En brandvägg begränsar åtkomsten till ett datornätverk genom att fungera som en kontrollerad gatekeeper mellan nätverket och omvärlden (eller mellan olika interna nätverk). Den undersöker inkommande och utgående nätverkstrafik och tillåter eller blockerar den baserat på en uppsättning fördefinierade regler. Så här uppnår den denna begränsning:
1. Paketfiltrering: Detta är den mest grundläggande funktionen. Brandväggen inspekterar varje nätverkspaket (den grundläggande enheten för dataöverföring) och kontrollerar sin rubrikinformation. Denna information inkluderar:
* Källa IP -adress: Där paketet har sitt ursprung.
* Destination IP -adress: Vart paketet går.
* portnummer: Anger applikationen eller tjänsten (t.ex. HTTP för webbtrafik, SMTP för e -post).
* protokoll: Anger kommunikationsprotokollet (t.ex. TCP, UDP, ICMP).
Baserat på fördefinierade regler beslutar brandväggen om det ska:
* tillåt: Paketet är tillåtet att gå igenom.
* förnekar: Paketet tappas (kasseras).
* drop: Paketet tappas tyst utan anmälan.
2. Statlig inspektion: Detta är en mer avancerad teknik. Den spårar tillståndet för nätverksanslutningar. Till exempel, om en dator på det interna nätverket initierar en anslutning till en webbserver (utgående), minns brandväggen detta. När webbservern skickar ett svar (inkommande) känner brandväggen den som en del av den etablerade anslutningen och tillåter den, även om den annars skulle blockeras av en enkel paketfilterregel. Detta förhindrar att legitima svar blockeras.
3. Applikationsnivå Gateways (proxyer): Brandväggar kan fungera som proxy för specifika applikationer. Detta innebär att all trafik för den applikationen dirigeras via brandväggen, vilket kan inspektera innehållet i själva uppgifterna (utöver bara rubrikerna). Detta är användbart för att blockera skadlig kod eller olämpligt innehåll. Exempel inkluderar webbproxyer (blockerar vissa webbplatser) och e -postproxyer (skanning efter virus och skräppost).
4. Nätverksadressöversättning (NAT): Brandväggar använder ofta NAT för att dölja de interna IP -adresserna för nätverksenheter från omvärlden. Detta lägger till ett extra lager av säkerhet genom att göra det svårare för externa angripare att direkt rikta in sig på interna datorer.
5. Access Control Lists (ACLS): Dessa listor definierar specifika regler som avgör vilka användare, enheter eller applikationer som är tillåtna eller nekade åtkomst till nätverket baserat på olika kriterier som IP -adresser, portar, protokoll och tid på dagen.
Exempel på åtkomstbegränsningar:
* Blockering av obehörig åtkomst: Förhindra externa användare från att komma åt interna servrar eller data.
* Begränsa åtkomst till specifika webbplatser: Blockerar anställda från att få tillgång till sociala medier eller olämpligt innehåll under arbetstid.
* Begränsande åtkomst baserad på tid på dagen: Tillåter fjärråtkomst endast under vissa timmar.
* Förhindra specifika applikationer: Blockera P2P -fildelning eller torrentklienter.
* segmentering av nätverket: Skapa separata nätverkssegment med olika säkerhetspolicyer.
Sammanfattningsvis implementerar brandväggar åtkomstbegränsningar genom att noggrant undersöka nätverkstrafik och upprätthålla fördefinierade regler för att kontrollera vilka uppgifter som får ange och lämna nätverket, förbättra säkerheten och förhindra obehörig åtkomst. De specifika metoderna och kontrollnivån beror på brandväggens funktioner och administratörens konfiguration.
