Screened host
Som vi skrev i en tidligere artikel, findes der tre typer firewalls: Pakkefiltrerings-router, application level gateway og circuit-level gateway. Vi så nærmere på de tre typer, men normalt vil en firewall være opbygget som en kombination mellem to eller alle tre typer, og derfor vil vi se nærmere på de mest kendte kombinationer.
Det er dog ikke noget endegyldigt svar på, hvordan en firewall skal opbygges, da hvert firma eller organisation bør følge sine egne sikkerhedspolitikker og vurdere risiko for angreb.
Screened host firewall, single-homed bastion
Brug af en enkelt pakkefiltrerings-router er ikke sikker nok. Hvis routeren bliver hacket, så får hackeren adgang til hele det interne netværk. For at opnå højere sikkerhed kan man kombinere en pakkefiltreringsrouter med en application level gateway, og dette kaldes for en screened host firewall, single-homed bastion. Her implementeres sikkerheden nemlig både på netværkslaget (pakkefiltrering) og på applikationslaget. Derudover skal en hacker bryde igennem to separate systemer førend sikkerheden af det interne netværk kan kompromitteres.
Application level gateway'en implementeres på det interne netværk, mens pakkefiltreringsrouteren placeres mellem application level gateway og internettet. I denne opstilling er application level gateway'en altså bastion host. Filtreringsreglerne er implementeret således, at udefrakommende trafik kun kan få adgang til bastion host'en. Det vil sige at alle forespørgsler til andre systemer vil blive blokeret.
Da det interne netværk er forbundet til bastion host'en, vil firmaets sikkerhedspolitik bestemme om interne brugere må få adgang til internettet direkte gennem pakkefiltreringsrouteren eller om den interne trafik også skal gå gennem bastion host'en.
Fordelen ved denne opstilling af firewall er at en offentlig tilgængelig server såsom en webserver eller mailserver kan placeres på et segment, der deles af pakkefiltreringsrouteren og bastion host'en. Derved kan der implementeres forskellige sikkerhedskrav: Hvis der ønskes en høj sikkerhed skal både de interne og eksterne brugere gå gennem bastion host'en for at få adgang til den pågældende server, og hvis et lavere sikkerhedsniveau er tilstrækkeligt, kan de eksterne brugere få direkte adgang til serveren ved kun at skulle igennem pakkefiltreringsrouteren.
Screened host firewall, dual-homed bastion
En mere sikker måde at opbygge firewallen på, er at lukke muligheden for at interne brugere kan få direkte adgang til webserveren, hvilket også lukker for at programmer med videre kan komme ind på det interne netværk uden om bastion host'en. Dette kaldes for en screened host firewall, dual-homed bastion host, idet bastion host'en har to grænseflader, en mod det interne netværk og en mod serveren og pakkefiltrerings-routeren. Hvis man opsætter systemet på denne måde, så er det vigtigt at sørge for at de interne brugere ikke kan logge på selve bastion host'en, og at bastion host'en er beskyttet imod angreb fra hackere.
Screened subnet
Screened-subnet firewall system
Et system bestående af to pakkefiltreringsroutere og en bastion host, som også her er en application level gateway, bliver kaldt for et screened-subnet firewall system. Dette system giver en endnu højere sikkerhed end de tidligere nævnte opstillinger. Systemet understøtter både sikkerhed på netværkslaget og applikationslaget, samt definerer en såkaldt demilitariseret zone (DMZ).
DMZ fungerer som et lille, isoleret netværk mellem internettet og det interne netværk. Typisk vil det interne netværk være konfigureret således, at både interne og eksterne brugere kun har adgang til et begrænset antal systemer i DMZ, mens direkte trafik gennem DMZ er forbudt.
Bastion host, offentlige tilgængelige servere og modem-puljer er placeret i DMZ. Den ene pakkefiltreringsrouter (ydre router) er placeret ud mod internettet, mens den anden (indre router) er placeret ind mod det interne netværk. Den ydre router beskytter mod angreb udefra og administrerer internetadgangen fra og til DMZ. Den indre router er en ekstra beskyttelse for det interne netværk, og den administrerer trafikken mellem det interne netværk og DMZ.
Fordelen med denne opstilling er at en hacker skal bryde igennem både den ydre router, bastion host'en og den indre router, før end hackeren kan få adgang til det interne netværk.
Flere screened subnet
Flere screened-subnet
Man kan sætte flere screened-subnet sammen for at skabe et firewall system. Dette kan for eksempel bruges, hvis der er behov for flere subnet med forskellige sikkerhedsniveauer. Der findes to forskellige former af denne type, split-screened subnet og uafhængig screened-subnet.
Et split-screened subnet består som et screened-subnet firewall system af en ydre og en indre pakkefiltreringsrouter. Forskellen er, at der i mellem de to routere kan være flere netværk, hvor disse netværk forbindes ved hjælp af en eller flere dual-homed bastion host. Denne opstilling giver et højt sikkerhedsniveau.
Et uafhængigt screened subnet består som navnet antyder af flere uafhængige netværk, som hver har en ydre og en indre pakkefiltreringsrouter. De indre routere er alle forbundet til det interne netværk. Denne opstilling benyttes af firmaer som ønsker at skabe en spejle deres servere for eksempelvis at undgå "denial of service"-angreb, eller hvis man ønsker at adskille indgående og udgående trafik for at opnå et højt sikkerhedsniveau.