Brannmurer er ofte den første linjen i forsvaret for en datamaskin eller et privat nettverk . De fleste brannmur systemer kjører ut av tilgangskontroll lister - sett med regler som tillater eller nekte visse typer trafikk fra å passere gjennom brannmuren . Sikkerhetsregler går hånd i hånd med brannmurer i at sikkerheten regler detalj sikkerhetspolitikk som brannmurer gjennomføre. Dermed er sikkerheten for en brannmur bare så god som de sikkerhetsregler som driver det. Historie

Primitive brannmurer fra tidlig 1990-tallet filtrert ut trafikk basert på en kilde og destinasjon IP -adresse , noe som begrenser trafikken til eneste kjente verter. Selv om dette fungerte fint for lukkede systemer , Internett og e-handel alder raskt krevde en ny type brannmur kravet. I dag , brannmurer implementere komplekse sikkerhet regelen logikk , slik at administratorer finkornet nivåer av kontroll over trafikken type, til havner , kilde adresser , land og selv tillater systemer prioritere viss trafikk over andre. I det 21. århundre , systemarkitekter utvikle sikkerhetsregler som direkte linje opp med brannmur gjennomføring i løpet av designprosessen .
Typer

sikkerhetsregler kan enten være administrative (brukere, søknad mål, logisk design) eller tekniske (utstyr , typer nettverkstrafikk , backend /implementering design) . Administrative regler oversette til tekniske regler, som deretter justeres med kravene i en brannmur system . For eksempel kan et system administrator vil blokkere utgående nettilgang til sine ansatte ( administrative regelen) . Dermed må brannmuren blokkerer utgående HTTP og HTTPS -trafikk ( teknisk regel ) og kan oversettes til en blokk med port 80 og 443 utgående (brannmur implementering) . Når strømmen prosessen går fra administrative til teknisk gjennomføring , gjør at den sikkerhetsansvarlige svært detaljert kontroll uten å ofre fleksibiliteten i gjennomføringen .
Implementering

programvare og maskinvarebrannmurer bruke sikkerhetsregler for å matche visse mønstre i trafikken . Nettverkspakker flyt gjennom brannmuren logikken i kronologisk rekkefølge . Pakkene blir behandlet av ulike tekst parsere og preprocessors å trekke visse egenskaper i trafikken , kalt metadata . Den metadata blir deretter kjørt gjennom en rekke tester for å fastslå om det samsvarer med en bestemt regel . Hvis den gjør det, blir pakken videresendt eller forkastet , i henhold til at sikkerheten målet . Hvis ingen mønster er utfylt , tilsier standard regel utfallet av denne kampen . Noen brannmurer bare se på visse typer eller prosenter av trafikk for å bedre effektiviteten , men de fleste ser på hver pakke når den passerer gjennom i sanntid.
Evaluering

sikkerhet revisjon er avgjørende for å sikre at brannmurhandlingene oppfylle målene som er fastsatt i sikkerhetsregler . Administratorer kan lese brannmur loggfiler for å bestemme effekten av tidligere brannmurhandlingene . Noen bedriftssystemer implementere Intrusion Detection Systems ( IDS ) for å generere revisjonsrapporter i sanntid. Simple Network Management Protocol ( SNMP ) leverer også rapporter til systemadministratorer i sanntid over nettet , men noen ganger representerer et sikkerhetsproblem eller påvirker effektiviteten fordi rapporter sendes på samme nettverksgrensesnitt som normal trafikk. Sikkerhet regelsett skal regelmessig kontrolleres for å sikre at de fortsetter å oppfylle kravene til nettkunder , samt kravene i brannmuren implementering spesifikasjonen.