Firewall

For alternative betydninger, se Firewall (flertydig). (Se også artikler, som begynder med Firewall)

En firewall eller på dansk brandmur er et stykke netudstyr eller software, der udvælger hvilke netværkspakker som skal have adgang fra den ene side af firewall til den anden side efter et regelsæt.

Oftest sidder firewallen mellem adgang til et ubeskyttet netværk som fx Internet og et beskyttet netværk fx LAN. En firewall skal således hindre uautoriseret adgang til det interne netværk. En sådan firewall kaldes en netværksfirewall. Firewallen er typisk ikke lavet udelukkende i hardware. Derimod afvikler den et program, som kan opdateres. Nogle firewalls har en webserver indbygget, så de er nemme at administrere via en browser.

En personlig firewall er et computerprogram, som modererer netværkstrafikken til og fra de netkort, hvor firewallen er slået til på en enkelt computer.

De fleste firewall understøtter NAT.

Regelsættet i en firewall fungerer som et filter, så den første regel, som den aktuelle trafik passer med, bliver brugt. Det betyder, at de specifikke regler skal definers først og de generelle senere. Et simpelt regelsæt for en personlig firewall kunne være:

• Tillad al trafik fra denne maskine.
• Tillad al trafik til denne maskine, hvis det er svar på udgående trafik,
• Tillad DHCP fra en kendt DHCP-server.
• Log det, der ikke er taget stilling til og fortsæt med næste regel
• Afvis det, der ikke er taget stilling til.

Hvis det drejer sig om en servermaskine er regelsættet mere omfattende.

Den enkleste form for firewall er et pakkefilter. Hver IP-pakke inspiceres og vil enten blive afvist eller accepteret. Med dette system kan TCP-baseret trafik håndteres, da der sendes en speciel synkroniseringspakke (med SYN-flag) som fortæller, at der etableres en ny forbindelse. Hvis denne pakke afvises, kan der ikke etableres en forbindelse. Et pakkefilter kan også skelne mellem afsender- eller modtageradresser og afvise eller acceptere trafik på basis af disse oplysninger.

Et pakkefilter kan ikke filtrere UDP effektivt fordi, er ikke etableres forbindelser med denne protokol. Filtret kan indstilles til at acceptere UDP-pakker, som opfylder bestemte kriterier, men det er ikke muligt, at se om en UDP-pakke er en forespørgsel eller en del af et svar. Man kan sjældent udelukke UDP-trafikken helt, da navneservere bruger UDP. Da et pakkefilter er forholdsvist enkelt, kan det gøres meget hurtigt, så store trafikmængder kan filtreres.

Mange firewall-implementeringer kan ikke håndtere andet end rå TCP, passiv FTP, ICMP, UDP.

Mere avancerede protokoller, især multimedia, som fx RTSP (med RTP/UDP), IPsec (VPN), Real Audio, Windows Media, H.323, SIP, Quake understøttes ikke.

En sidste løsningsmodel, for at få avancerede ikke understøttede protokoller igennem, er at åbne for de tcp/udp-porte i de intervaller, der skal anvendes fra/til internettet. Sikkerhedsmæssigt er dette ikke så smart, men det kan anvendes.

• Next-generation firewall

Wikimedia Commons har medier relateret til: Firewall

• Internet Firewalls: Frequently Asked Questions Arkiveret 4. april 2010 hos Wayback Machine

• February 21, 2005, ZDNet UK: Linux kernel to include IPv6 firewall Arkiveret 6. marts 2005 hos Wayback Machine Citat: "...Version 2.6.12 of the Linux kernel is likely to include packet filtering that will work with IPv6, the latest version of the Internet Protocol...Netfilter/iptables, the firewall engine that is part of the Linux kernel, already allows stateless packet filtering for versions 4 and 6 of the Internet protocol..."

• Freeware, open source: Linux firewall-program: netfilter/iptables project homepage. The netfilter/iptables projectArkiveret 6. juli 2012 hos Wayback Machine. Kernet 2.6 iptables er en firewall med udvidelig NAT protokolunderstøttelse.
  • Application Layer Packet Classifier for Linux Arkiveret 27. juni 2007 hos Wayback Machine Citat: "...This is a classifier for the Linux kernel's Netfilter subsystem that identifies packets based on application layer data (OSI layer 7). This means that it can classify packets as HTTP, FTP, Gnucleus, eDonkey2000, etc, regardless of port. Our classifier complements existing ones that match on route, port numbers and so on..."
  • Vejviser: linuxguruz.com: iptables Arkiveret 15. oktober 2004 hos Wayback Machine

• Microsoft: Visse programmer holder op med at fungere, efter at du har installeret Windows XP Service Pack 2 Arkiveret 12. oktober 2004 hos Wayback Machine Citat: "...Windows Firewall er som standard slået til..."