Zware stalen kluisdeur op een kier in een moderne serverruimte met koel blauw licht op betonnen vloer.

Wat is een firewall en hoe werkt het?

Een firewall is een beveiligingssysteem dat het netwerkverkeer tussen jouw apparaat of netwerk en de buitenwereld controleert en filtert op basis van vooraf ingestelde regels. Het werkt als een digitale poortwachter die bepaalt welk verkeer wordt toegelaten en welk verkeer wordt geblokkeerd. Firewalls vormen een van de meest fundamentele bouwstenen van netwerkbeveiliging en zijn relevant voor zowel thuisgebruikers als grote organisaties. In dit artikel beantwoorden we de meest gestelde vragen over firewalls: hoe ze werken, welke soorten er zijn en wanneer je een geavanceerdere oplossing nodig hebt.

Hoe filtert een firewall inkomend en uitgaand verkeer?

Een firewall filtert verkeer door elk datapakket te vergelijken met een set regels, ook wel policies genoemd. Op basis van kenmerken zoals het IP-adres van de afzender, de doelpoort, het gebruikte protocol en de richting van het verkeer beslist de firewall of een pakket wordt doorgelaten of geblokkeerd. Dit gebeurt razendsnel en vrijwel onmerkbaar voor de gebruiker.

Concreet werkt dit als volgt: wanneer jij een website bezoekt, stuurt jouw browser een verzoek naar een externe server. Dat verzoek passeert de firewall, die controleert of het voldoet aan de ingestelde regels. De server stuurt een antwoord terug, dat opnieuw door de firewall wordt gecontroleerd voordat het jouw scherm bereikt. Bij elke stap in dit proces wordt het verkeer beoordeeld.

Moderne firewalls werken met stateful inspection, wat betekent dat ze niet alleen losse pakketjes beoordelen, maar ook de context van een verbinding bijhouden. Ze onthouden welke verbindingen zijn opgezet en controleren of inkomend verkeer daadwerkelijk een verwacht antwoord is op eerder uitgaand verkeer. Dit maakt de filtering veel nauwkeuriger dan oudere methoden die elk pakket los beoordeelden.

Naast inkomend verkeer filtert een firewall ook uitgaand verkeer. Dit is belangrijk omdat malware die al op een systeem aanwezig is, vaak probeert verbinding te maken met externe servers om instructies te ontvangen of data te stelen. Een goed geconfigureerde firewall blokkeert ook dit soort ongewenste uitgaande verbindingen.

Welke soorten firewalls zijn er?

Er zijn vijf hoofdtypen firewalls, elk met een eigen manier van verkeer analyseren en beveiligen. De keuze voor een bepaald type hangt af van de complexiteit van het netwerk, het gewenste beschermingsniveau en het budget.

  • Packet filtering firewall: De eenvoudigste vorm. Beoordeelt elk pakket afzonderlijk op basis van IP-adres, poort en protocol. Snel en lichtgewicht, maar biedt geen inzicht in de context van een verbinding.
  • Stateful inspection firewall: Houdt de toestand van actieve verbindingen bij en beoordeelt pakketten in de context van de volledige verbinding. Dit is momenteel de meest gangbare basisvorm van firewallbeveiliging.
  • Application layer firewall (proxy firewall): Analyseert verkeer op het niveau van specifieke applicaties, zoals HTTP of FTP. Kan de inhoud van verbindingen inspecteren en is daardoor effectiever tegen applicatiespecifieke aanvallen.
  • Next-generation firewall (NGFW): Combineert stateful inspection met diepgaande pakketinspectie, applicatiebewustzijn, gebruikersidentificatie en integratie met dreigingsinformatie. Meer hierover in de laatste sectie.
  • Web application firewall (WAF): Specifiek gericht op het beveiligen van webapplicaties tegen aanvallen zoals SQL-injectie en cross-site scripting. Wordt vaak ingezet als aanvulling op een reguliere netwerkfirewall.

Voor een overzicht van hoe deze typen passen binnen een bredere beveiligingsstrategie, biedt cyber research aanvullende inzichten in actuele dreigingen en verdedigingslagen.

Wat is het verschil tussen een hardware- en softwarefirewall?

Een hardwarefirewall is een fysiek apparaat dat tussen jouw netwerk en het internet wordt geplaatst en al het verkeer voor het gehele netwerk filtert. Een softwarefirewall is een programma dat op een individueel apparaat wordt geïnstalleerd en alleen het verkeer van dat specifieke apparaat bewaakt. Beide bieden bescherming, maar op een ander niveau en met andere toepassingen.

Hardwarefirewall: bescherming op netwerkniveau

Een hardwarefirewall bewaakt het volledige netwerk centraal. Alle apparaten die achter de firewall zijn aangesloten, profiteren van de bescherming zonder dat er op elk apparaat afzonderlijk iets hoeft te worden geconfigureerd. Dit maakt hardwarefirewalls bijzonder geschikt voor bedrijfsnetwerken. Ze zijn krachtig, schaalbaar en verwerken grote hoeveelheden verkeer zonder de prestaties van individuele apparaten te belasten. Het nadeel is dat ze duurder zijn in aanschaf en beheer vereisen.

Softwarefirewall: bescherming op apparaatniveau

Een softwarefirewall draait op het apparaat zelf en biedt bescherming, ook wanneer dat apparaat buiten het bedrijfsnetwerk wordt gebruikt, bijvoorbeeld bij thuiswerken of op een openbaar wifi-netwerk. Windows heeft een ingebouwde softwarefirewall, en veel beveiligingspakketten bieden uitgebreidere varianten. Het nadeel is dat elke machine afzonderlijk moet worden beheerd en dat de bescherming wegvalt als de software niet up-to-date is.

