Firewallarten definiert und erklärt

Es gibt viele Arten von Firewalls, die oft danach unterteilt werden, welche Systemarten sie schützen, wo im Netzwerk sie installiert sind, welchen Formfaktor sie haben und welche Filtermethoden sie nutzen. Man spricht zum Beispiel von folgenden Firewallarten:

• Netzwerkfirewall
• Hostbasierte Firewall
• Hardwarefirewall
• Softwarefirewall
• Interne Firewall
• Verteilte Firewall
• Perimeterfirewall
• Next-Generation Firewall (NGFW)
• Paketfilternde Firewall
• Verbindungsgateway
• Web-Application-Firewall
• Proxyfirewall
• Stateful-Inspection-Firewall

Fähigkeiten moderner Firewalls

Seit es Firewalls gibt, sind sie ein Eckpfeiler der Netzwerksicherheit. Im Zuge ihrer Weiterentwicklung bekamen sie immer mehr Funktionalität und neue Bereitstellungsmethoden.

Heute gibt es so viele verschiedene Arten von Firewalls, dass die vielen unterschiedlichen Bezeichnungen und Optionen verwirrend sein können. Verschiedene Firewalls haben unterschiedliche Einsatzbereiche, anhand derer sie in Firewallarten unterteilt werden können. Gängige Unterscheidungskriterien sind die geschützten Systeme, der Formfaktor, der Einsatzort in der Netzwerkinfrastruktur und die zur Datenfilterung genutzte Methode.

Für eine effektive Netzwerksicherheit sind eventuell mehrere verschiedene Firewallarten erforderlich. Es sollte jedoch auch erwähnt werden, dass ein Firewallprodukt mehrere Firewallarten in sich vereinen kann.

Unterteilung nach geschützten Systemen

Netzwerkfirewall

Eine Netzwerkfirewall wird an einem Verbindungspunkt zwischen einem als vertrauenswürdig und einem als nicht vertrauenswürdig geltenden Netzwerk installiert, zum Beispiel zwischen internen Systemen und dem Internet. Ihre wichtigste Funktion ist es, den ein- und ausgehenden Datenverkehr zu überwachen, zu kontrollieren und anhand vordefinierter Regeln zu entscheiden, was weitergeleitet und was blockiert wird. Der Zweck dieser Regeln ist es, unbefugte Zugriffe zu verhindern und die Netzwerkintegrität aufrechtzuerhalten.

Die Funktionsweise einer Netzwerkfirewall beruht auf ihrer Fähigkeit, jedes Datenpaket zu inspizieren. Sie vergleicht Paketmerkmale wie IP-Adresse und Portnummer des Absenders und Empfängers sowie das genutzte Protokoll mit vorgegebenen Regeln, um potenzielle Bedrohungen oder unerwünschte Datenflüsse zu identifizieren und zu blockieren. Eine Netzwerkfirewall kann als Hardware- oder Software-Appliance oder als Kombination aus beiden implementiert werden. Wichtig ist in jedem Fall die richtige Platzierung, damit sie wirklich den gesamten Netzwerkverkehr inspizieren kann.

Neben der Kontrolle des Netzwerkverkehrs bieten Netzwerkfirewalls in der Regel auch Protokollierungsfunktionen. Die resultierenden Protokolldateien können Administratoren das Verfolgen und Untersuchen verdächtiger Aktivitäten erleichtern.

Hostbasierte Firewall

Eine hostbasierte Firewall ist eine Software, die auf einem einzelnen Gerät in einem Netzwerk läuft. Sie wird als eine Art Schutzschicht direkt auf einem Computer oder Gerät installiert, um diesen bzw. dieses vor potenziellen Bedrohungen zu schützen. Dazu inspiziert sie den ein- und ausgehenden Datenverkehr dieses Geräts, um schädliche Inhalte herauszufiltern und zu verhindern, dass Malware, Viren oder andere bösartige Inhalte in das System gelangen.

In Umgebungen, in denen die Netzwerksicherheit oberste Priorität hat, werden hostbasierte Firewalls zusätzlich zu perimeterbasierten Sicherheitslösungen eingesetzt. In diesem Szenario schützen die Sicherheitsmaßnahmen am Netzwerkrand das Netzwerk als Ganzes und die hostbasierten Firewalls stärken die Sicherheit auf Geräteebene. Mit einer solchen zweigleisigen Sicherheitsstrategie können Sie dafür sorgen, dass einzelne Computer selbst dann geschützt bleiben, wenn eine Bedrohung die erste Verteidigungslinie unterwandert hat.

