Förord
Idag är en brandvägg lika självklar som en fast access till
Internet. Det beror i och för sig på vad man lägger in i begreppet
brandvägg. Enkelt kan sägas att en brandvägg skall hindra access
från Internet och möjliggöra access till Internet. Den liknelsen
stämde ganska bra i mitten av 90 talet. Behovet, kraven och
önskemålet om vad en brandvägg skall åstadkomma har förändrats
mycket sedan dess. Jag tänkte beskriva några av dem i denna
artikel.
Insida-Utsida
Den klassiska brandväggen har en utsida (=det onda) och en
insida (=de goda). Tiderna förändras. Alla vet att det statistiskt
sätt finns lika många onda på insidan, så behovet av att separera
och kontrollera de interna nätverken ökar. Det blir allt vanligare
att man bygger interna zoner med olika säkerhetsklasser. Behovet av
en brandvägg med fyra, kanske åtta, i några fall sexton
anslutningar är inte ovanligt. Komplexiteten beror givetvis på vad
man har för verksamhet. Risken för felkonfigureringar ökar
exponentiellt och just felkonfigureringar är en av de vanligaste
orsakerna till att intrång är möjliga idag.
DNS
Redan tidigt insåg många brandväggstillverkare att funktioner
för DNS borde vara något som hanteras av brandväggen eller i
omedelbar närhet av brandväggen. Tyvärr saknar allt för många
kunskap om DNS, så att problemet är idag mer en kunskapsfråga än en
vidareutveckling av brandväggsfunktionen. Fortfarande så är mer än
30% av alla se-domäner felkonfigurerade, vilket kan ge en
tankeställare.
Mail-Relay & Antivirus
De vanligaste intrången i nätverk skedde till en början via
mailservern. Brandväggen konfigurerades så att den tillät
direktaccess från Internet till mailservern via TCP-port 25 (SMTP).
En "härlig" väg in i nätet. Idag har flertalet brandväggar mer
intelligens till att hantera detta. Antingen fungerar brandväggen
som ett relä, dvs den tar emot brevet och mellanlagrar det för att
sedan skicka in det till mailservern, eller så kan brandväggen
kontrollera att det verkligen är SMTP och inte något annat. I
anslutning till brandväggen önskar allt fler viruskontroll på
framför allt mailtrafiken, men även FTP och http blir allt
vanligare. Även här finns det lyhörda brandväggstillverkare, som
antingen hanterar detta i brandväggen eller på ett enkelt sätt
integrerar funktioner för antivirus med tredjeparts produkter.
VPN
Behovet av att nå det interna nätet över Internet har avhandlats
i flertalet artiklar, så jag fördjupar inte detta närmare. Men, att
brandväggen är en naturlig komponent att hantera VPN är allt
vanligare. Efterfrågan på såväl IP-baserade som TCP-baserade
VPN-lösningar ökar lavinartat och de flesta brandväggstillverkare
hänger med, åtminstone vad gäller IP-baserade VPN-tunnlar.
TCP-baserade VPN-lösningar hanteras oftast av separata
tredjepartsprodukter som integreras med befintliga
brandväggslösningar.
Bandbreddskontroll
Prioritering av bandbredd blir allt vanligare. Rätt utnyttjad
bandbredd kan bespara många dyra uppgraderingar av
Internetaccessen. Brandväggen kan vara en naturlig punkt att
hantera detta. Det behöver inte vara brandväggen i sig själv som
hanterar detta, utan även här en tredjepartsprodukt som integreras
med brandväggslösningen.
Lastbalansering och redundans
Behovet av lastbalansering och redundans är i mina ögon det
snabbast växande behovet. Vem kan vara utan en fungerande brandvägg
mer än 1 minut? 5 minuter? 30 minuter? 1 timme? 1 dag? Svaret
varierar, men faktum är att det är få som accepterar 1 dags
driftavbrott idag. I mitten av 90 talet var det acceptabelt. Med
dagens Internetbaserade lösningar så är 5 minuter långa avbrott för
vissa verksamheter. Att hantera lastbalansering och redundans i en
brandväggslösning är komplicerat. Speciellt om man önskar att redan
etablerade sessioner flyttas mellan olika brandväggslösningar utan
att användaren märker något. Adderas VPN till detta, så har
komplexiteten mångdubblats. Tack vare att behovet och efterfrågan
är stor, så har flera brandväggstillverkare tagit till sig detta.
Dessvärre så används orden lastbalansering och redundans ganska
ovarsamt. Jag rekommenderar att man pressar sin leverantör ganska
hårt om man är på väg att införskaffa lösningar för lastbalansering
och redundans.
Slutord
Listan över nya funktioner i en brandväggslösning kan göras
lång. Bör man bygga in alla funktioner i brandväggen eller skall
man integrera olika produkter för att åstadkomma den lösning som
man önskar? Det finns inget rätt eller fel. Det finns
erfarenhetsmässiga bedömningar som är vägledande, men det viktiga
är att den som designar lösningen kan alla delkomponenter och vet
hur de samspelar.
Slutligen kan det vara intressant att notera att det fortfarande
säljs färgglada brandväggar som har samma funktionalitet och
begränsningar som de marknadsledande brandväggarna hade i mitten av
90-talet. Det har hänt en del med brandväggen senaste sex, sju
åren…
© 1999 Thomas Nilsson, Certezza AB
