home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3830 < prev    next >
Encoding:
Text File  |  1992-07-26  |  3.8 KB  |  82 lines
  1. Newsgroups: comp.protocols.tcp-ip
  2. Path: sparky!uunet!decwrl!pa.dec.com!decuac!hussar.dco.dec.com!mjr
  3. From: mjr@hussar.dco.dec.com (Marcus J. "will do TCP/IP for food" Ranum)
  4. Subject: Terminology for firewalls (was Re: Firewall usage)
  5. Message-ID: <1992Jul26.211639.29453@decuac.dec.com>
  6. Sender: news@decuac.dec.com (USENET News System)
  7. Nntp-Posting-Host: hussar.dco.dec.com
  8. Organization: Digital Equipment Corporation, Washington ULTRIX Resource Center
  9. References: <1992Jul23.164314.4722@spdcc.com> <1992Jul24.045748.11266@decuac.dec.com> <1992Jul26.100825.13071@magnus.acs.ohio-state.edu>
  10. Date: Sun, 26 Jul 1992 21:16:39 GMT
  11. Lines: 69
  12.  
  13. kbridge@magnus.acs.ohio-state.edu (Doug Karl) writes:
  14. >Folks,  I have recently released for annonymous ftp an IP, DECNET, AppleTalk,
  15. >etc firwall.  It is in the form a bridge similar to PCBRIDGE called
  16. >KarlBridge.
  17.  
  18.     I don't want to start a war, but I'd like to propose that we try
  19. to agree on some terminology. What exactly is a "firewall"? I believe that
  20. a firewall addresses more than just routing and IP connectivity. These
  21. are my rough definitions:
  22.  
  23. Simple gateway - a node which is reachable on two networks, but has routing
  24.     disabled, making it a termination point on both. This is typically
  25.     a host with TCP/IP forwarding disabled.
  26.  
  27. Screening router - a router that can contain some degree of logic to perform
  28.     host or service-based access control. Screening routers include some
  29.     commercial routers, as well as host-based routers with screening
  30.     services. (E.g.: KarlBridge, ULTRIX nodes with screend)
  31.  
  32. Screened network - a private network that is connected to an untrusted
  33.     network via a screening router. It is important to note that a
  34.     screened network is a matter of degree, and that in order to
  35.     work a screened network must share routes with the untrusted
  36.     network.
  37.  
  38. Screened subnet - a subnet which sits between a private network and an
  39.     untrusted network, with a screening router mediating access between
  40.     them. In some configurations, screened subnets are configured such
  41.     that routes are not given between the private network and the
  42.     untrusted network. Often a simple gateway node is installed on the
  43.     screened subnet, to act as a network access point.
  44.  
  45. Trusted application gateway - a software gateway for a given application,
  46.     such as a telnet "forwarder", or relay. Sendmail is a trusted
  47.     (or at least some versions) application gateway.
  48.  
  49. Firewall - a combination of a security policy with some of the components
  50.     above. Specifically, an implementation of the given policy that
  51.     is enforced by a combination of screening and/or routing.
  52.  
  53.  
  54.     I like to think of access (routing and connectivity) in terms of
  55. Direct - routes and traffic are shared between the private network and
  56.     the untrusted network.
  57. Indirect - routes and traffic are passed through some kind of controlling
  58.     mechanism that prevents routes from being shown between the
  59.     private and untrusted networks, and prevents traffic from passing
  60.     directly between the two networks. Communication is accomplished
  61.     by trusted application gateways.
  62.  
  63.     In other words, in my terminology, a firewall may be made by using
  64. KarlBridge and some policy to build a screened network or screened subnet.
  65. By itself, KarlBridge does not a firewall make; it is a very useful building
  66. block.
  67.  
  68.     Note that many of the components above can be combined, and I
  69. believe that my terminology retains its clarity in such a case. The kind
  70. of firewall I run can be deemed a "screened subnet with a simple gateway,
  71. hosting a suite of trusted application gateways with indirect access".
  72.  
  73.     This is not to imply that any one technique is better or worse,
  74. but it's difficult when someone says "I am sheltered by a firewall" to
  75. know if it's a relatively trivial firewall such as a screened network
  76. with fairly wide access for telnet and mail, or if it's something much
  77. more complex, like the AT&T or Digital corporate gateways.
  78.  
  79.     Comments??
  80.  
  81. mjr.
  82.