Unterteilung nach Bereitstellungsart

Hardwarefirewall

Eine Hardwarefirewall ist ein physisches Gerät, das zwischen einem Computer oder Netzwerk und dessen Verbindung zum Internet platziert wird. Diese Firewall funktioniert unabhängig von ihrem Hostgerät und inspiziert den ein- und ausgehenden Datenverkehr, um die Einhaltung etablierter Sicherheitsregeln zu gewährleisten. Eine Hardwarefirewall analysiert Datenpakete aktiv, um Bedrohungen zu identifizieren und zu blockieren. Sie stellt also eine effektive Sperre gegen potenzielle Infiltrationen dar.

Bei der Installation muss eine Hardwarefirewall direkt mit dem Internetzugang einerseits und dem zu schützenden Netzwerk oder System andererseits verbunden werden. Nach der Implementierung muss der gesamte ein- und ausgehende Internetdatenverkehr dieses Gerät passieren. Eine Hardwarefirewall inspiziert jedes Datenpaket und entscheidet anhand vorab definierter Sicherheitsrichtlinien, welche Pakete bösartig oder verdächtig wirken und blockiert werden und welche sicher und legitim sind und in das interne Netzwerk weitergeleitet werden. Dadurch werden Bedrohungen gestoppt, bevor sie interne Systeme erreichen – ein wichtiger Beitrag zu einem proaktiven Ansatz für die Netzwerksicherheit.

Softwarefirewall

Eine Softwarefirewall stellt Firewallfunktionen in einer Softwarelösung (anstelle einer physischen Appliance) bereit und eignet sich daher besonders für den Einsatz auf Servern oder virtuellen Maschinen, mit denen Cloud-Umgebungen gesichert werden sollen.

Softwarefirewalls sind für den Schutz sensibler Daten, Workloads und Anwendungen in Umgebungen konzipiert, in denen die Installation physischer Firewalls schwierig oder unmöglich wäre.

Sie basieren jedoch auf derselben (auch als Next-Generation Firewall oder NGFW bezeichneten) Technologie wie Hardwarefirewalls. Verschiedene Bereitstellungsoptionen tragen den unterschiedlichen Anforderungen von Hybrid- und Multi-Cloud-Umgebungen sowie modernen Cloud-Anwendungen Rechnung. Softwarefirewalls können in beliebigen virtualisierten Netzwerk- und Cloud-Umgebungen implementiert werden.

Was ist eine Softwarefirewall?

Arten von Softwarefirewalls

Zu den Softwarefirewalls zählen unter anderem Containerfirewalls, virtuelle Firewalls (die auch als Cloud-Firewalls bezeichnet werden) und Managed-Service-Firewalls.

Containerfirewalls

Eine Containerfirewall ist eine Softwareversion einer Next-Generation Firewall, die speziell für den Einsatz in Kubernetes-Umgebungen entwickelt wurde.

Es kann schwierig sein, Container-Workloads in Kubernetes-Umgebungen mit herkömmlichen Firewalls zu schützen. Daher gibt es spezielle Containerfirewalls, die von Netzwerksicherheitsteams in Kubernetes-Umgebungen integriert werden können, um Entwickler vor modernen Angriffsformen und Datenausschleusung zu schützen.

Virtuelle Firewalls

Eine virtuelle Firewall ist eine virtualisierte Instanz einer Next-Generation Firewall, die in virtuellen und Cloud-Umgebungen zur Sicherung von Ost-West- und Nord-Süd-Datenverkehr eingesetzt wird. Sie werden manchmal auch als „Cloud-Firewalls“ bezeichnet.

Virtuelle Firewalls können sowohl am Übergang zu Public-Cloud-Umgebungen (zur Kontrolle des Nord-Süd-Datenverkehrs) als auch in physischen Rechenzentren und Filialen (zur Segmentierung des Ost-West-Datenverkehrs) eingesetzt werden. Virtuelle Firewalls sind darüber hinaus auch für die Mikrosegmentierung zur Umsetzung modernster Bedrohungspräventionsmaßnahmen geeignet.

