Søg

Firewalls beskytter netværket

En firewall beskytter et netværk mod hackeres adgang til systemet. Der findes flere forskellige måder at opsætte en firewall. Adgang til det interne netværk kan blandt andet kontrolleres via IP-headere eller via applikationer. I denne artikel kigger vi nærmere på, hvordan en firewall virker.

05. oktober 2001 kl. 09.42
Suzette Wagner Suzette Wagner

Flere typer

I ethvert firma, hvor der eksisterer et internt netværk, bør der også være en firewall. En firewall beskytter kort sagt netværket imod at hackere kan få adgang til computere, der har forbindelse til internettet.

En firewall bestemmer hvilke tjenester i et internt netværk, som udefrakommende må få adgang til, hvilke brugere uden for det interne netværk, der må få adgang til de tilladte tjenester indenfor, og hvilke tjenester, de interne brugere må få adgang til. Alt trafik mellem det interne og det eksterne netværk skal altså gå gennem firewallen. Og lad os slå det fast med det samme: Der findes mange forskellige måder at opsætte en firewall på, og derfor kigger vi nærmere på, hvordan en firewall virker.

Der findes to ekstreme modeller for en firewall:

  • Alt det, som ikke er tilladt, er forbudt.
  • Alt det, som ikke er forbudt, er tilladt.
Systemadministratorer og sikkerhedseksperter foretrækker den første model, da det er let kun at tillade nogle få ting og lade alle andre ting være forbudt. Brugerne af netværket kan bedst lide den anden model, da de her kan få mere frihed til at arbejde med systemerne. Som regel vil man derfor se en kombination af disse ekstremer.

Firewalls kan groft deles ind i tre typer alt efter hvilken funktion, de varetager: Pakkefiltrerings-router, application level gateway og circuit-level gateway. Disse tre typer ser vi på i de næste tre afsnit. Typisk vil man dog altid bruge en kombination mellem to eller alle tre typer, og dette forklares i en senere artikel.

Pakkefiltrering

Pakkefiltrerings-router
En pakkefiltrerings-router (screening router) anbringes ud mod internettet. Når der kommer en pakke ind til routeren, anvender den et sæt filtreringsregler for at kontrollere, om pakken skal afvises eller ej. Reglerne er baseret på indholdet af IP-headeren. Routeren kan altså filtrere pakkerne efter afsenderadresse, modtageradresse samt sessions- og applikationsprotokol, der benyttes til at sende data. De fleste routere og bridges har disse egenskaber.


Ulempen ved denne type firewall er, at det kun er IP-headeren, som bliver kontrolleret. Det vil sige, at dataindholdet ikke analyseres. En let måde at angribe denne type firewall på, er derfor at bruge en falsk IP-header, med et gyldigt portnummer, til at få transmitteret en ugyldig applikation.

Der findes flere varianter af pakkefiltrering blandt andet dynamisk pakkefiltrering og tilstandsbaseret pakkefiltrering.

Applikationer

Application level gateway
En application level gateway (proxy server) kontrollerer adgang til systemet på applikationsniveau. Det vil sige, at den sidder som et slags led mellem applikationer på det indre og ydre netværk. Både indgående og udgående trafik kan kontrolleres. Der skal være implementeret en speciel kode for alle relevante applikationer, eksempelvis SNMP, HTTP, FTP og Telnet.

En gateway benytter autentifikation til at kontrollere de brugere, som har adgang til netværket. Det vil sige, at en bruger skal opgive identifikation. Dette kan for eksempel bruges til at medarbejdere kan læse e-mail hjemmefra.

Kontrol på applikationsniveau giver mulighed for at kontrollere selve indholdet af pakkerne, hvilket gør det muligt eksempelvis at sortere java-appletter eller scripts fra. En ulempe er, at der skal implementeres speciel kode for hver applikation, hvilket både giver mere udvikling og vedligeholdelse samt flere omkostninger.

