Sarana Informasi Bidang Informatika.

Fungsi Firewall

Secara fundamental, firewall bisa lakukan beberapa hal tersebut :
1.Mengatur serta mengontrol jalan raya jaringan
Peranan pertama yang bisa dikerjakan oleh firewall yaitu firewall mesti bisa mengatur serta mengontrol jalan raya jaringan yang diizinkan untuk terhubung jaringan privat atau computer yang dilindungi oleh firewall. Firewall lakukan hal yang sekian, dengan lakukan pengawasan pada paket-paket serta memonitor koneksi yang tengah di buat, lantas lakukan penapisan (filtering) pada koneksi berdasar pada hasil pengawasan paket serta koneksi itu. Termasuk didalamnya :

  • Sistem pengawasan Paket
 Pengawasan paket ('packet inspection) adalah sistem yang dikerjakan oleh firewall untuk 'menghadang' serta mengolah data dalam satu paket untuk memastikan kalau paket itu diizinkan atau tidak diterima, berdasar pada kebijakan akses (access policy) yang diaplikasikan oleh seseorang administrator. Firewall, sebelumnya memastikan ketentuan apakah akan menampik atau terima komunikasi dari luar, ia mesti lakukan pengawasan pada tiap-tiap paket (baik yang masuk maupun yang keluar) di tiap-tiap antarmuka serta membandingkannya dengan daftar kebijakan akses. Pengawasan paket bisa dikerjakan dengan lihat elemen-elemen tersebut, saat memastikan apakah akan menampik atau terima komunikasi :-Alamat IP dari computer sumber
- Port sumber pada computer sumber
- Alamat IP dari computer maksud
- Port maksud data pada computer maksud
- Protokol IP
- Informasi header-header yang disimpan dalam paket
  • Koneksi serta Kondisi Koneksi
Supaya dua host TCP/IP bisa sama-sama berkomunikasi, mereka mesti sama-sama buat koneksi antara satu dengan yang lain. Koneksi ini mempunyai dua maksud :
1.Komputer bisa memakai koneksi itu untuk mengidentifikasikan dianya pada computer beda, yang memberikan keyakinan kalau system beda yg tidak buat koneksi tidak bisa kirim data ke computer itu. Firewall dapat juga memakai info koneksi untuk memastikan koneksi apa yang diizinkan oleh kebijakan akses serta memakainya untuk memastikan apakah paket data itu juga akan di terima atau tidak diterima.
2.Koneksi dipakai untuk memastikan bagaimana caranya dua host itu juga akan berkomunikasi pada satu dengan yang lain (apakah dengan memakai koneksi connection-oriented, atau connectionless).

Ke-2 maksud itu bisa dipakai untuk memastikan kondisi koneksi pada dua host itu, seperti langkah manusia terlibat percakapan. Bila Amir ajukan pertanyaan pada Aminah tentang suatu hal, jadi Aminah juga akan meresponsnya dengan jawaban yang sesuai sama pertanyaan yang diserahkan oleh Amir ; Ketika Amir melemparkan pertanyaannya pada Aminah, kondisi pembicaraan itu yaitu Amir menanti tanggapan dari Aminah. Komunikasi di jaringan juga ikuti langkah yang sama untuk memonitor kondisi pembicaraan komunikasi yang berlangsung.
Firewall bisa memonitor info kondisi koneksi untuk memastikan apakah ia akan mengizinkan jalan raya jaringan. Biasanya hal semacam ini dikerjakan dengan pelihara satu tabel kondisi koneksi (dalam arti firewall : state table) yang memonitor kondisi semuanya komunikasi yang melalui firewall. Dengan memonitor kondisi koneksi ini, firewall bisa memastikan apakah data yang melalui firewall tengah " dinanti " oleh host yang dituju, apabila ya, aka mengizinkannya. Bila data yang melalui firewall tidak pas dengan kondisi koneksi yang didefinisikan oleh tabel kondisi koneksi, jadi data itu juga akan tidak diterima. Hal semacam ini biasanya dikatakan sebagai Stateful Inspection.
  • Stateful Packet Inspection
Saat satu firewall memadukan stateful inspection dengan packet inspection, jadi firewall itu diberi nama dengan Stateful Packet Inspection (SPI). SPI adalah sistem pengawasan paket yg tidak dikerjakan dengan memakai susunan paket serta data yang terdapat dalam paket, tapi juga pada kondisi apa host-host yang sama-sama berkomunikasi itu ada. SPI mengizinkan firewall untuk lakukan penapisan bukan sekedar berdasar pada isi paket itu, tapi juga berdasar pada koneksi atau kondisi koneksi, hingga bisa menyebabkan firewall mempunyai kekuatan yang lebih fleksibel, gampang ditata, serta mempunyai skalabilitas dalam soal penapisan yang tinggi.
Satu diantara kelebihan dari SPI dibanding dengan pengawasan paket umum yaitu kalau saat satu koneksi sudah dikenali serta diizinkan (sudah pasti sesudah dikerjakan pengawasan), biasanya satu kebijakan (policy) tidak diperlukan untuk mengizinkan komunikasi balasan karna firewall tahu tanggapan apa yang diinginkan juga akan di terima. Hal semacam ini sangat mungkin pengawasan pada data serta perintah yang terdapat dalam satu paket data untuk memastikan apakah satu koneksi diizinkan atau tidak, lantas firewall juga akan dengan automatis memonitor kondisi pembicaraan serta dengan dinamis mengizinkan jalan raya yang sesuai sama kondisi. Ini adalah penambahan yang cukup penting bila dibanding dengan firewall dengan pengawasan paket umum. Terlebih, sistem ini dikerjakan tidak ada keperluan untuk mendeskripsikan satu kebijakan untuk mengizinkan tanggapan serta komunikasi setelah itu. Umumnya firewall moderen sudah mensupport peranan ini.