Was ist eine virtuelle Firewall?

Cloud-Firewalls

Der Begriff „Cloud-Firewall“ beschreibt das Konzept einer virtuellen Firewall am besten. Gemeint ist ein softwarebasierter, in der Cloud verankerter Mechanismus, der in erster Linie zum Herausfiltern schädlicher Netzwerkdatenpakete genutzt wird. Das cloudbasierte Bereitstellungsmodell hat dazu geführt, dass virtuelle Firewalls oft auch als Firewall-as-a-Service (FWaaS) bezeichnet werden.

Eine erwähnenswerte Variante ist der Begriff „Public-Cloud-Firewall“. Damit ist eine Software gemeint, die nach demselben Prinzip funktioniert wie eine Hardwarefirewall, aber in einer Public Cloud eingesetzt wird.

Es gibt verschiedene Definitionen für den Begriff „Cloud-Firewall“. Am häufigsten wird erwähnt, dass es sich um Firewalls handelt, die von Anbietern von Sicherheitsdiensten in der Cloud bereitgestellt werden, dass ihre Funktionalität direkt von Cloud-Hyperscalern bereitgestellt wird oder dass es sich um Appliances zum Schutz von Anwendungen in diversen Public Clouds handelt. Eine branchenweit akzeptierte Standarddefinition gibt es bislang anscheinend nicht.

Was ist eine Public-Cloud-Firewall?

Managed-Service-Firewalls

Softwarefirewalls sind – ähnlich wie viele andere Software-as-a-Service(SaaS)-Angebote – auch als Managed Services verfügbar. Einige dieser Managed Services eignen sich zur flexiblen Bereitstellung von Sicherheitsmaßnahmen auf der Anwendungsebene (Layer 7) ohne zusätzlichen Managementaufwand. Wie alle Managed Services können diese Firewalls schnell herauf- und herunterskaliert werden.

Was ist der Unterschied zwischen Hardwarefirewalls und Softwarefirewalls?

Eine Hardwarefirewall ist eine eigenständige physische Appliance, die sich zwischen einem Netzwerk und den mit diesem Netzwerk verbundenen Geräten befindet. Sie überwacht und reguliert sowohl den ein- als auch den ausgehenden Netzwerkdatenverkehr anhand vorgegebener Sicherheitsrichtlinien. Mit der Installation einer Hardwarefirewall sollte eine qualifizierte Fachkraft betraut werden, um sicherzustellen, dass die Firewall korrekt eingerichtet ist und ordnungsgemäß betrieben werden kann.

Im Gegensatz dazu läuft eine Softwarefirewall auf einem Server oder in einer Virtual Machine. Diese Art von Software nutzt ein sicherheitsorientiertes Betriebssystem, das in der Regel auf handelsübliche Allzweckhardware aufgesetzt wird. Sie kann oft mithilfe von Cloud-Automatisierungstools in kurzer Zeit bereitgestellt werden.

Sowohl Hardware- als auch Softwarefirewalls bieten grundlegende Netzwerksicherheitsfunktionen. Welcher Formfaktor besser geeignet ist, hängt von den spezifischen Anforderungen und von der Umgebung ab, in der die Firewall implementiert werden soll.

Unterteilung nach Platzierung in der Netzwerkinfrastruktur

Interne Firewall

Eine interne Firewall wird in erster Linie im Inneren eines Netzwerks eingesetzt, um Sicherheitsbedrohungen zu blockieren, die die perimeterbasierten Sicherheitsvorkehrungen bereits umgangen haben. Im Gegensatz zu externen oder perimeterbasierten Firewalls kontrollieren sie daher den Datenverkehr zwischen den Geräten in einem Netzwerk (und nicht zwischen dem Netzwerk und dem öffentlichen Internet). Das ist wichtig, weil nicht alle Bedrohungen aus dem Internet kommen. Manche Sicherheitsverstöße haben unternehmensinterne Ursachen, wie zum Beispiel versehentliche Bedienfehler oder böswillige Insider.

