Internet handlar om anslutning. Tyvärr, även om det finns många webbplatser och innehåll som du kanske vill ansluta till, finns det många saker du inte vill ansluta till också. Datavirus har funnits länge. Några av de riktigt tidiga var inte riktigt destruktiva och gjorde bara något oväntat som att spela technomusik eller skickade ett kedjemail.
Det är dock inte fallet i den moderna världen. Virus och skadlig programvara kan radera eller kryptera filer och hålla dem för lösen, logga dina tangenttryckningar till fastställa lösenord och bankinformation, eller registrera din dator i ett botnät för att attackera andra.
Virus och skadlig programvara är inte de enda otäcka sakerna där ute heller. Hackare använder ständigt automatiserade skanningsverktyg för att undersöka enheter på internet för att identifiera de som är sårbara för verktyg de har till hands.
Du kan bli frestad att bara koppla bort din dator från internet för att hålla den säker. Även om det kommer att fungera, är det inte bra eftersom du förlorar tillgången till den stora mängden användbar information och roliga kattbilder som utgör internet. För att hantera balansen mellan åtkomst och säkerhet har du brandväggen.
Vad är en brandvägg?
En brandvägg är ett verktyg som tillåter genom specificerad nätverkstrafik och blockerar annan trafik. Genom att noggrant justera reglerna som styr om ett nätverkspaket släpps igenom brandväggen eller inte kan du på ett meningsfullt sätt öka säkerhetsställningen för din dator.
Grundkonceptet är uppbyggt kring en åtkomstkontrolllista. Vissa saker är tillåtna, vissa saker är explicit blockerade och allt annat är blockerat som standard. Om du stöter på en situation där din brandvägg hindrar dig från att göra något är det i allmänhet en bra idé att ta en sekund för att ta reda på varför den anslutningen blockerades.
Naturligtvis kan du tillåta kommunikationen om det inte finns någon legitim anledning. Eller orsaken gäller inte längre. På samma sätt, om du får nätverkstrafik du inte vill kan du bara blockera den. Det kan vara värt att fundera över varför det var tillåtet innan man gör det. Eftersom blockering av åtkomst kan bryta legitima funktioner.
Det finns två huvudtyper av brandväggar. Nätverksbrandväggen och den personliga brandväggen sitter på olika punkter på ett nätverksdiagram. De erbjuder andra fördelar och nackdelar. Båda kan vara användbara och fungera bra tillsammans, men att ha mer än en kan komplicera processen att diagnostisera vilken som blockerar något som inte bör blockeras.
Nätverksbrandvägg
En nätverksbrandvägg är en brandvägg som finns någonstans i ditt lokala nätverk (LAN). Eller potentiellt ditt Wide Area-nätverk (WAN). Den kommer alltid att placeras mellan enheter och den faktiska internetanslutningen. Den kommer vanligtvis att vara placerad så nära internetanslutningen som möjligt. I nätverkstopologisk mening, inte nödvändigtvis i fysisk närhet.
En nätverksbrandvägg är vanligtvis en enhet av fysisk servertyp. Det kan vara en fristående enhet eller vara integrerad i en annan nätverksenhet som en router. De används vanligtvis i företagsnätverk och är betydligt mindre vanliga i hemnätverk.
Notera: NAT och PAT, även om de inte är avsedda som en brandväggsliknande säkerhetsfunktion, erbjuder liknande fördelar, åtminstone när det gäller att blockera och tillåta inkommande kommunikation. Alla hemroutrar implementerar NAT och PAT. Så du kan se det som en nätverksbrandvägg.
Nätverksbrandväggar är i allmänhet utformade för att filtrera all inkommande och utgående nätverkstrafik från ett helt nätverk. Dess position på nätverket ger den utmärkt insikt i all trafik på nätverket. Ändå är många anslutningar krypterade mellan slutanvändarenheter och webbservrar. Den har inte alltid en bra bild av det faktiska innehållet i nätverkstrafiken. Av denna anledning är de flesta regler för nätverksbrandväggar baserade på att blockera kända dåliga IP-adresser och förhindra åtkomst till oönskade portnummer.
