Søg

Sådan opbygges en firewall

En firewall kan blive mere sikker, hvis den opbygges af flere forskellige grundelementer, som også i sig selv er firewalls. I denne artikel kigger vi derfor nærmere på de mest kendte metoder til opbygning af firewalls.

10. oktober 2001 kl. 15.15
Suzette Wagner Suzette Wagner

Screened host

Som vi skrev i en tidligere artikel, findes der tre typer firewalls: Pakkefiltrerings-router, application level gateway og circuit-level gateway. Vi så nærmere på de tre typer, men normalt vil en firewall være opbygget som en kombination mellem to eller alle tre typer, og derfor vil vi se nærmere på de mest kendte kombinationer.

Det er dog ikke noget endegyldigt svar på, hvordan en firewall skal opbygges, da hvert firma eller organisation bør følge sine egne sikkerhedspolitikker og vurdere risiko for angreb.

Screened host firewall, single-homed bastion
Brug af en enkelt pakkefiltrerings-router er ikke sikker nok. Hvis routeren bliver hacket, så får hackeren adgang til hele det interne netværk. For at opnå højere sikkerhed kan man kombinere en pakkefiltreringsrouter med en application level gateway, og dette kaldes for en screened host firewall, single-homed bastion. Her implementeres sikkerheden nemlig både på netværkslaget (pakkefiltrering) og på applikationslaget. Derudover skal en hacker bryde igennem to separate systemer førend sikkerheden af det interne netværk kan kompromitteres.

Application level gateway'en implementeres på det interne netværk, mens pakkefiltreringsrouteren placeres mellem application level gateway og internettet. I denne opstilling er application level gateway'en altså bastion host. Filtreringsreglerne er implementeret således, at udefrakommende trafik kun kan få adgang til bastion host'en. Det vil sige at alle forespørgsler til andre systemer vil blive blokeret.

Da det interne netværk er forbundet til bastion host'en, vil firmaets sikkerhedspolitik bestemme om interne brugere må få adgang til internettet direkte gennem pakkefiltreringsrouteren eller om den interne trafik også skal gå gennem bastion host'en.

Fordelen ved denne opstilling af firewall er at en offentlig tilgængelig server såsom en webserver eller mailserver kan placeres på et segment, der deles af pakkefiltreringsrouteren og bastion host'en. Derved kan der implementeres forskellige sikkerhedskrav: Hvis der ønskes en høj sikkerhed skal både de interne og eksterne brugere gå gennem bastion host'en for at få adgang til den pågældende server, og hvis et lavere sikkerhedsniveau er tilstrækkeligt, kan de eksterne brugere få direkte adgang til serveren ved kun at skulle igennem pakkefiltreringsrouteren.

Screened host firewall, dual-homed bastion
En mere sikker måde at opbygge firewallen på, er at lukke muligheden for at interne brugere kan få direkte adgang til webserveren, hvilket også lukker for at programmer med videre kan komme ind på det interne netværk uden om bastion host'en. Dette kaldes for en screened host firewall, dual-homed bastion host, idet bastion host'en har to grænseflader, en mod det interne netværk og en mod serveren og pakkefiltrerings-routeren. Hvis man opsætter systemet på denne måde, så er det vigtigt at sørge for at de interne brugere ikke kan logge på selve bastion host'en, og at bastion host'en er beskyttet imod angreb fra hackere.

Screened subnet

Screened-subnet firewall system
Et system bestående af to pakkefiltreringsroutere og en bastion host, som også her er en application level gateway, bliver kaldt for et screened-subnet firewall system. Dette system giver en endnu højere sikkerhed end de tidligere nævnte opstillinger. Systemet understøtter både sikkerhed på netværkslaget og applikationslaget, samt definerer en såkaldt demilitariseret zone (DMZ).

DMZ fungerer som et lille, isoleret netværk mellem internettet og det interne netværk. Typisk vil det interne netværk være konfigureret således, at både interne og eksterne brugere kun har adgang til et begrænset antal systemer i DMZ, mens direkte trafik gennem DMZ er forbudt.

Bastion host, offentlige tilgængelige servere og modem-puljer er placeret i DMZ. Den ene pakkefiltreringsrouter (ydre router) er placeret ud mod internettet, mens den anden (indre router) er placeret ind mod det interne netværk. Den ydre router beskytter mod angreb udefra og administrerer internetadgangen fra og til DMZ. Den indre router er en ekstra beskyttelse for det interne netværk, og den administrerer trafikken mellem det interne netværk og DMZ.

