne. Sikkerheden ligger altså i, hvilke forbindelser der må tillades, og systemadministratoren skal altså kunne stole på de interne brugere.

Tit støder man på andre begreber, når diskussionen kommer ind på firewalls, og vi forklarer nogle af dem her.

Bastion Host
En bastion host udpeges af systemadministratoren som det vigtigste og stærkeste punkt i et netværk, når der vel at mærke fokuseres på sikkerhed. Bastion hosten er den del af det interne netværk, som kendes af andre på internettet. Derfor er der stor risiko for at den bliver udsat for angreb, og den skal så være ekstra stærk. Man skal derfor gøre den så simpel som mulig ved at der placeres så lidt software som muligt. Jo mere software, der placeres, desto højere risiko er der for at en hacker kan finde et svagt punkt i programmerne. Typisk vil en bastion host fungere som en platform for en firewall af typen circuit-level gateway eller application level gateway.

Guard
En guard er en mere avanceret udgave af en application level gateway, og for at gøre forvirringen større, så findes der ikke nogen klar definition af, hvornår der er tale om det ene eller det andet.

I en senere artikel kigger vi nærmere på hvordan en firewall kan bygges op som en kombination mellem to eller alle tre typer af firewall.




Navnenyt fra it-danmarkVis alle »
René Poulsen
René Poulsen
Camilla Johannsen Kock
Camilla Johannsen Kock
Thomas Nilaus Drossaers Damgaard
Thomas Nilaus Drossaers Damgaard
Steen Bollerslev
Steen Bollerslev

Emil Skydsgaard
Emil Skydsgaard
Rasmus Kjeldsmark Jensen
Rasmus Kjeldsmark Jensen
Rikke Falk
Rikke Falk
Kiwi Maria Sambleben
Kiwi Maria Sambleben


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Få indblik i, hvordan du planlægger, designer og drifter dit datacenter, så det kan følge med virksomhedens vækst, støtter bæredygtighedsindsatsen og lever op til krav om effektiv datahåndtering.

25. februar 2025 | Læs mere

Identity Festival 2025

Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management (IAM) kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

05. marts 2025 | Læs mere

Tech Transformation Trends 2025

Tech Transformation Trends er konferencen, hvor vi sætter fokus på de helt store Danske virksomheders digitale transformationer og måden de driver virksomhed på. Dagen byder på cases og vidensdeling, der vil give inspiration som kan være med til at løfte din strategi og navigere i fremtidens digitale landskab.

06. marts 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Vikram Sharma
Vikram Sharma
Jørgen Floes
Jørgen Floes
David Guldager
David Guldager
Jeppe Juul-Andersen
Jeppe Juul-Andersen
Thomas Wong
Thomas Wong
Mogens Nørgaard
Mogens Nørgaard
Morten Eeg Ejrnæs Nielsen
Morten Eeg Ejrnæs Nielsen og Lisbeth Loft
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Vi har i Danmmark brug for en grundlæggende militær reform af tre små ting - her er min plan
Læs indlæg
Artikel teaser billede

Vikram Sharma

Cybersikkerhed: Sådan bør du prioritere dine sikkerhedsinvesteringer i 2025

Artikel teaser billede

Jørgen Floes

Er din virksomhed preppet til tre uger uden it?

Artikel teaser billede

David Guldager

Guldager: AI på mobilen kan skabe et kongeskifte

Artikel teaser billede

Jeppe Juul-Andersen

It-projekter lykkes ikke kun med god planlægning – de skal også have et hjerte: Her er tre gode råd

Mest læste klummer og blogs
Nørgaard: Vi har i Danmmark brug for en grundlæggende militær reform af tre små ting - her er min plan
Klumme: Indkald alle tidligere soldater under 65, alle jægere og alle medlemmer af skytteforeninger. Indkald ALLE 18-årige hvert år og uddan dem til ét eller andet - dog vigtigt at de forstår, at gamerstole ude ved fronten er sjældne.
Af: Mogens Nørgaard
Er din virksomhed preppet til tre uger uden it?
Klumme: Er jeres it-systemer robuste nok til at overleve et nedbrud i flere uger, eller vil en enkelt phishing-mail kunne lamme hele forretningen?
Af: Jørgen Floes
Nørgaard: Den tophemmelige AI-køreplan for 2025
Klumme: Mine eksperimenter med at slippe nemt om ved ITIL/ITSM-halløjet går forrygende.
Af: Mogens Nørgaard
David Guldager
opinion
David Guldager
Guldager: AI på mobilen kan skabe et kongeskifte
opinion Thomas Wong
Den nye nationale strategi for cybersikkerhed skal bakkes op af penge og handling
Læs indlæg

Premium
Teaser billede
Alt om den prisvenlige iPhone 16E: Så god er den i forhold iPhone 16 og 16 Pro
Læs mere »
Derfor ender dine AI-projekter ofte med at blive for dyre: Tre store udfordringer, som det er svært at tackle
Regeringen har sendt brev til den danske it-branche som svar på bekymringer: Og svaret er "stærkt, klart og meget kærkomment," siger branchen
En lille håndfuld cloud-leverandører sidder på 64 procent af det globale marked: Omsætter for flere hundrede milliarder kroner
Se alle »
Computerworld
Teaser billede
Test: Verdens vildeste trådløse højttaler trodser naturlovene og udløser et sjældent seks-tal
Læs mere »
Test: En af de bedste elbiler, som du overhovedet kan købe, er fransk
Selv pc’er fra 2020 efterlades i kulden: Her er de processorer som mister Microsoft Windows-support
Ny Windows-opdatering skaber store problemer for brugerne: Alvorlige fejl
Se alle »
CIO
Teaser billede
Microsoft gør klar til at lukke for WSUS efter 20 år - alle it-admins bør forberede sig
Læs mere »
Tre ud af fire it-projekter løber af sporet og går over budgettet - og det er der en særlig forklaring på
Regioner klar med licens-aftale med Microsoft: Priserne stiger markant
SAP-kunder tøver med at flytte over på S/4 Hana - foretrækker at bliver hængende på det gamle ECC
Se alle »
Job & Karriere
Teaser billede
40 år gammelt dansk it-selskab fusionerer med hollandsk firma og skifter navn
Læs mere »
Her er deres månedsløn: Så meget tjener CIO'erne i de danske regioner - den bedst lønnede får mere end digitaliseringsministeren
Lønninger i den danske it-branche fortsætter med at stige - så meget tjener de danske it-folk i gennemsnit
Nørgaard: I de gode gamle dage havde jeg for vane at fyre alle mine medarbejdere jævnligt
Se alle »
White paper
Teaser billede
Sikkerhed gjort enkelt: Beskyt din virksomhed direkte i browseren
Læs mere »
Sådan: Opgradér din printerløsning uden store investeringer
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »