En brandvägg är en av de mest populära dator- och nätverkssäkerhetsenheterna som yrkesverksamma använder för att skydda företagets IT-tillgångar och nätverk.

Som en brandsäker dörr i byggnader som skyddar rummen från en eventuell brand och stoppar spridningen av lågorna i byggnaden, har säkerhetsbrandväggen en liknande funktion för att förhindra att skadliga paket och trafik kommer in och skadar dina skyddade datortillgångar.

På den här webbplatsen har jag skrivit hundratals artiklar kring Cisco ASA-brandväggar, som utgör ett klassiskt exempel på nätverksbaserade brandväggar av hårdvara.

Det finns dock även andra typer av brandväggar, till exempel värdbaserade brandväggar, som vi också kommer att diskutera och jämföra i det här inlägget.

Vad är en nätverksbaserad brandvägg

Som namnet antyder används den här typen av brandvägg främst för att skydda hela datornätverk från attacker och även för att kontrollera nätverkstrafiken så att endast tillåtna paket kan nå dina servrar och IT-tillgångar.

Bilden ovan visar flera Cisco ASA nätverksbaserade brandväggar. Som du kan se är detta hårdvaruenheter som innehåller flera Ethernet-portar för anslutning till ett nätverk (allt från SMB till stora företagsnätverk).

Dessa portar är vanligtvis 1 Gbps-portar med elektriska RJ45-kontakter, men det finns även optiska portar (t.ex. 1 Gbps-portar, 10 Gbps-portar etc.) för anslutning till fiberoptiska kablar för längre avstånd och större bandbredd.

Den fysiska portarna i en nätverksbrandvägg är anslutna till nätverksväxlar för att implementera brandväggen inom LAN-nätverket.

I sin enklaste form kan man ansluta flera fysiska portar i brandväggen till olika nätverksväxlar för att ge kontrollerad åtkomst mellan olika nätverkssegment.

Det mest populära användningsfallet för en nätverksbaserad brandvägg är när den används som gränsenhet för Internet för att skydda ett företags LAN från Internet enligt diagrammet nedan:

Nätverket ovan är ett av de mest populära användningsfallen för nätverksbrandväggar som används i företagsnät. Som du kan se är en port i brandväggen ansluten till nätverket Switch-1 som rymmer alla LAN-klientenheter i företagsnätverket.

En annan fysisk port i brandväggen är ansluten till ett annat nätverk Switch-2 som ansluter till en webbserver.

I scenariot ovan har vi därför lyckats separera den allmänt tillgängliga webbservern från resten av företagsnätverket via säkerhetsapparaten. Detta är en bra säkerhetspraxis eftersom om webbservern äventyras av en hackare kommer det inte att finnas någon tillgång till det skyddade interna säkra nätverket.

Brandväggen måste konfigureras så att den tillåter trafik från Internet till webbservern på en specifik TCP-port (port 443 för HTTP eller port 80 för HTTP).

Alla annan trafik kommer att blockeras av brandväggen (dvs.Ingen direkt trafik från Internet till det interna företagsnätverket kommer att tillåtas).

Fjärrväggen kommer dessutom att tillåta utgående trafik från företagsnätverket till Internet för att ge interna LAN-värdar tillgång till Internet.

Som beskrivits i ovanstående användningsfall ansvarar nätverksbrandväggen för att tillåta eller neka nätverkspaket mellan nätverken (med hjälp av tillträdesregler för OSI-lager 3 och lager 4). Detta är brandväggens mest grundläggande funktion.

De senaste generationerna av brandväggar (kallade ”Next Generation Firewalls”) inspekterar också trafiken på applikationslagret för att identifiera skadlig trafik och attacker på applikationsnivå (t.ex. virus, intrångsförsök, SQL-injektionsattacker etc etc).

Vad är en värdbaserad brandvägg

Som namnet antyder är en värdbaserad brandvägg ett programvaruprogram som installeras på värddatorer eller servrar för att skydda dem mot attacker.

Och även om det nätverk som avbildas ovan inte rekommenderas i verkliga scenarion illustrerar det hur en värdbaserad brandvägg används.

Bemärk att det bästa alternativet är att kombinera både en nätverksbrandvägg och värdbrandväggar för bättre skydd med hjälp av ett skiktat tillvägagångssätt.

Den värdbaserade brandväggen installeras direkt som programvara på värddatorn och kontrollerar inkommande och utgående trafik till och från den specifika värddatorn.

Ett klassiskt exempel på en värddatorbrandvägg är Windows-brandväggen som finns som standard i alla Windows-operativsystem.

Då denna typ av skydd är bunden till själva värddatorn innebär det att den ger skydd till värddatorn oavsett vilket nätverk den är ansluten till.

Om du till exempel är ansluten till ditt företagsnätverk är du redan skyddad av din nätverksbrandvägg. Om du nu tar din bärbara dator med en värdbaserad brandvägg och ansluter den till ett externt WiFi-nätverk ger brandväggen fortfarande skydd till datorn.

Den finns dessutom vissa värdbaserade brandväggar som även ger skydd mot programattacker. Eftersom den här typen av skydd installeras på själva värddatorn har den insyn i de program och processer som körs på värddatorn, därför kan brandväggen skydda mot skadlig kod som försöker infektera systemet.

En svaghet med en sådan brandvägg är att den kan stängas av av en angripare som lyckats få åtkomst till värddatorn på administratörsnivå.

Om värddatorn äventyras av en hacker med administratörsprivilegier kan den värddatorbaserade brandväggen stängas av, något som inte är möjligt att göra på nätverksbaserade brandväggar.

För jämförelse mellan nätverksbaserade och värdbaserade brandväggar

Karakteristik	Nätverksbrandvägg	Värdsbrandvägg
Placering	Inuti nätverket (antingen på. gränsen/perimetern eller inuti LAN)	På varje värd
Hårdvara/mjukvara	Hårdvaruenhet	Mjukvaraapplikation
Prestanda	Hög prestanda (bandbredd, samtidiga anslutningar etc)	Lägre prestanda (eftersom den är mjukvarubaserad)
Skyddsnivå	Nätverksskydd plus skydd på applikationsnivå (om nästa generations brandvägg används)	Nätverksskydd plus applikationsskydd (på vissa modeller)
Användning-fall	Mestadels i företagsnätverk	Både i persondatorer i hemmanätverk och även i företagsnätverk som ytterligare skydd på värddatorer.
Nätverkssegmentering	Genomtäckande segmentering och kontroll på VLAN/lager 3-nivå men kan inte begränsa trafiken mellan värdar i samma VLAN	Genomtäckande mikrosegmentering på värdnivå även om värdarna tillhör samma VLAN.
Mobilitet	När brandväggen väl är implementerad i nätverket är den mycket svår att ta bort eller ändra.	Hög rörlighet eftersom den är bunden till varje värddator.
Hantering	Kan hanteras från en central server för hantering av brandväggar eller direkt på själva apparaten	Svårt att hantera när det finns hundratals värddatorer i nätverket.
Hur lätt att kringgå	Nätverksbrandväggar kan inte kringgås av angripare.	Lättare att kringgå. Om angriparen äventyrar värddatorn via en exploit kan brandväggen stängas av av hackaren.