En brandvägg (firewall) är en säkerhetsenhet som skyddar nätverk mot obehörig åtkomst och skadlig trafik. Brandväggen placeras mellan två eller flera nätverk och fungerar som en säkerhetsgräns där all trafik måste granskas innan den tillåts passera.
Vanligtvis placeras brandväggen mellan ett internt nätverk (inside, trusted) och ett externt nätverk (outside, untrusted), exempelvis Internet.
Hur brandväggar fungerar
Brandväggens huvudsakliga uppgift är att analysera nätverkstrafik och avgöra om trafiken ska tillåtas (permit) eller blockeras (deny). Dessa beslut baseras på säkerhetsregler (policies) som administratören konfigurerar. Reglerna kan exempelvis definiera:
- vilka IP-adresser som får kommunicera
- vilka tjänster som tillåts
- vilka portar som får användas
- vilken trafik som ska blockeras
När datapaket passerar nätverket granskar brandväggen paketens headers och jämför dem mot konfigurerade regler. Om trafiken matchar en tillåten regel skickas paketet vidare. Annars blockeras det.
Brandväggen analyserar bland annat:
- käll-IP (source IP)
- destinations-IP (destination IP)
- portnummer
- protokoll
- sessionstillstånd
Typer av brandväggar
Det finns flera olika typer av brandväggar där varje typ erbjuder olika säkerhetsfunktioner och nivåer av trafikinspektion.
Packet Filtering Firewall – En packet filtering firewall granskar varje datapaket och filtrerar trafiken baserat på käll- och destinations-IP-adresser, portnummer och protokoll.
Proxy Firewall – En proxy firewall fungerar som en mellanhand mellan klient och server. Den förhindrar direkta anslutningar från externa nätverk och kan även erbjuda cache och ytterligare säkerhetsfunktioner.
Stateful Inspection Firewall – En stateful inspection firewall analyserar trafik baserat på anslutningens tillstånd, portar och protokoll. Den övervakar hela sessionen från att anslutningen startas tills den avslutas.
Next-Generation Firewall (NGFW) – En Next-Generation Firewall (NGFW) erbjuder avancerade funktioner utöver traditionell stateful inspection, exempelvis applikationskontroll, IPS, URL-filtrering och hotinformation.
Andra typer av brandväggar inkluderar bland annat Web Application Firewall (WAF), Unified Threat Management (UTM), AI-driven Firewall, Virtuell Firewall, Cloud-Native Firewall. Dessa används ofta i moderna datacenter, molnmiljöer och avancerade säkerhetslösningar.
Stateful Inspection
Stateful inspection är en avancerad teknik där brandväggen övervakar hela nätverkssessionen istället för att analysera varje paket separat.
Brandväggen håller reda på:
- vem som startade kommunikationen
- vilka sessioner som är aktiva
- vilka paket som tillhör en legitim anslutning
Detta gör att brandväggen kan upptäcka och förhindra attacker som exempelvis IP-spoofing och session hijacking.
Deep Packet Inspection (DPI)
Deep Packet Inspection (DPI) analyserar inte bara paketens headers utan även själva innehållet (payload). Detta gör det möjligt att identifiera och blockera malware, virus, exploit-kod, förbjudna filtyper, skadlig webbtrafik.
DPI ger betydligt högre säkerhet än traditionell paketfiltrering.
DMZ (Demilitarized Zone)
En DMZ är ett separat nätverk som placeras mellan Internet och det interna nätverket. Syftet är att placera publika servrar i ett isolerat område istället för direkt i det interna nätverket.
Vanliga system i en DMZ är webbservrar, DNS-servrar, mailservrar, reverse proxies
Om en publik server komprometteras begränsas attacken till DMZ-nätverket och angriparen får inte direkt åtkomst till det interna nätverket.
Sammanfattning
En brandvägg är en central säkerhetskomponent som skyddar nätverk genom att analysera och kontrollera trafik mellan olika nätverk. Brandväggen använder regler, stateful inspection och ibland deep packet inspection för att avgöra vilken trafik som ska tillåtas eller blockeras.
DMZ används för att isolera publika servrar från det interna nätverket och minska risken för att attacker sprids vidare in i organisationens interna miljö.