Hvorfor en firewall og ikke en router med filter
Hvorfor vælge en firewall fremfor en router med sikkerhedsfilter indbygget? Her er nogle overordnede betragtninger :
|
Firewall |
Router med Filter/Filtrering
|
|
Bygget til det formål at beskytte og kontrollere for evt. forsøg på hacker angreb eller anden form for ikke tilladt aktivitet |
En router er beregnet og optimeret til at route data på den hurtigste måde, og det er derfor mod routers "natur" at skulle virke som en politibetjent |
|
Ingen direkte IP forbindelse mellem maskiner på det netværk vi ønsker at beskytte og maskiner indenfor. Firewall forsøger at skjule så mange informationer om de interne maskiner ved hjælpe af forskellige tekniker som IP konvertering, port konvertering og checksum osv. |
Router undersøger kun IP pakker for om den overholder nogle filter regler, men forsøger ikke at hemmeligholde informationer om det interne netværk. Der er derfor direkte forbindelse gennem router. |
|
En firewall holder øje med hele data kommunikationen og ikke kun de enkelte IP pakker og på den måde har den mulighed for at opdage evt. forsøg på ulovlig aktivitet og kan derfor tage stilling ud fra mere overordnede informationer på et højere lag end IP pakke laget. Det kan være bruger rettigheder, HTTP, FTP osv. kommandoer |
En router undersøger kun IP pakke-niveau ud fra filter regler på en pr.-pakke basis og kan derfor kun tage stilling til om en IP pakke må komme gennem router, ud fra de informationer ip pakken indeholder. |
|
En firewall har som standard, at alt hvad der ikke er tilladt, er forbudt." |
En router har som standard, at hvad der ikke tydeligt er forbudt, er tilladt. |
|
Firewall har mange gange mulighed for at lave bruger authentication, for at sikre, at det er lovligt at komme gennem firewall. Dette kan være med bruger id og password. |
En router har som regel ikke mulighed for at lave bruger authentication. |
|
En firewall har mulighed for at forhindre specifik service og protokollere at komme i gennem. Dette kan f.eks. være java kode. Kontrollerer e-mail for virus osv. selv om en e-mail kan være over flere IP pakker. |
En router har kun mulighed for at forhindre på port nummer, dvs at den kan forhindre bestemte service ud fra port nummer. Dette kan være HTTP, FTP osv. |
|
En firewall er opbygget til at ved evt. fejl skal den lukke ned. Ved evt. fejl. |
En router er som standard bygget til at fortsætte selv om der evt. skulle være en mindre fejl. Dette kan være en sikkerhedsrisiko. |
Opdateret d. 25-01-98