Søg

Sådan opbygges en firewall

En firewall kan blive mere sikker, hvis den opbygges af flere forskellige grundelementer, som også i sig selv er firewalls. I denne artikel kigger vi derfor nærmere på de mest kendte metoder til opbygning af firewalls.

10. oktober 2001 kl. 15.15
Suzette Wagner Suzette Wagner

Screened host

Som vi skrev i en tidligere artikel, findes der tre typer firewalls: Pakkefiltrerings-router, application level gateway og circuit-level gateway. Vi så nærmere på de tre typer, men normalt vil en firewall være opbygget som en kombination mellem to eller alle tre typer, og derfor vil vi se nærmere på de mest kendte kombinationer.

Det er dog ikke noget endegyldigt svar på, hvordan en firewall skal opbygges, da hvert firma eller organisation bør følge sine egne sikkerhedspolitikker og vurdere risiko for angreb.

Screened host firewall, single-homed bastion
Brug af en enkelt pakkefiltrerings-router er ikke sikker nok. Hvis routeren bliver hacket, så får hackeren adgang til hele det interne netværk. For at opnå højere sikkerhed kan man kombinere en pakkefiltreringsrouter med en application level gateway, og dette kaldes for en screened host firewall, single-homed bastion. Her implementeres sikkerheden nemlig både på netværkslaget (pakkefiltrering) og på applikationslaget. Derudover skal en hacker bryde igennem to separate systemer førend sikkerheden af det interne netværk kan kompromitteres.

Application level gateway'en implementeres på det interne netværk, mens pakkefiltreringsrouteren placeres mellem application level gateway og internettet. I denne opstilling er application level gateway'en altså bastion host. Filtreringsreglerne er implementeret således, at udefrakommende trafik kun kan få adgang til bastion host'en. Det vil sige at alle forespørgsler til andre systemer vil blive blokeret.

Da det interne netværk er forbundet til bastion host'en, vil firmaets sikkerhedspolitik bestemme om interne brugere må få adgang til internettet direkte gennem pakkefiltreringsrouteren eller om den interne trafik også skal gå gennem bastion host'en.

Fordelen ved denne opstilling af firewall er at en offentlig tilgængelig server såsom en webserver eller mailserver kan placeres på et segment, der deles af pakkefiltreringsrouteren og bastion host'en. Derved kan der implementeres forskellige sikkerhedskrav: Hvis der ønskes en høj sikkerhed skal både de interne og eksterne brugere gå gennem bastion host'en for at få adgang til den pågældende server, og hvis et lavere sikkerhedsniveau er tilstrækkeligt, kan de eksterne brugere få direkte adgang til serveren ved kun at skulle igennem pakkefiltreringsrouteren.

Screened host firewall, dual-homed bastion
En mere sikker måde at opbygge firewallen på, er at lukke muligheden for at interne brugere kan få direkte adgang til webserveren, hvilket også lukker for at programmer med videre kan komme ind på det interne netværk uden om bastion host'en. Dette kaldes for en screened host firewall, dual-homed bastion host, idet bastion host'en har to grænseflader, en mod det interne netværk og en mod serveren og pakkefiltrerings-routeren. Hvis man opsætter systemet på denne måde, så er det vigtigt at sørge for at de interne brugere ikke kan logge på selve bastion host'en, og at bastion host'en er beskyttet imod angreb fra hackere.

Screened subnet

Screened-subnet firewall system
Et system bestående af to pakkefiltreringsroutere og en bastion host, som også her er en application level gateway, bliver kaldt for et screened-subnet firewall system. Dette system giver en endnu højere sikkerhed end de tidligere nævnte opstillinger. Systemet understøtter både sikkerhed på netværkslaget og applikationslaget, samt definerer en såkaldt demilitariseret zone (DMZ).

DMZ fungerer som et lille, isoleret netværk mellem internettet og det interne netværk. Typisk vil det interne netværk være konfigureret således, at både interne og eksterne brugere kun har adgang til et begrænset antal systemer i DMZ, mens direkte trafik gennem DMZ er forbudt.

Bastion host, offentlige tilgængelige servere og modem-puljer er placeret i DMZ. Den ene pakkefiltreringsrouter (ydre router) er placeret ud mod internettet, mens den anden (indre router) er placeret ind mod det interne netværk. Den ydre router beskytter mod angreb udefra og administrerer internetadgangen fra og til DMZ. Den indre router er en ekstra beskyttelse for det interne netværk, og den administrerer trafikken mellem det interne netværk og DMZ.

