Filer og data som blir sende over nettverk eller internett, er oppdelte i ei mengde datapakkar. Datapakkane følgjer reglane i TCP/IP-protokollane. Mellom anna må datapakkane vere merkte med IP-adressa, portnummer og MAC-adressene til avsendaren og mottakaren. Enkle brannmurar bruker denne informasjonen for å avgjere om datapakkar skal sleppast gjennom eller stoppast. Meir avanserte brannmurar kan analysere innhaldet i datapakkane og filtrere basert på dette eller mistenkjelege bruksmønster.
Brannmurar har gjerne ulike reglar for datapakkar som kjem inn til lokalnettverk eller datamaskina samanlikna med dei som skal ut av maskina eller nettverket og mot internett.
Plassering av brannmurane
Når du no sit på ei datamaskin eller ein mobiltelefon og får internettilgang via eit lokalnettverk, er det sannsynleg at du har to brannmurar mellom deg og internett: ein brannmur som går gjennom datapakkane for heile nettverket, og ein brannmur som er innebygd i operativsystemet til datamaskina som beskyttar den enkeltmaskina.
Internettleverandørane (ISP) har òg brannmurar i nettverka sine og gjer noko filtrering av datapakkar. Hovudsakleg er denne filtreringa for å sikre kundane mot kjende svakheiter og truslar, men sperring av spesifikke tenester og sensur av politiske meiningar skjer òg.
Nettverksbrannmur
Alle lokalnettverk som er kopla til internett, vil ha ein brannmur. I små nettverk er brannmuren ofte innebygd i ruteren. I større nettverk blir det ofte brukt ei dedikert eining eller ein dedikert server som brannmur. Denne er plassert rett før eller etter ruteren i nettverket. Dette sikrar at all datatrafikk som kjem inn eller går ut av lokalnettverket, må gå via brannmuren.
Brannmuren til operativsystemet
Operativsystem for datamaskiner og mobiltelefonar har alle innebygd brannmur.
Desse brannmurane sikrar eininga både mot datapakkar som har kome inn i nettverket frå internett og frå andre einingar i lokalnettverket.
Operativsystem-brannmur vil i nokre tilfelle beskytte mot uønskt utgåande datatrafikk, til dømes viss ei datamaskin blir infisert av virus som vil prøve å sende data til trusselaktørar på internett. Dessverre finst det omvegar rundt dette. God sikkerheit på ei datamaskin krev derfor både antivirus og varsemd frå brukaren si side.
Grunnfilosofiar for brannmurreglar
Vi har to hovudfilosofiar for oppsett av brannmurar:
open som standard, men med manuelt konfigurerte sperringar (default allow)
lukka som standard, med manuelt konfigurerte opningar i brannmuren (default deny)
Filosofiane har ulike fordelar og ulemper og bruksområde.
Ein brannmur der alt er sperra som utgangspunkt, vil ha god sikkerheit, men vil vere lite brukarvennleg. Tenestene som brukarane ønskjer å bruke, vil nemleg vere sperra fram til det blir opna for dei. Bedrifter vil ofte ha ein slik filosofi sidan sikkerheita er i høgsetet og dei tilsette ikkje står fritt til å bruke andre tenester enn dei som bedrifta tillèt i bedriftsnettverket.
Ein brannmur som i utgangspunktet er heilt open, vil gi dårlegare sikkerheit fordi det alltid vil vere truslar ein ikkje har lagt inn reglar mot. Ein veldig open brannmur vil sperre få tenester, og brukarane vil ofte ikkje merke at han er der i det heile.
Det er mogleg å kombinere desse filosofiane. Dette er veldig vanleg for brannmurar i heimenettverk. Desse har streng filtrering av datapakkar som kjem inn til nettverket frå internett, mens datapakkar som går ut frå nettverket i utgangspunktet har få filtreringar.
Datapakkar som kjem inn til nettverket som svar på tidlegare utsende førespurnader, blir sleppte gjennom. Dette sikrar at einingane i lokalnettverket får tilgang til alle tenestene dei ønskjer, utan at brannmuren er spesielt open frå utsida.