Idag är en brandvägg lika självklar som en fast access till Internet. Det beror i och för sig på vad man lägger in i begreppet brandvägg. Enkelt kan sägas att en brandvägg skall hindra access från Internet och möjliggöra access till Internet. Den liknelsen stämde ganska bra i mitten av 90 talet. Behovet, kraven och önskemålet om vad en brandvägg skall åstadkomma har förändrats mycket sedan dess. Jag tänkte beskriva några av dem i denna artikel.
Den klassiska brandväggen har en utsida (=det onda) och en insida (=de goda). Tiderna förändras. Alla vet att det statistiskt sätt finns lika många onda på insidan, så behovet av att separera och kontrollera de interna nätverken ökar. Det blir allt vanligare att man bygger interna zoner med olika säkerhetsklasser. Behovet av en brandvägg med fyra, kanske åtta, i några fall sexton anslutningar är inte ovanligt. Komplexiteten beror givetvis på vad man har för verksamhet. Risken för felkonfigureringar ökar exponentiellt och just felkonfigureringar är en av de vanligaste orsakerna till att intrång är möjliga idag.
Redan tidigt insåg många brandväggstillverkare att funktioner för DNS borde vara något som hanteras av brandväggen eller i omedelbar närhet av brandväggen. Tyvärr saknar allt för många kunskap om DNS, så att problemet är idag mer en kunskapsfråga än en vidareutveckling av brandväggsfunktionen. Fortfarande så är mer än 30% av alla se-domäner felkonfigurerade, vilket kan ge en tankeställare.
De vanligaste intrången i nätverk skedde till en början via mailservern. Brandväggen konfigurerades så att den tillät direktaccess från Internet till mailservern via TCP-port 25 (SMTP). En “härlig” väg in i nätet. Idag har flertalet brandväggar mer intelligens till att hantera detta. Antingen fungerar brandväggen som ett relä, dvs den tar emot brevet och mellanlagrar det för att sedan skicka in det till mailservern, eller så kan brandväggen kontrollera att det verkligen är SMTP och inte något annat. I anslutning till brandväggen önskar allt fler viruskontroll på framför allt mailtrafiken, men även FTP och http blir allt vanligare. Även här finns det lyhörda brandväggstillverkare, som antingen hanterar detta i brandväggen eller på ett enkelt sätt integrerar funktioner för antivirus med tredjeparts produkter.
Behovet av att nå det interna nätet över Internet har avhandlats i flertalet artiklar, så jag fördjupar inte detta närmare. Men, att brandväggen är en naturlig komponent att hantera VPN är allt vanligare. Efterfrågan på såväl IP-baserade som TCP-baserade VPN-lösningar ökar lavinartat och de flesta brandväggstillverkare hänger med, åtminstone vad gäller IP-baserade VPN-tunnlar. TCP-baserade VPN-lösningar hanteras oftast av separata tredjepartsprodukter som integreras med befintliga brandväggslösningar.
Prioritering av bandbredd blir allt vanligare. Rätt utnyttjad bandbredd kan bespara många dyra uppgraderingar av Internetaccessen. Brandväggen kan vara en naturlig punkt att hantera detta. Det behöver inte vara brandväggen i sig själv som hanterar detta, utan även här en tredjepartsprodukt som integreras med brandväggslösningen.
Behovet av lastbalansering och redundans är i mina ögon det snabbast växande behovet. Vem kan vara utan en fungerande brandvägg mer än 1 minut? 5 minuter? 30 minuter? 1 timme? 1 dag? Svaret varierar, men faktum är att det är få som accepterar 1 dags driftavbrott idag. I mitten av 90 talet var det acceptabelt. Med dagens Internetbaserade lösningar så är 5 minuter långa avbrott för vissa verksamheter. Att hantera lastbalansering och redundans i en brandväggslösning är komplicerat. Speciellt om man önskar att redan etablerade sessioner flyttas mellan olika brandväggslösningar utan att användaren märker något. Adderas VPN till detta, så har komplexiteten mångdubblats. Tack vare att behovet och efterfrågan är stor, så har flera brandväggstillverkare tagit till sig detta. Dessvärre så används orden lastbalansering och redundans ganska ovarsamt. Jag rekommenderar att man pressar sin leverantör ganska hårt om man är på väg att införskaffa lösningar för lastbalansering och redundans.
Listan över nya funktioner i en brandväggslösning kan göras lång. Bör man bygga in alla funktioner i brandväggen eller skall man integrera olika produkter för att åstadkomma den lösning som man önskar? Det finns inget rätt eller fel. Det finns erfarenhetsmässiga bedömningar som är vägledande, men det viktiga är att den som designar lösningen kan alla delkomponenter och vet hur de samspelar.
Slutligen kan det vara intressant att notera att det fortfarande säljs färgglada brandväggar som har samma funktionalitet och begränsningar som de marknadsledande brandväggarna hade i mitten av 90-talet. Det har hänt en del med brandväggen senaste sex, sju åren…
© 1999 Thomas Nilsson, Certezza AB
Thomas Nilsson
