Firewalls

Wat is een firewall en waarom heb ik deze nodig?

Uw bedrijfsnetwerk bestaat uit een aantal computers en printers die verbonden zijn met één of meer centrale servers. Dit bedrijfsnetwerk is gekoppeld aan het internet.

Ter vergelijk: Het bedrijfsnetwerk is uw huis en het internet is de openbare straat, stad, land, wereld… Uiteraard heeft u op de voordeur van uw huis een slot en een deurbel. Het slot zorgt ervoor dat er alleen personen met een sleutel naar binnen kunnen. De deurbel is voor de personen zonder sleutel. Wanneer er op de bel wordt gedrukt, loopt u naar de deur om te zien wie er voor de deur staat. Bij de voordeur bepaalt u of de persoon naar binnen mag. Samen met de sleutel bent u de firewall van uw eigen huis. Dè bescherming tegen ongewenst bezoek.

Een firewall is een geavanceerd slot op de voordeur van uw netwerk. Deze bent u nodig omdat u niet wilt dat een willekeurig “iets” toegang krijgt. We hebben hier bewust het woord “iets” gebruikt, omdat het van alles kan zijn, bijvoorbeeld een virus, een mobiele telefoon, of een hacker op een zolder. Het slot bepaalt, afhankelijk van het bezoek, wie naar binnen mag en wie niet. U houdt zelf de controle!

Wat moet ik dan beveiligen?

Alles! Uitgangspunt moet zijn dat u uw netwerk maximaal wilt beveiligen. Dit betekent dat in principe alle in- en uitgaande verbindingen worden geblokkeerd en dat alleen zaken worden toegestaan die bewust zijn gekozen.

Van uw internet provider heeft u waarschijnlijk één of meer zogenaamde IP-nummers gekregen voor de verbinding met het internet. Dit nummer is een uniek adres op het internet, hiermee kan dus vanaf het hele internet verbinding met uw netwerk worden gemaakt. Via elk IP-nummer kan op 65535 poorten op twee manieren (TCP en UDP) verbinding worden gemaakt. Stel je voor dat deze poorten deurtjes zijn waardoor je toegang naar binnen kan krijgen. Dat zijn dus 2x 65535 deurtjes die individueel open of dicht kunnen staan.

In een ideale situatie weet u altijd wie toegang van buiten naar binnen wil. Echter, zoals in het voorbeeld van de email server regels, kan dit niet altijd worden verwezenlijkt. U wilt toch email uit de hele wereld kunnen ontvangen. En u wilt toch ook overal en altijd bij uw email kunnen via de internet browser. Voor verbindingen van het internet naar het interne netwerk is dus nog een extra beveiliging wenselijk. Dit kan worden gerealiseerd door middel van een Demilitarized Zone (DMZ).

Wat is een Demilitarized Zone (DMZ) en heb ik dat nodig?

Een Demilitarized Zone (DMZ) is een extra beveiliging waarmee de toegang tot het interne netwerk via een “tussen”-netwerk wordt geleid. Hier zijn grofweg twee opstellingen voor te bedenken. De eerste met één firewall, hierin zijn zowel het internet, DMZ als het netwerk aan één fysiek apparaat gekoppeld. Als tweede opstelling is een DMZ gecreëerd met een dubbele firewall met de DMZ er tussen.

Voordeel van de tweede opstelling is de dubbele firewall. Deze zijn volledig onafhankelijk van elkaar. Misconfiguratie van de eerste firewall heeft niet direct gevolgen voor de veiligheid van het interne netwerk. Wanneer er ingebroken wordt in de eerste firewall, dan is er altijd nog de tweede firewall. Uiteraard heeft deze als nadeel, ten opzichte van de eerste opstelling, dat deze duurder is. Configuratie van de opstellingen zal nagenoeg hetzelfde zijn, waarschijnlijk zal de dubbele firewallconfiguratie makkelijker zijn te beheren omdat de configuratie gesplitst wordt over de dubbele firewall.

Wanneer u alle services, die vanaf het internet beschikbaar moeten zijn, vanaf het internet nu verbinding laat maken met een server in de DMZ en vervolgens alleen de server in de DMZ toegang geeft tot het interne netwerk, dan heeft u de ideale situatie bereikt. Uw interne netwerk is alleen toegankelijk voor bekende verbindingen.

Waarom een ITenso firewall?

ITenso maakt gebruik van verschillende typen hardware appliances waar Open Source software op wordt geïnstalleerd. De kosten van de firewall zijn dus samengesteld uit de kosten voor de hardware en installatie van de basis software. De hardware is onafhankelijk van de firewall software, het is een applicance welke compatible is met FreeBSD.

De configuratie van de firewall kan volledig in een webinterface worden gemaakt en beheerd. Back- en restore van de configuratie kan middels het downloaden en uploaden van één bestand.

Type firewalls

De ITenso firewalls zijn custom made en kennen vele verschillende mogelijkheden. Voor een specifiek model met uw eigen specificaties kunt u altijd uw wens bij ons neerleggen. Het is zelf mogelijk om de firewall in een gevirtualiseerde omgeving te hosten.

Standaard zijn de volgende firewalls leverbaar: