Vad är en perimeterbrandvägg?

Brandväggssäkerhetsprogram eller hårdvara styr flödet av nätverkstrafik - med andra ord enheter eller "paket" av data - mellan nätverk eller datorer anslutna till ett nätverk (värd). Perimeterbrandväggar kontrollerar flödet av nätverkstrafik som kommer in i eller lämnar värdens eller organisationens gräns eller yttre gräns, tillhandahåller en första försvarslinje mot externa attacker och blockerar åtkomst till olämpligt innehåll inifrån en organisation.

En perimeterbrandvägg är huvudförsvaret i omkretsen av ett privat nätverk. Det är en viktig komponent för att upptäcka och skydda nätverket från oönskad trafik, potentiellt farligt innehåll och intrångsförsök och flagga upp dessa hot mot nätverket administratör. Perimeterbrandväggen blockerar inkommande nätverkstrafik från att komma åt interna nätverk och värdar och hindrar utgående trafik från att få åtkomst till oönskade externa nätverk och värdar; till exempel kan organisationer blockera åtkomst till Facebook eller andra sociala medier. Som sådan kan en perimeterbrandvägg anses ha ett internt och externt gränssnitt.

En grundläggande typ av perimeterbrandvägg är känd som en statisk paketfilterbrandvägg. En brandvägg med statiskt paketfilter fungerar genom att blockera nätverkstrafik baserat på informationen i den del av ett nätverkspaket som innehåller adresseringsinformation, känd som pakethuvudet. En brandvägg med statiskt paketfilter är antingen en fristående enhet eller ingår som en del av en router.

Den vanligaste typen av perimeterbrandvägg är den statliga inspektionsbrandväggen. En brandvägg för tillståndskontroll håller ett register över all utgående nätverkstrafik och tillåter endast inkommande trafik som har en motsvarande utgående begäran. Stateful inspektionsbrandväggar kan blockera skanning från Internet och förhindra IP-spoofing - där en angripare får obehörig åtkomst till ett nätverk eller en dator genom att imitera eller "spoofa" dess Internet Protocol (IP) adress. Stateful inspektionsbrandväggar inspekterar mer data än statiska paketfilterbrandväggar och är på motsvarande sätt långsammare.

Perimeterbrandväggar blockerar vanligtvis inkommande nätverkstrafik som innehåller sändningsadresser, som försöker leverera information till varje dator i ett nätverk snarare än en enskild värd. Alla datorer som svarar på sändningen kommer på samma sätt att skicka information till varannan dator nätverket, översvämmar nätverket med trafik som kan användas för en så kallad denial of service ge sig på.