Statskontoret 1995:6
Brandväggar vid anslutning till Internet
Skydd mot obehörigt intrång
[Föregående delkapitel]
[Föregående kapitel]
[Innehåll]
I en brandvägg används en router för att filtrera paket. I de
flesta routrar kan man sätta upp accesskontrollistor för varje fysisk
port. Accesslistorna kan utformas som kombinationer av
avsändare-/mottagareadress, protokolltyp och portadress.
En router har inget begrepp om vilka faktiska koppel (på TCP-nivå)
som finns uppkopplade genom routern då detta hanteras av de
kommunicerande datorsystemen (ändsystemen).
Vissa routrar kan logga genom att skicka syslog-meddelanden till en eller flera
datorer (som har förkonfigurerats i routern) när trafik
uppträder som bryter mot uppsatt policy. Dessa loggar ger inte så
mycket information förutom att man uppmärksammas på att
någonting inte följer det förväntade
trafikmönstret.
Grundfunktioner för en router som ska användas i en brandvägg
är:
- filtrering av såväl ingående som utgående paket
på en fysisk anslutning
- möjlighet att identifiera funktioner i TCP-paket som försök
till uppkoppling och redan uppkopplad förbindelse
- filtrering på TCP- och UDP-protokollens avsändar- och
destinationsportnummer
- loggning till konsol och loggfunktion i AGW (via syslog meddelanden) vid
överträdelse av gällande trafikregler
- möjlighet att kasta bort paket med optioner satta, som t.ex.
source-route
- möjlighet att ignorera ICMP-meddelanden som sänds till routern,
t.ex. redirect.
[Nästa delkapitel]
[Nästa Kapitel]
[Innehåll]
Jan Berner Statskontoret/Stattel,
Peo Haettner FMV/TelekomS,
Peter Löthberg STUPI
Senast uppdaterad: 1995-05-25
Konvertering till HTML: ulla@stupi.se