In de praktijk combineren organisaties beide varianten: een hardwarefirewall op de netwerkgrens en softwarefirewalls op individuele endpoints. Deze gelaagde aanpak zorgt ervoor dat een aanvaller die de eerste laag passeert, nog altijd stuit op een tweede verdedigingslinie.

Waartegen beschermt een firewall je niet?

Een firewall beschermt je niet tegen alle vormen van cyberdreigingen. Concreet biedt een firewall geen of beperkte bescherming tegen phishing, malware die via legitiem verkeer binnenkomt, bedreigingen van binnenuit het netwerk, versleuteld kwaadaardig verkeer en social engineering-aanvallen.

Dit zijn de meest voorkomende blinde vlekken van een firewall:

  • Phishing: Een gebruiker die klikt op een kwaadaardige link in een e-mail maakt een verbinding die door de firewall als legitiem wordt beschouwd, omdat het gewoon HTTPS-verkeer is naar een website.
  • Malware via toegestaan verkeer: Als een gebruiker een geïnfecteerd bestand downloadt via een verbinding die de firewall toestaat, ziet de firewall dit niet als een dreiging.
  • Insider threats: Een medewerker die bewust of onbewust schade aanricht, bevindt zich al binnen het netwerk en passeert de firewall niet.
  • Versleuteld kwaadaardig verkeer: Standaard firewalls inspecteren de inhoud van versleutelde verbindingen niet, waardoor malware zich kan verstoppen in HTTPS-verkeer.
  • Zero-day aanvallen: Aanvallen die gebruikmaken van nog onbekende kwetsbaarheden zijn niet opgenomen in de regels van de firewall en worden daardoor niet herkend.

Een firewall is dus een noodzakelijke, maar op zichzelf onvoldoende maatregel. Een effectieve beveiligingsstrategie combineert firewallbeveiliging met aanvullende maatregelen zoals endpoint-bescherming, penetratietesten, medewerkerstraining en actieve monitoring.

Wanneer heb je een next-generation firewall nodig?

Je hebt een next-generation firewall (NGFW) nodig wanneer een traditionele firewall onvoldoende inzicht biedt in het verkeer dat door je netwerk stroomt, met name wanneer je te maken hebt met complexe applicaties, clouddiensten, thuiswerkers of strengere beveiligingseisen vanuit wet- en regelgeving zoals NIS2-compliance.

Een NGFW voegt de volgende mogelijkheden toe bovenop een standaard stateful inspection firewall:

  • Deep packet inspection (DPI): Analyseert de daadwerkelijke inhoud van datapakketten, ook binnen versleuteld verkeer, waardoor verborgen malware beter detecteerbaar is.
  • Applicatiebewustzijn: Herkent specifieke applicaties ongeacht de gebruikte poort, en kan beleid per applicatie afdwingen. Zo kun je bijvoorbeeld Teams toestaan, maar BitTorrent blokkeren.
  • Gebruikersidentificatie: Koppelt verkeersregels aan individuele gebruikers of gebruikersgroepen in plaats van alleen aan IP-adressen.
  • Integratie met dreigingsinformatie: Vergelijkt verkeer in real-time met actuele databases van bekende kwaadaardige IP-adressen, domeinen en bestandshandtekeningen.
  • Intrusion prevention system (IPS): Detecteert en blokkeert actief aanvalspatronen in het verkeer, niet alleen op basis van regels, maar ook op basis van gedragsanalyse.

Voor kleinere organisaties met een eenvoudig netwerk en een beperkt aanvalsoppervlak kan een goede stateful inspection firewall in combinatie met andere maatregelen voldoende zijn. Zodra je organisatie groeit, meer cloudverkeer verwerkt of gevoelige data beheert, is een NGFW een logische stap. Organisaties die onder NIS2 vallen, zullen in de meeste gevallen de geavanceerdere mogelijkheden van een NGFW nodig hebben om aan de zorgplicht te voldoen.

Hoe Q-Cyber helpt met firewallbeveiliging en netwerkbeveiliging

Een firewall goed instellen is meer dan een apparaat aansluiten of software activeren. De echte bescherming zit in de configuratie, het beleid en de integratie met de rest van je beveiligingsstrategie. Wij helpen organisaties om hun netwerkbeveiliging op orde te krijgen op een manier die past bij hun specifieke risicoprofiel en omgeving.

Wat wij voor jouw organisatie kunnen doen:

  • Vulnerability scans en pentests: We testen of jouw huidige firewallconfiguratie en netwerkbeveiliging daadwerkelijk bestand zijn tegen aanvallen, inclusief gesimuleerde aanvallen door onze ethical hackers.
  • Beleidsadvies en documentatie: We schrijven firewallbeleid en beveiligingsprocedures die aansluiten op NIS2-vereisten en andere relevante wet- en regelgeving.
  • Virtuele CISO via Continuous-Q: Via ons Continuous-Q programma bieden we doorlopende begeleiding, waarbij een team van specialisten jouw organisatie structureel ondersteunt bij alle aspecten van cybersecurity, inclusief netwerkbeveiliging.
  • Onafhankelijk advies: We zijn niet gebonden aan softwarepartijen of leveranciers, waardoor ons advies altijd in jouw belang is en niet gestuurd wordt door commerciële belangen.

Wil je weten hoe jouw huidige firewallbeveiliging ervoor staat en waar de risico’s zitten? Neem contact met ons op voor een vrijblijvend gesprek.