Deshalb setzt diese Art von Firewall das Zero-Trust-Prinzip um. Sie stuft Aktivitäten nicht automatisch als vertrauenswürdig ein, nur weil sie innerhalb des Netzwerks eingeleitet wurden. Stattdessen segmentieren interne Firewalls das Netzwerk in verschiedene Zonen, die jeweils eigene, ihren Anforderungen entsprechende Sicherheitsmaßnahmen haben, um zu verhindern, dass potenzielle Bedrohungen sich unkontrolliert in der gesamten Infrastruktur ausbreiten. Ein Beispiel hierfür ist die Mikrosegmentierung, ein Verfahren, mit dem ein Netzwerk in kleinere, voneinander isolierte Zonen unterteilt wird, um die Sicherheit zu stärken. Zusätzlich nutzen einige dieser Lösungen intelligente Automatisierungsverfahren, um die Sicherheitsprotokolle fortlaufend anhand beobachteter und etablierter sicherer Verhaltensweisen anzupassen und zu aktualisieren und den Schutz, den sie bieten, somit unablässig zu verbessern.

Verteilte Firewall

Eine verteilte Firewall ist eine Netzwerksicherheitsvorkehrung, die zur Sicherung der gesamten Infrastruktur einer Organisation konzipiert wurde. Im Gegensatz zu herkömmlichen Firewalls, die sich in der Regel auf einem einzelnen Knoten oder Gerät befinden, agieren verteilte Firewalls netzwerkweit. Sie nutzen die Kapazitäten mehrerer Geräte, um Datenverkehr zu überwachen und zu regulieren und so für einen konsistenten, umfassenden Schutz zu sorgen.

Einer der größten Vorteile verteilter Firewalls ist, dass sie sowohl den internen als auch den externen Netzwerkverkehr überwachen können. Herkömmliche Firewalls wurden bislang hauptsächlich zur Abwehr externer Bedrohungen entwickelt und eingesetzt. Angesichts der aktuellen Entwicklung der Sicherheitslage ist die Durchsuchung des internen Datenverkehrs nach potenziellen Bedrohungen inzwischen jedoch mindestens genauso wichtig. Verteilte Firewalls füllen diese Nische auf dem Markt und stellen eine umfassendere Sicherheitsebene dar, da sie sowohl den eingehenden als auch den internen Verkehr im Netzwerk prüfen.

Weitere erwähnenswerte Merkmale verteilter Firewalls sind ihre Skalierbarkeit und Effizienz. Durch die Verteilung der Verkehrsüberwachung auf zahlreiche Geräte oder Knoten vermeiden sie Engpässe und lokale Netzwerküberlastung. Da sie ohnehin dezentralisiert sind, können verteilte Firewalls ohne Abstriche bei der Leistung oder der Sicherheit skaliert werden, wenn eine Organisation wächst oder das Verkehrsaufkommen steigt.

Perimeterfirewall

Eine Perimeterfirewall fungiert als Grenzpunkt zwischen einem privaten Netzwerk und dem öffentlichen Internet. Als erste Verteidigungslinie der internen Infrastruktur prüft sie jedes Datenpaket sorgfältig, bevor sie es passieren lässt, und schützt das private Netzwerk damit vor unerwünschten und potenziell schädlichen Daten. Eine wichtige Aufgabe einer Perimeterfirewall besteht darin, den Datenverkehr anhand von vordefinierten Parametern zu differenzieren und anschließend zuzulassen oder zu sperren, um sicherzustellen, dass nur legitime und sichere Daten Zugang erhalten.

Die Effektivität einer Perimeterfirewall hängt also entscheidend davon ab, wie gut sie die eingehenden Datenpakete beurteilen und unterscheiden kann. Dazu prüft sie sowohl die Angaben im Header des Datenpakets als auch dessen Inhalt anhand vorab definierter Parameter. Durch diese sorgfältige Prüfung kann sie potenzielle Bedrohungen wie Malware oder Hinweise auf einen drohenden Cyberangriff erkennen und somit die rechtzeitige Einleitung von Gegenmaßnahmen ermöglichen.

Eine Perimeterfirewall kann sowohl internen als auch externen Datenverkehr überwachen. Mit „internem Datenverkehr“ sind in diesem Kontext die zwischen den Benutzern, Geräten und Systemen innerhalb des privaten Netzwerks ausgetauschten und mit „externem Datenverkehr“ die aus dem Internet kommenden Datenpakete gemeint. Aufgrund der riesigen Anzahl und Vielfalt der Bedrohungen im Internet ist die Prüfung des externen Datenverkehrs die Hauptaufgabe von Perimeterfirewalls.

