Brandväggar är ofta den första försvarslinjen för en dator eller ett privat nätverk . De flesta brandväggssystem avrinning av listor åtkomstkontroll - uppsättningar av regler som tillåter eller nekar vissa typer av trafik från att passera genom brandväggen . Säkerhetsregler går hand i hand med brandväggar i att säkerheten reglerna detalj säkerhetspolicyn som brandväggar genomföra. Således är säkerheten i en brandvägg bara så bra som de säkerhetsregler som driver det . Historia
Primitiva brandväggar från början av 1990 bortfiltrerade trafik baserat på en källa och destination IP -adress , begränsa trafiken till endast kända värdar . Även detta fungerade bra för slutna system , Internet och e-handel åldras snabbt krävde en ny typ av brandvägg krav . Numera brandväggar genomföra komplex logik säkerhet regel tillåter administratörer finkornig nivåer av kontroll över trafiken typ , till hamnar , adresser källa , länder och även tillåter system prioriterar viss trafik framför andra . I den 21: a århundradet , systemarkitekter utveckla säkerhetsregler som direkt linje med brandvägg genomförande under designprocessen .
Typer
säkerhetsregler kan antingen vara administrativ ( användare, ansökan mål , logisk design) eller tekniska ( utrustning , olika typer av nätverkstrafik , backend /genomförande design) . Administrativa regler översätta till tekniska föreskrifter , vilka sedan anpassa kraven i en brandvägg . Till exempel kan en systemadministratör vill blockera utgående webbåtkomst till hennes anställda ( administrativ regel ) . Således måste brandväggen blockerar utgående HTTP -och HTTPS-trafik ( tekniska föreskrifter ) , vilket innebär ett block av portarna 80 och 443 utresande ( brandvägg genomförande ) . När flödet processen går från administrativa till tekniska genomförandet , gör det säkerhetschefer mycket detaljerad kontroll utan att offra flexibiliteten i dess genomförande .
Genomförande
Programvara och maskinvarubrandväggar använder säkerhetsregler för att matcha vissa mönster i trafiken . Nätverkspaket flöde genom brandväggen logik i sekventiell ordning . Paketen behandlas av olika text -tolkare och preprocessorer att extrahera vissa egenskaper hos trafiken , som kallas metadata . Metadata sedan genom en serie tester för att avgöra om det matchar en viss regel . Om den gör det , är paketet vidarebefordras eller kasseras enligt denna säkerhet mål . Om inget mönster matchas , dikterar standard regeln resultatet av denna match . Vissa brandväggar tittar bara på vissa typer eller procent av trafiken för att förbättra effektiviteten , men mest titta på varje paket som passerar genom i realtid . Addera Utvärdering
En säkerhet revisionen är avgörande för att säkerställa att brandväggen åtgärder uppfyller målen som anges i säkerhetsreglerna . Administratörer kan granska filer brandväggsloggen att bestämma effektiviteten av tidigare brandvägg åtgärder . Vissa affärssystem genomföra Intrusion Detection Systems ( IDS ) för att generera revisionsrapporter i realtid . Simple Network Management Protocol ( SNMP ) levererar också rapporter till systemadministratörer i realtid över nätet , men ibland utgör en säkerhetsrisk eller effekter effektivitet eftersom rapporter skickas på samma nätverksgränssnitt som normal trafik . Säkerhet regeluppsättningar måste regelbundet kontrolleras för att säkerställa att de fortsätter att uppfylla kraven i de nätkunder , liksom kraven i brandväggen genomförandet specifikationen .
