Firewall

Bei dem Begriff Firewall denkt man meist sofort an ein Gerät im Netzwerk, das darüber entscheidet, welcher Verkehr passieren darf und welcher aufgehalten wird. Neben dieser Hauptsächlichen Funktion kennt eine Firewall aber auch Regelsätze zur Network Address Translation (NAT) um z. B. Portweiterleitungen oder Netzwerkmaskierung zu realisieren.

Die Unterscheidung verschiedener Typen von Firewalls, welche stark mit ihrer geschichtlichen Entwicklung zu tun haben, ist nicht strikt eindeutig. Es haben sich jedoch einige Begriffe als gängig etabliert.

• Packet Filter: Dies ist die einfachste und älteste Form der Firewall. Ein Paketfilter prüft anhand einfacher Paketeigenschaften wie Quell- und Zielangaben, ob ein Paket durchgelassen wird oder nicht. Jedes Paket wird für sich und unabhängig von Vorgänger- oder Nachfolgerpaketen betrachtet.
• Stateful Packet Inspection Firewall: Die Stateful Firewall ist nur geringfügig neuer als der ursprüngliche Paketfilter. Stateful Packet Inspection bedeutet, dass Pakete auch anhand ihrer Beziehungen zu anderen Paketen betrachet werden, also z. B. ob sie zu einer bestehenden TCP-Verbindung gehören oder aufgrund von Protokollzusammenhängen zusammengehören.
• Next Generation Firewall: Die Next Generation Firewall ist ein Begriff, der 2009 von Gartner Research ins Leben gerufen wurde. Er bezeichnet Firewalls, die nicht nur anhand von Ports über die Art des Verkehrs unterscheiden, sondern auch die Header der Pakete auswerten, um ihren tatsächlichen Inhalt zu erkennen. FTP-Verkehr kann dadurch auch erkannt werden, wenn er z. B. über den HTTP-Port 80 abgewickelt wird.
• Deep Packet Inspection: Bei der DPI werden auch die Dateninhalte von Paketen berücksichtigt und nicht nur die Header und Metadaten. Schädliche Inhalte, welche in grundsätzlich erlaubtem Verkehr versteckt werden, können somit erkannt werden.

Lies hierzu auch den allgemeinen Artikel zur Firewall und die Definitionen zu Deep Packet Inspection und zu Next Generation Firewalls im Elektronik-Kompendium.

Eine weitere Unterscheidungsmöglichkeit für Firewalls entspringt ihrem Einsatzort. Man unterscheidet grundsätzlich in

• Network Firewalls: haben meist die Funktion eines Routers und erlauben durch ihre zentrale Lage die Netzwerk-Verkehrslenkung unabhängig von den kommunizierenden Hosts. Die Betrachtung des Netzwerkverkehrs ist nich nur auf einen Host eingeschränkt und die zentrale Konfiguration hält das Regelwerk knapp und übersichtlich.
• Host Based Firewalls: auch Desktop-Firewall oder personal Firewall, befindet sich direkt auf dem zu schützenden Host und hat deshalb Einblick in die kommunizierenden Prozesse. So eine Firewall kann Netzwerkverkehr nicht nur anhand seiner Eigenschaften und Inhalte regulieren, sondern auch anhand des Prozesses (Programms), das kommuniziert.

Einen kurzen Vergleich zwischen beiden Systemvarianten stellt diese Webseite an.

Der bekannteste Betriebsmodus einer Firewall ist der Routed Mode. Die Firewall agiert dabei auch als Router, verbindet zwei oder mehr Netzwerke miteinander, regelt aber gleichzeitig, welcher Verkehr zwischen diesen Netzwerken zulässig ist und welcher nicht. Allerdings kann eine Firewall auch als Layer-2-Element (Bridge) ins Netzwerk eingebaut werden, so dass sich auf beiden Interfaces das gleiche Subnetz befindet. Trotzdem kann sie regulieren, welcher Traffic passieren darf und welcher nicht. Man spricht dann von einer Transparent Firewall oder auch von einer Stealth Firewall.

Mehr Details dazu kannst du bei Fortinet oder bei Oracle nachlesen.