De tre klasserna skiljer sig åt i flera avseenden:
Följande bild ger en principskiss över en brandväggsfunktion (med myndighetens interna system till vänster på bilden). Anslutningen till Internet sker via en operatör.
BILD 1
Ra
är en IP-router som tillhör Internet-operatören.
Internet-tjänsten levereras som en LAN-anslutning på denna
router. Routern benämns ofta accessrouter. Accessroutern är
placerad i myndighetens lokaler men administreras av
Internet-operatören och kan vanligtvis konfigureras av denne
efter kundens önskemål så att den utför
"grovfiltrering" av trafik till och från myndigheten.
Ur brandväggssynpunkt betraktar vi den dock som en del av det vi ska skydda oss mot. Genom att låta operatören konfigurera Ra så att paketen för de protokoll som det inte finns behov av att använda för kommunikationen tas bort, samt att man har loggfunktion på otillåten trafik i router Rb, erhålles en tidig varning om att något är i görningen i de fall Rb nås av trafik som Ra förväntades spärra.
Rb
är en IP-router som tillhör myndigheten och är
konfigurerad så att den bara släpper igenom paket
från omvärlden och från dator B för de protokoll
myndigheten har installerat programvara för och som är
avsedd för externkommunikation. Router Rb har minst två
LAN-anslutningar. Dvs man släpper bara igenom paket med
godkända protokoll som har avsändare- eller mottagaradress
lika med dator B.
Rc
är en IP-router som tillhör myndigheten och är
konfigurerad så att den bara släpper fram paket mellan
system inom myndigheten, och/eller dator A och dator B. Dvs man
släpper bara igenom paket med godkända protokoll som har
avsändare- eller mottagareadress lika med dator B.
I de fall dator B används som proxy-server (se avsnitt 6.3.2) för att från en arbetsplats inom myndigheten kunna komma åt resurser och information utanför myndigheten, krävs att man i router Rc tillåter trafik mellan de interna arbetsplatserna och dator B, för de protokoll som har proxy-funktion installerad. Observera att router Rb inte ska tillåta att trafik passerar direkt ut från arbetsplatserna respektive in till arbetsplatserna.
Dator B
Dator B är den yttre dator som riskexponeras för de protokoll man valt att släppa fram genom router Rb från omvärlden. För vidare beskrivning av dator B se avsnitt 6.3 om applikationsgateway.
Eftersom dator B kan hantera många olika funtioner som t.ex. applikationsgateway, externt postkontor, extern DNS-server, lagra sådan information vilken man vill sprida till omvärlden med WWW, Gopher etc, kan dator B vara uppdelad på flera separata fysiska datorsystem. Se vidare avsnitt 8.5 om uppdelning på separata datorer.
Det externa postsystemet ingår oftast i dator B, dvs ingår i applikationsgatewayen. Programvaran kan antingen vara datorsystemets posthanterare eller helst en programvara som ingår i ett programpaket för brandväggsfunktioner.
Dator A
Dator A är ett internt system inom myndigheten som vanligtvis används för att köra myndighetens interna DNS samt agera internt postkontor.
I detta dokument antas för enkelhetens skull att det interna postsystemet endast omfattas av dator A.
Arbetsplatser
Detta är olika arbetsplatser (klienter) inom myndigheten som antingen kommunicerar med dator A eller via Rc (efter konfiguration i denna) med dator B.
Klass 1 - brandvägg för bara e-post och satsvis filöverföring
Klass 1 ger högsta skyddsnivån vägt mot erforderlig arbetsinsats, men kan samtidigt bara användas för en begränsad typ av applikationer. Metoden ger möjlighet till satsvis överföring av filer, e-post och Usenet News, men kan inte användas vid tillämpningar som kräver realtidskommunikation, t.ex. terminaltrafik, hypertextbaserade informationssystem (t.ex. WWW/HTTP) samt distribution av korrekt tid (NTP).
När det finns behov av att från en myndighet tillhandahålla information via Internet placeras denna information i dator B. Till dator B får informationen flyttas antingen med kommando via UUCP från dator A eller t.ex. med diskett.
Driftinsatsen beräknas till ungefär två mantimmar per vecka.
Den erhållna säkerheten vid en korrekt implementation är hög i jämförelse med kostnad i form av personalresurser och materiel. Router Rb och Rc ingår inte i en brandvägg av klass 1, se vidare avsnitt 7.
Klass 2 - brandvägg med router och applikationsgateway i samverkan
Klass 2 tillåter i sin mest avancerade form att man har realtidskommunikation mellan myndighetens in- och utsida, genom att trafiken mellanlandar i ett datorsystem med speciell skyddsprogramvara (s.k. applikationsgateway). Denna programvara installeras och körs under kontrollerade former i dator B.
Routrar Rb och Rc är till för att skydda dator B samt för att bibehålla säkerheten i de fall en av komponenterna, Rb, Rc eller dator B antingen av misstag är felkonfigurerad eller har utsatts för någon form av intrång. För att kunna äventyra säkerheten krävs att man kan ta sig in i och manipulera åtminstone både Rb och Rc.
Ingen trafik kan ske mellan myndighetens insida och Internet om det inte tillåts i Rb och Rc samt av programvaran som är installerad i dator B.
Möjlighet finns t.ex. att genom identifiering med engångslösenord tillåta trafik från utsidan (Internet) till myndighetens insida via brandväggen. Denna trafik kan loggas. Trafiken från myndighetens insida till utsidan släpps igenom utan identifiering (men kanske loggas).
Säkerheten i en brandvägg av klass 2 är helt beroende av kvaliteten hos de ingående komponenterna i implementeringen samt förutsätter att de är korrekt konfigurerade och att en kontinuerlig uppföljning sker. En brandvägg av klass 2 kan göras i stort sett lika säker som en klass 1 brandvägg utgående från ett korrekt handhavande.
Insatsen för driften beräknas till mellan två till fem mantimmar per vecka.
Klass 3 - routerbaserad brandvägg (paketfiltrerande router)
Klass 3 tillåter direkttrafik mellan system på myndighetens insida och externa system på Internet för de trafikfall vilka konfigurerats in i router Rb som kombinationer av avsändare-/mottagareadresser och protokoll.
Denna klass ger inget skydd av de interna datorerna för de trafikfall vilka tillåts passera genom router Rb. Vissa routrar kan konfigureras att logga trafik som strider mot uppsatta accesslistor. Dock kan inte någon loggning eller identifiering av enskilda användare eller koppel ske.
Den säkerhet som denna brandvägg ger är oftast inte tillräckligt för att motsvara behoven vid en typisk myndighet. Router Rc och dator B används inte i en brandvägg klass 3, se vidare i avsnitt 9.