2.Melakukan Autentikasi Pada Akses
Peranan fundamental firewall yang ke-2 yaitu firewall bisa lakukan autentikasi pada akses.
Protokol TCP/IP dibuat dengan premis kalau protokol itu mensupport komunikasi yang terbuka. Bila dua host sama-sama ketahui alamat IP keduanya, jadi mereka diizinkan untuk sama-sama berkomunikasi. Pada awal-awal perubahan Internet, hal semacam ini bisa dipandang jadi satu barokah. Tapi sekarang ini, di waktu makin banyak yang tersambung ke Internet, mungkin saja kita tidak ingin siapapun yang bisa berkomunikasi dengan system yang kita punyai. Karena itu, firewall diperlengkapi dengan peranan autentikasi dengan memakai sebagian mekanisme autentikasi, seperti berikut :
  • Firewall bisa memohon input dari pemakai tentang nama pemakai (user name) dan keyword (password). Cara ini seringkali dikatakan sebagai extended authentication atau xauth. Memakai xauth pemakai yang berusaha untuk buat satu koneksi juga akan disuruh input tentang nama serta kata kuncinya sebelumnya pada akhirnya diizinkan oleh firewall. Biasanya, sesudah koneksi diizinkan oleh kebijakan keamanan dalam firewall, firewall juga tidaklah perlu sekali lagi mengisikan input password serta namanya, terkecuali bila koneksi terputus serta pemakai coba menghubungkan dianya kembali.
  • Metode ke-2 yaitu dengan memakai sertifikat digital serta kunci umum. Kelebihan cara ini dibanding dengan cara pertama yaitu sistem autentikasi bisa berlangsung tanpa ada intervensi pemakai. Diluar itu, cara ini lebih cepat dalam rencana lakukan sistem autentikasi. Meski begitu, cara ini lebih rumit implementasinya karna memerlukan banyak komponen seperti implementasi infrastruktur kunci umum.
  • Metode setelah itu yaitu dengan memakai Pre-Shared Key (PSK) atau kunci yang sudah diberitahu pada pemakai. Bila dibanding dengan sertifikat digital, PSK lebih gampang diimplenentasikan karna lebih sederhana, namun PSK juga mengizinkan sistem autentikasi berlangsung tanpa ada intervensi pemakai. Dengan memakai PSK, tiap-tiap host juga akan diberi satu kunci yang sudah ditetapkan terlebih dulu yang lalu dipakai untuk sistem autentikasi. Kekurangan cara ini yaitu kunci PSK tidak sering sekali diperbaharui serta banyak organisasi seringkali sekali memakai kunci yang sama untuk lakukan koneksi pada host-host yang ada pada jarak jauh, hingga hal semacam ini sama juga meruntuhkan sistem autentikasi. Supaya terwujud satu derajat keamanan yang tinggi, biasanya sebagian organisasi juga memakai paduan pada cara PSK dengan xauth atau PSK dengan sertifikat digital.
Dengan mengimplementasikan sistem autentikasi, firewall bisa menanggung kalau koneksi bisa diizinkan atau tidak. Walau bila paket sudah diizinkan dengan memakai pengawasan paket (PI) atau berdasar pada kondisi koneksi (SPI), bila host itu tidak lolos sistem autentikasi, paket itu juga akan dibuang.

3.Melindungi Sumber Daya Dalam Jaringan Privat
Satu diantara pekerjaan firewall yaitu membuat perlindungan sumber daya dari ancaman yang mungkin saja datang. Perlindungan ini bisa didapat dengan memakai sebagian ketentuan penyusunan akses (access control), pemakaian SPI, application proxy, atau gabungan dari semua untuk menghindar host yang dilindungi bisa dibuka oleh host-host yang mencurigakan atau dari jalan raya jaringan yang mencurigakan. Meski begitu, firewall tidaklah hanya satu cara perlindungan pada sumber daya, serta memercayakan perlindungan pada sumber daya dari ancaman pada firewall dengan eksklusif yaitu satu diantara kekeliruan fatal. Bila satu host yang menggerakkan system operasi spesifik yang mempunyai lubang keamanan yang belum juga ditambal dikoneksikan ke Internet, firewall mungkin saja tidak bisa menghindar dieksploitasinya host itu oleh host-host yang lain, terutama bila exploit itu memakai jalan raya yang oleh firewall sudah diizinkan (dalam konfigurasinya). Jadi contoh, bila satu packet-inspection firewall mengizinkan jalan raya HTTP ke satu situs server yang menggerakkan satu service situs yang mempunyai lubang keamanan yang belum juga ditambal, jadi seseorang pemakai yang " iseng " barangkali buat exploit untuk meruntuhkan situs server itu karna memanglah situs server yang berkaitan mempunyai lubang keamanan yang belum juga ditambal. Dalam contoh ini, situs server itu pada akhirnya menyebabkan perlindungan yang di tawarkan oleh firewall jadi tidak bermanfaat. Hal semacam ini dikarenakan oleh firewall yg tidak bisa membedakan pada request HTTP yang mencurigakan atau tidak. Terlebih, bila firewall yang dipakai bukanlah application proxy. Oleh oleh karena itu, sumber daya yang dilindungi sebaiknya dijaga dengan lakukan penambalan pada lubang-lubang keamanan, terkecuali pastinya dilindungi oleh firewall.