Filer og data som sendes over nettverk eller internett, er oppdelt i en mengde datapakker. Datapakkene følger reglene i TCP/IP-protokollene. Blant annet må datapakkene være merket med avsenders og mottakers IP-adresse, portnummer og MAC-adresser. Enkle brannmurer bruker denne informasjonen for å avgjøre om datapakker skal slippes gjennom eller stoppes. Mer avanserte brannmurer kan analysere innholdet i datapakkene og filtrere basert på dette eller mistenkelige bruksmønster.
Brannmurer har gjerne forskjellige regler for datapakker som kommer inn til lokalnettverk eller datamaskinen sammenlignet med dem som skal ut av maskinen eller nettverket og mot internett.
Plassering av brannmurene
Når du nå sitter på en datamaskin eller mobiltelefon og får internettilgang via et lokalnettverk, er det sannsynlig at du har to brannmurer mellom deg og internett: en brannmur som går gjennom datapakkene for hele nettverket, og en brannmur som er innebygd i datamaskinens operativsystem som beskytter den enkeltmaskinen.
Internettleverandørene (ISP) har også brannmurer i sine nettverk og gjør noe filtrering av datapakker. Hovedsakelig er denne filtreringen for å sikre kundene mot kjente svakheter og trusler, men sperring av spesifikke tjenester og sensur av politiske meninger skjer også.
Nettverksbrannmur
Alle lokalnettverk som er tilkoblet internett, vil ha en brannmur. I små nettverk er brannmuren ofte innebygd i ruteren. I større nettverk brukes ofte en dedikert enhet eller server som brannmur. Denne er plassert rett før eller etter ruteren i nettverket. Dette sikrer at all datatrafikk som kommer inn eller går ut av lokalnettverket, må gå via brannmuren.
Operativsystemets brannmur
Operativsystemer for datamaskiner og mobiltelefoner har alle innebygd brannmur.
Disse brannmurene sikrer enheten både mot datapakker som har kommet inn i nettverket fra internett og fra andre enheter i lokalnettverket.
Operativsystem-brannmur vil i noen tilfeller beskytte mot uønsket utgående datatrafikk, for eksempel hvis en datamaskin blir infisert av virus som vil forsøke å sende data til trusselaktører på internett. Dessverre finnes det omveier rundt dette. God sikkerhet på en datamaskin krever derfor både antivirus og forsiktighet fra brukerens side.
Grunnfilosofier for brannmurregler
Vi har to hovedfilosofier for oppsett av brannmurer:
åpen som standard, men med manuelt konfigurerte sperringer (default allow)
lukket som standard, med manuelt konfigurerte åpninger i brannmuren (default deny)
Filosofiene har forskjellige fordeler og ulemper og bruksområder.
En brannmur der alt er sperret som utgangspunkt, vil ha god sikkerhet, men vil være lite brukervennlig. Tjenestene som brukerne ønsker å bruke, vil nemlig være sperret fram til det åpnes for dem. Bedrifter vil ofte ha en slik filosofi siden sikkerheten er i høysetet og de ansatte ikke står fritt til å bruke andre tjenester enn dem som bedriften tillater i bedriftsnettverket.
En brannmur som i utgangspunktet er helt åpen, vil gi dårligere sikkerhet fordi det alltid vil være trusler man ikke har lagt inn regler mot. En veldig åpen brannmur vil sperre få tjenester, og brukerne vil ofte ikke merke at den er der i det hele tatt.
Det er mulig å kombinere disse filosofiene. Dette er veldig vanlig for brannmurer i hjemmenettverk. Disse har streng filtrering av datapakker som kommer inn til nettverket fra internett, mens datapakker som går ut fra nettverket i utgangspunktet har få filtreringer.
Datapakker som kommer inn til nettverket som svar på tidligere utsendte forespørsler, slippes gjennom. Dette sikrer at enhetene i lokalnettverket får tilgang til alle tjenestene de ønsker, uten at brannmuren er spesielt åpen fra utsiden.