To TCP-forbindelser

Circuit-level gateway
Denne type firewall kan være et system for sig selv, eller den kan være en specialiseret funktion firewall af typen application level gateway. Firewallen godkender ikke en end-to-end TCP-forbindelse. I stedet for oprettes en virtuel forbindelse ved at firewallen sætter to TCP-forbindelser op: En mellem sig selv og brugeren indenfor, og en mellem sig selv og brugeren udenfor. Når de to forbindelser er etableret, vil firewallen normalt ikke evaluere indholdet af pakkerne. Sikkerheden ligger altså i, hvilke forbindelser der må tillades, og systemadministratoren skal altså kunne stole på de interne brugere.

Tit støder man på andre begreber, når diskussionen kommer ind på firewalls, og vi forklarer nogle af dem her.

Bastion Host
En bastion host udpeges af systemadministratoren som det vigtigste og stærkeste punkt i et netværk, når der vel at mærke fokuseres på sikkerhed. Bastion hosten er den del af det interne netværk, som kendes af andre på internettet. Derfor er der stor risiko for at den bliver udsat for angreb, og den skal så være ekstra stærk. Man skal derfor gøre den så simpel som mulig ved at der placeres så lidt software som muligt. Jo mere software, der placeres, desto højere risiko er der for at en hacker kan finde et svagt punkt i programmerne. Typisk vil en bastion host fungere som en platform for en firewall af typen circuit-level gateway eller application level gateway.

Guard
En guard er en mere avanceret udgave af en application level gateway, og for at gøre forvirringen større, så findes der ikke nogen klar definition af, hvornår der er tale om det ene eller det andet.

I en senere artikel kigger vi nærmere på hvordan en firewall kan bygges op som en kombination mellem to eller alle tre typer af firewall.

Læses lige nu

    Seneste nyt

    |Vis seneste uge

    Annonce

    Everllence

    Senior Embedded Software Engineer

    Københavnsområdet

    Netcompany A/S

    Network Engineer

    Nordjylland

    Everllence

    Software Engineer

    Københavnsområdet

    Netcompany A/S

    Cloud Operations Manager (Azure)

    Københavnsområdet

    Se flere it-stillinger
    De spørgsmål 200+ danske virksomheder stiller om print – samlet i én guide De spørgsmål 200+ danske virksomheder stiller om print – samlet i én guide

    Whitepaper

    De spørgsmål 200+ danske virksomheder stiller om print – samlet i én guide
    Undgå at printeren bliver svageste led i sikkerheden Undgå at printeren bliver svageste led i sikkerheden

    Whitepaper

    Undgå at printeren bliver svageste led i sikkerheden
    Dine data ligger i Europa – men hvem har reelt kontrollen? Dine data ligger i Europa – men hvem har reelt kontrollen?

    Whitepaper

    Dine data ligger i Europa – men hvem har reelt kontrollen?
    Se flere whitepapers

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job

    Kristina Svingel Jeppesen

    Netip A/S

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Se mere fra navnenyt

    Mest læste

    1 Microsoft forlænger igen support til Windows 10: Så længe kan du nu holde systemet i live
    2 Norlys sælger Mjølner Informatics til konsulentgigant efter blot fire års ejerskab
    3 Itm8 har tabt knap to milliarder kroner på fire år: Nu skyder ejeren penge ind
    4 Apple hæver priserne massivt på din næste Mac og iPad: Se de nye priser her
    5 NNIT-topchef Claus Rydkjær beskyldes i Børsen for magtmisbrug og chikane i tidligere job
    6 Disse tre gadgets har fulgt mig igennem mit vægttab: Sådan har de fungeret og hjulpet mig
    7 Nørgaard: Apple er centrum i farlig måde at regulere på, der kun kan føre til dårlige ting - og jeg har endda prøvet det selv
    8 Fortsætter som ene-leverandør: Netcompany kommer til at sidde tungt på central opgave for den danske stat i mange år

    Se seneste uge