Nätverksbrandväggar är bra på att ge skydd för enheter som inte kan köra egna brandväggar. De är också bra på att erbjuda centraliserat skydd av ett stort antal enheter. Tyvärr är de ofta långsamma att uppdateras om det finns en regel som behöver ändras. Detta beror dock i allmänhet på svag eller alltför försiktig företagspolicy och att folk inte vet vem de ska kommunicera med för att åtgärda problemet.
Personlig brandvägg
En personlig brandvägg är en mjukvarubrandvägg som är installerad på din enhet. Den kan övervaka kommunikation och konfigureras för att hantera åtkomsten av enskilda applikationer. Dessa är ofta kopplade till någon form av anti-malware-lösning, men sedan Windows XP har Windows kommit med en gratis brandvägg inbyggd.
Personliga brandväggar följer också med din enhet. Detta är inte särskilt viktigt för stationära datorer. Fortfarande kan bärbara datorer och mobila enheter ansluta till många nätverk var och en med olika riskprofiler. I ett företagsnätverk kan du till exempel ha många nätverksanslutna resurser, skrivare och andra enheter som du behöver kommunicera med smidigt.
I en hemmiljö är du i allmänhet relativt säker men behöver inte nödvändigtvis de tjänster som brandväggen tillåter, och att stänga dem är ett bra försvar på djupet. Om du är ansluten till en offentlig Wi-Fi-hotspot även om du inte har någon aning om vad mer som kan vara anslutet till nätverket, bör din brandvägg låsas ordentligt.
Personliga brandväggar är mycket lättare att uppdatera för att ge eller neka åtkomst till något. Även om många enheter inkluderar mer administrationskostnader, är det vissa som erbjuder centraliserad kontroll som slutanvändare inte litar på att ha kontroll. Personliga brandväggar täcker bara en enhet men kan skydda den var den än är. En betydande risk är att om ett virus tar sig igenom. Den kan få tillräckligt med kontroll över datorn för att direkt styra brandväggen, som lika gärna inte finns där.
Webbapplikationsbrandvägg
Webbapplikationer är också under en ständig störtflod av attacker från hackare. Typiska brandväggar är utmärkta för att hålla servern skyddad från oönskad trafik, men själva applikationen kan vara sårbar. Även om säkra utvecklingsmetoder och korrekta säkerhetstester är de bästa säkerhetspolicyerna, kan implementering av en webbapplikationsbrandvägg eller WAF hjälpa till att fungera som ett försvar på djupet.
Dricks: Defence-in-depth är ett säkerhetskoncept med flera säkerhetsfunktionsskikt. Tanken är att om en försvarsmekanism misslyckas eller förbigås, så finns det fortfarande andra försvar.
En WAF fungerar något annorlunda än andra brandväggar. Eftersom det finns i applikationen kan det se och analysera den dekrypterade trafiken. Detta gör att den kan analysera innehållet i de faktiska meddelanden som skickas. Om någon begäran identifieras som potentiellt skadlig kan den blockeras. Ett typiskt exempel på den typ av sak som kan blockeras är förfrågningar som innehåller javascript. Cross-Site Scripting eller XSS-attacker innebär att förfrågningar skickas med javascript så att en webbläsare kan köra den skadliga koden.
Slutsats
En brandvägg är ett verktyg som övervakar nätverkstrafik och antingen blockerar eller tillåter det beroende på en lista med regler som brandväggen har. Dessa regler kan modifieras för att passa användarnas behov och användningsfall, men i vissa fall kanske användaren inte kan implementera ändringen själv.
Brandväggar blockerar i allmänhet oväntad inkommande trafik, de håller också reda på skickade förfrågningar så att de kan släppa igenom svaren. Det är vanligtvis också klokt att låsa de utgående förfrågningarna om de inte är nödvändiga som en djupförsvarsåtgärd.
Obs: Brandväggsterminologi hänvisar ofta till blockeringslistor och godkännandelistor.