Was ist eine Firewall?

Eine Firewall ist eine Vorrichtung, um die Netzwerksicherheit zu gewährleisten, indem ein- und ausgehender Netzwerkdatenverkehr überwacht wird und Datenpakete basierend auf Sicherheitsregeln zugelassen oder blockiert werden. Mit einer Firewall soll ein Schutzschild zwischen Ihrem internen Netzwerk und dem von externen Quellen (z. B. dem Internet) eingehendem Datenverkehr errichtet werden, um schädlichen Datenverkehr wie Viren und Hacker-Angriffe abzuwehren.

Firewalls analysieren eingehenden Datenverkehr sorgfältig auf Grundlage zuvor festgelegter Regeln und filtern Datenverkehr aus unsicheren oder verdächtigen Quellen heraus, um Angriffe zu verhindern. Firewalls schützen Datenverkehr an den Eingangspunkten eines Computers, den sog. Ports, über die Informationen mit externen Geräten ausgetauscht werden. Beispiel: „Die Quelladresse 172.18.1.1 darf das Ziel 172.18.2.1 über Port 22 erreichen.“

Stellen Sie sich IP-Adressen als Gebäude und Portnummern als Zimmer innerhalb des Gebäudes vor. Nur vertrauenswürdige Personen (Quelladressen) dürfen das Gebäude (Zieladresse) überhaupt betreten. Anschließend erfolgt eine weitere Filterung, sodass Personen innerhalb des Gebäudes nur Zugang zu bestimmten Räumen (Zielports) erhalten, je nachdem, ob sie der Besitzer, ein Kind oder ein Gast sind. Dem Besitzer ist der Zugang zu jedem Raum (jedem Port) gestattet, während Kinder und Gäste nur in bestimmten Räumen (spezifische Ports) zugelassen sind.

Firewalls können entweder software- oder hardwaregestützt sein, wobei eine Kombination aus beidem vorteilhaft ist. Eine softwaregestützte Firewall ist ein Programm, das auf jedem Computer installiert ist und Datenverkehr über Portnummern und Anwendungen regelt. Eine physische Firewall hingegen ist ein Gerät, das zwischen Ihrem Netzwerk und Gateway installiert ist.

Firewalls mit Paketfilterung, die häufigste Art von Firewalls, untersuchen Pakete und lassen sie nicht passieren, wenn sie einem festgelegten Sicherheitsregelsatz nicht entsprechen. Dieser Typ von Firewall prüft die Quell- und Ziel-IP-Adresse des Pakets. Wenn Pakete mit einer Zulassungsregel der Firewall übereinstimmen, wird ihnen Zugang zum Netzwerk gewährt.

Firewalls mit Paketfilterung sind in zwei Kategorien unterteilt: zustandsbehaftet und zustandslos. Zustandslose Firewalls untersuchen Pakete unabhängig voneinander und ohne Kontext, was sie zu einem leichten Ziel für Hacker machen. Im Gegensatz dazu merken sich zustandsbehaftete Firewalls Informationen über zuvor weitergeleitete Pakete und gelten daher als wesentlich sicherer.

Obwohl Firewalls mit Paketfilterung durchaus wirksam sein können, bieten sie letztlich nur einen sehr grundlegenden Schutz und können sehr begrenzt sein. Sie können beispielsweise nicht feststellen, ob der Inhalt der Anforderung, die gesendet wird, die Anwendung beeinträchtigt, die erreicht wird. Wenn eine schädliche Anforderung einer vertrauenswürdigen Quelladresse zugelassen wurde, die z. B. zum Löschen einer Datenbank führen würde, wüsste die Firewall das nicht. Firewalls der nächsten Generation und Proxy-Firewalls sind besser in der Lage, solche Bedrohungen zu erkennen.

Firewalls der nächsten Generation (NGFW) kombinieren herkömmliche Firewall-Technologie mit zusätzlichen Funktionen wie u. a. Überprüfung von verschlüsseltem Datenverkehr, Eindringschutzsystemen und Virenschutz. Die wichtigste Funktion ist jedoch DPI (Deep Packet Inspection, detaillierte Paketüberprüfung). Während einfache Firewalls nur die Kopfzeilen der Pakete untersuchen, werden bei der detaillierten Paketüberprüfung die Daten innerhalb des Pakets selbst untersucht. Dadurch können Benutzer Pakete mit schädlichen Daten effektiver erkennen, kategorisieren oder ablehnen. Weitere Informationen zu Forcepoint NGFW finden Sie hier.

Proxy firewalls filtern Netzwerkdatenverkehr auf Anwendungsebene. Im Gegensatz zu einfachen Firewalls fungiert der Proxy als Vermittler zwischen zwei Endsystemen. Der Client muss eine Anforderung an die Firewall senden, die dann mit einer Reihe von Sicherheitsregeln abgeglichen und anschließend zugelassen oder blockiert wird. Proxy-Firewalls überwachen vor allem den Datenverkehr für Layer-7-Protokolle wie HTTP und FTP und arbeiten sowohl mit zustandsbehafteter als auch detaillierter Paketüberprüfung, um schädlichen Datenverkehr zu entlarven.

NAT-Firewalls (Network Address Translation, Netzwerkadressübersetzung) ermöglichen mehreren Geräten mit unabhängigen Netzwerkadressen, sich mithilfe einer einzelnen IP-Adresse mit dem Internet zu verbinden, wobei die individuellen IP-Adressen verborgen bleiben. Dadurch können Angreifer, die ein Netzwerk auf IP-Adressen durchsuchen, keine spezifischen Details erfassen, was mehr Sicherheit gegen Angriffe bietet. NAT-Firewalls sind insofern mit Proxy-Firewalls vergleichbar, als sie als Vermittler zwischen einer Gruppe von Computern und externem Datenverkehr fungieren.

SMLI-Firewalls (Stateful Multilayer Inspection, zustandsbehaftete Überprüfung auf mehreren Ebenen) filtern Pakete auf Netzwerk-, Transport- und Anwendungsebene, indem diese mit bekannten vertrauenswürdigen Paketen verglichen werden. Ähnlich wie NGFW-Firewalls untersuchen auch SMLI-Firewalls das gesamte Paket und lassen es nur passieren, wenn es jede Ebene einzeln passiert. Diese Firewalls untersuchen Pakete, um den Kommunikationsstatus zu bestimmen (daher der Name) und sicherzustellen, dass alle ausgelösten Kommunikationsvorgänge nur mit vertrauenswürdigen Quellen erfolgen.