Fordelen med denne opstilling er at en hacker skal bryde igennem både den ydre router, bastion host'en og den indre router, før end hackeren kan få adgang til det interne netværk.

Flere screened subnet

Flere screened-subnet
Man kan sætte flere screened-subnet sammen for at skabe et firewall system. Dette kan for eksempel bruges, hvis der er behov for flere subnet med forskellige sikkerhedsniveauer. Der findes to forskellige former af denne type, split-screened subnet og uafhængig screened-subnet.

Et split-screened subnet består som et screened-subnet firewall system af en ydre og en indre pakkefiltreringsrouter. Forskellen er, at der i mellem de to routere kan være flere netværk, hvor disse netværk forbindes ved hjælp af en eller flere dual-homed bastion host. Denne opstilling giver et højt sikkerhedsniveau.

Et uafhængigt screened subnet består som navnet antyder af flere uafhængige netværk, som hver har en ydre og en indre pakkefiltreringsrouter. De indre routere er alle forbundet til det interne netværk. Denne opstilling benyttes af firmaer som ønsker at skabe en spejle deres servere for eksempelvis at undgå "denial of service"-angreb, eller hvis man ønsker at adskille indgående og udgående trafik for at opnå et højt sikkerhedsniveau.

Mere om samme emne

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    TV2

    Enterprise Data Architect til TV 2

    Fyn

    Netcompany A/S

    Software Developer

    Midtjylland

    TV2

    Staff Data Engineer til Data Foundation

    Københavnsområdet

    Schultz

    Senior softwareudvikler med erfaring inden for DevOps og infrastruktur

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    ERP Insights 2025

    It-løsninger | Online

    ERP Insights 2025

    Få den nyeste viden om værktøjer, der kan optimere hele din virksomhed med udgangspunkt i AI og fleksibilitet.

    Automatisering med Copilot & Agentic AI

    It-løsninger | København Ø

    Automatisering med Copilot & Agentic AI

    Høst viden og erfaringer fra andre om, hvordan Copilot og Agentic AI i praksis kan skabe værdi og fleksibilitet i din organisation.

    Erfaringer fra frontlinjen: Sådan ændrer trusselsbilledet sig

    Sikkerhed | Online

    Erfaringer fra frontlinjen: Sådan ændrer trusselsbilledet sig

    Kort og fokuseret digitalt event: Erfaren frontkæmper fra den digitale sikkerhedsverden giver dig overblik og konkrete anbefalinger til det aktuelle trusselsbillede.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Immeo har pr. 1. oktober 2025 ansat Malthe Søgaard Sørensen som Consultant. Han kommer fra en stilling som Software udvikler hos Rohde & Schwarz. Han er uddannet Computer Scientist fra Aalborg Universitet. Nyt job

    Malthe Søgaard Sørensen

    Immeo

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    Netip A/S har pr. 19. august 2025 ansat Burak Cavusoglu som Datateknikerelev ved afd.Thisted og afd. Rønnede. Nyt job

    Burak Cavusoglu

    Netip A/S

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Huy Duc Nguyen som Developer ERP. Han skal især beskæftige sig med at bidrage til at udvikle, bygge og skræddersy IT-løsninger, der skaber vækst og succes i vores kunders forretninger. Han kommer fra en stilling som Software Developer hos Navtilus. Han er uddannet i bioteknologi på Aalborg University. Nyt job

    Huy Duc Nguyen

    Norriq Danmark A/S

    Se mere fra navnenyt

    Mest læste

    1 IBM fyrer: Vil skille sig af med tusindvis af ansatte
    2 Alphabet får grønt lys til største opkøb nogensinde: Er klar til at lægge enorme 212 milliarder kroner på bordet for selskab stiftet af soldater
    3 Nyt dansk Microsoft-hus åbner nyt storkontor i København
    4 Stortest af mobilt bredbånd: Teleselskabet 3 satser på kompakt design med Vantiva Falcon 5G-router
    5 7N går ind på Europas største it-marked for første gang: Overtager 15 år gammelt konsulenthus
    6 Netflix splitter sin aktie igen: Så rig ville du være i dag, hvis du havde købt aktier for 1.000 kroner ved børsnoteringen
    7 Nu er Apple Intelligence kommet til Danmark: Se om det virker på dine enheder
    8 Tophemmeligt projekt med kodenavnet J700 afsløret: Bliver Apples første bærbare computer til lavpris

    Se seneste uge