Konsep Firewall
Firewall adalah sebuah sistem atau grup sistem yang menjalankan kontrol akses keamanan diantara jaringan internal yang aman dan jaringan yang untrusted seperti internet. Firewall didesain untuk mengijinkan trusted data lewat, menolak layanan yang mudah diserang, mencegah jaringan internal dari serangan luar yang bisa menembus firewall setiap waktu.
Gambar 1. Firewall akses dari Untrusted Network
Komponen Sistem Firewall :
- Firewall dapat berupa PC, router, UNIX workstation, atau gabungan dari yang tersebut diatas.
- Firewall dapat terdiri dari satu atau lebih komponen fungsional sebagai berikut :
- Packet-filtering router
- Application level gateway (proxy)
Packet-Filtering Router
Packet-filtering menggunakan router yang dapat meneruskan paket sesuai dengan filtering rules. Informasi filter yang dapat ditangkap dari packet header :
- IP address sumber dan tujuan
- Nomor port TCP/UDP sumber dan tujuan
- Tipe ICMP message
- Informasi encapsulated protocol (TCP, UDP, ICMP atau IP tunnel)
Gambar 2. Arsitektur router sebagai packet filter Firewall untuk melindungi Server-server.
Pada gambar 2 diatas, Network-1 memiliki alamat 192.168.1.0/24, dan network-2 dengan alamat 192.168.2.0/24. Jika alamat IP DNS 192.168.2.1, alamat ip web-1 192.168.2.2 dan alamat FTP adalah 192.168.2.3. Sedangkan untuk router (R1) interface E0 adalah 192.168.1.1 dan interface E1 adalah 192.168.2.1, maka untuk berbagai ketentuan packet filter dapat dilakukan dengan menggunakan access-list (pada perangkat cisco). Access-list merupakan fitur dari perangkat Cisco yang dapat digunakan untuk memfilter packet dari yang sederhana (standard), sampai dengan filter packet secara detail (extended). Standard access-list hanya melakukan filter berdasarkan tujuan packet sedangkan extended dapat untuk menyaring (filter) :jenis protocol (tcp, udp, icmp), alamat sumber packet dan alamat tujuan packet, port aplikasi dari suatu layanan jaringan.
Penentuan range alamat dibatasi dengan notasi wildcard mask dari alamat tersebut.
Berikut ini contoh-contoh pengaturan packet filter menggunakan access-list secara sederhana maupun secara extended.
- Trafik yang di ijinkan mengakses jaringan 192.168.2.0/24 dari network-1
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 deny any any
interface ethernet 0
ip access-group 1 out
- Firewall tidak mengijinkan PC1 (192.168.1.10) untuk mengakses web server web-1, dan DNS.
access-list 101 deny tcp 192.168.1.10 0.0.0.0 192.168.2.0 0.0.0.255 eq 80
access-list 101 deny tcp 192.168.1.10 0.0.0.0 192.168.2.0 0.0.0.255 eq 53
access-list 101 deny udp 192.168.1.10 0.0.0.0 192.168.2.0 0.0.0.255 eq 53
access-list 101 permit any any
interface ethernet 0
ip access-group 101 out
- Firewall hanya pengijinkan PC-2 (192.168.1.20) yang diperbolehkan untuk mengakses FTP server.
access-list 101 deny tcp 192.168.1.20 0.0.0.0 192.168.2.0 0.0.0.255 eq 20
access-list 101 deny tcp 192.168.1.20 0.0.0.0 192.168.2.0 0.0.0.255 eq 21
interface ethernet 0
ip access-group 101 out
You can leave a response, or trackback from your own site.