Fordelen med denne opstilling er at en hacker skal bryde igennem både den ydre router, bastion host'en og den indre router, før end hackeren kan få adgang til det interne netværk.

Flere screened subnet

Flere screened-subnet
Man kan sætte flere screened-subnet sammen for at skabe et firewall system. Dette kan for eksempel bruges, hvis der er behov for flere subnet med forskellige sikkerhedsniveauer. Der findes to forskellige former af denne type, split-screened subnet og uafhængig screened-subnet.

Et split-screened subnet består som et screened-subnet firewall system af en ydre og en indre pakkefiltreringsrouter. Forskellen er, at der i mellem de to routere kan være flere netværk, hvor disse netværk forbindes ved hjælp af en eller flere dual-homed bastion host. Denne opstilling giver et højt sikkerhedsniveau.

Et uafhængigt screened subnet består som navnet antyder af flere uafhængige netværk, som hver har en ydre og en indre pakkefiltreringsrouter. De indre routere er alle forbundet til det interne netværk. Denne opstilling benyttes af firmaer som ønsker at skabe en spejle deres servere for eksempelvis at undgå "denial of service"-angreb, eller hvis man ønsker at adskille indgående og udgående trafik for at opnå et højt sikkerhedsniveau.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Netcompany A/S

    Managing Architect

    Nordjylland

    Økonomistyrelsen

    Erfaren projektleder til ledelse af store statslige data- og it-projekter

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Tekniske sagsbehandlere til Cloud og Infrastukturområdet i Digital og Operativ Transformation, Forsvarets Materiel- og Indkøbsstyrelse i Aalborg, København eller Karup

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Senior projektkonsulent til program Digital og Operativ Transformation

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Andre events | København

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Få et klart overblik over AI’s reelle effekt i danske virksomheder. Arrangementet giver unge talenter og ambitiøse medarbejdere viden, der løfter karrieren, skærper beslutninger og gør dig klar til at præge den digitale udvikling. Læs mere og...

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Sikkerhed | Aarhus C

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem tre spor og styrk både indsigt og netværk. Deltag i Aarhus 22. januar.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Circle Of Bytes ApS har pr. 1. maj 2025 ansat Jeanette Kristiansen som Account Manager. Hun skal især beskæftige sig med at opbygge og styrke relationer til kunder og samarbejdspartnere, samt sikre det rette match mellem kunder og konsulenter. Nyt job

    Jeanette Kristiansen

    Circle Of Bytes ApS

    Kasper Helverskov Petersen, er pr. 15. september 2025 ansat hos Immeo som Consultant. Han er nyuddannet i Mathematical Modelling and Computation fra DTU. Nyt job

    Kasper Helverskov Petersen

    Immeo

    Norriq Danmark A/S har pr. 1. september 2025 ansat Hans Christian Thisen som AI Consultant. Han skal især beskæftige sig med at bidrage til udvikling og implementering af AI- og automatiseringsløsninger. Nyt job

    Hans Christian Thisen

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Niels Bjørndal Nygaard som Digital Product Lead. Han skal især beskæftige sig med designe og implementere effektive IT-løsninger. Han har tidligere beskæftiget sig med at være digital consultant og project Manager hos Peytz & Co. Nyt job

    Niels Bjørndal Nygaard

    Norriq Danmark A/S

    Se mere fra navnenyt

    Mest læste

    1 Microsoft erkender: Nylige Windows-opdateringer afbryder særlig type forbindelser
    2 Nørgaard: Tak Microsoft - I redder Danmark
    3 Den nye version af Microsoft SQL Server er på gaden med en stribe nye funktioner: Den gamle version udgår snart
    4 Star Wars som du nok aldrig har set den før
    5 Systematic tromler frem: Mere end fordobler sit trecifrede millionoverskud
    6 Test: Flot billede i dette tv fra Panasonic
    7 NNIT advarer om faldende omsætning og dropper vigtigt mål for 2027: Resultaterne er "forværret"
    8 Kalundborg Forsyning udsat for stort cyberangreb: Afviser at udtale sig

    Se seneste uge