Der technologische Fortschritt hat dazu geführt, dass die Architektur von Perimeterfirewalls im Laufe der Zeit immer wieder verändert wurde. Ein gutes Beispiel hierfür ist die Entwicklung von Next-Generation Firewalls (NGFWs). NGFWs vereinen die Funktionen einfacher Paketfilter mit Stateful Packet Inspection und zusätzlichen Sicherheitsfunktionen wie Deep Packet Inspection sowie Intrusion Detection und Intrusion Prevention (IDS und IPS). Diese Verbesserungen stärken die Effektivität der Firewall und damit den Schutz, den sie dem privaten Netzwerk bieten kann.

Unterteilung nach zur Datenfilterung genutzter Methode

Eine Next-Generation Firewall erweitert die Funktionalität herkömmlicher Firewalls und stellt somit eine umfassendere Sicherheitslösung dar. Während der Schwerpunkt bei früheren Firewalls hauptsächlich auf der Stateful Packet Inspection lag, können NGFWs zudem den Anwendungsdatenverkehr mithilfe zusätzlicher Funktionen besser beurteilen und regulieren und Threat Intelligence aus der Cloud nutzen – zum Beispiel, um Eindringversuche mit ihren integrierten IPS-Mechanismen zu stoppen. Mit diesem moderneren Ansatz können sie Datenpakete gründlicher untersuchen, was angesichts der vielen verschiedenen und oft sehr raffinierten Cyberbedrohungen von heute auch dringend notwendig ist.

NGFWs werden daher nicht nur für die Zugriffskontrolle, sondern auch zur Abwehr raffinierter Malware, komplexer Angriffe auf der Anwendungsebene und anderer moderner Bedrohungen eingesetzt. Sie inspizieren Daten tiefgehender und untersuchen die Art des Datenverkehrs, um Muster zu erkennen, die auf potenzielle Gefahren hinweisen könnten. NGFWs können Threat Intelligence aus verschiedenen Quellen importieren und nutzen, um stets über die neuesten Bedrohungsvektoren informiert und auch neu aufkommenden Cybersicherheitsherausforderungen gewachsen zu sein.

NGFWs stellen einen erheblichen Fortschritt dar, denn die Kombination aus grundlegenden Features herkömmlicher Firewalls und moderneren Sicherheitsfunktionen macht sie zu einer robusten, vielseitigen Sicherheitslösung. Ihre Eignung für den Einsatz auf der Anwendungsebene und die integrierten zusätzlichen Sicherheitsmechanismen sind weitere Gründe dafür, dass NGFWs heute als unverzichtbare Maßnahmen für den Schutz von Unternehmensnetzwerken vor offenkundigen und getarnten Bedrohungen gelten.

Paketfilternde Firewall

Paketfilternde Firewalls werden auf der Netzwerkebene installiert und kontrollieren dort den Austausch von Datenpaketen zwischen verschiedenen Netzwerken. Dabei stützen sie sich auf vorab definierte Regeln bezüglich spezifischer Merkmale von Datenpaketen wie Adresse und Portnummer des Absenders und Empfängers sowie die genutzten Protokolle. Wenn diese Eigenschaften den etablierten Regeln entsprechen, kann das Datenpaket die Firewall passieren, anderenfalls wird es blockiert.

Paketfilternde Firewalls können in mehrere Unterarten, wie statische und dynamische sowie Stateful und Stateless paketfilternde Firewalls unterteilt werden.

Verbindungsgateway

Verbindungsgateways (Circuit-Level Gateways) werden vorrangig auf der Sitzungsebene des OSI-Modells eingesetzt. Ihre Aufgabe ist die Beaufsichtigung und Validierung der Handshake-Prozesse zwischen Paketen, insbesondere bei TCP- und UDP-Verbindungen. Durch die Prüfung der Handshake-Prozesse und der mit den Paketen verbundenen IP-Adressen können diese Gateways legitimen Datenverkehr als solchen erkennen und unbefugte Zugriffe verhindern. Ein Verbindungsgateway inspiziert in erster Linie die im Header der Datenpakete enthaltenen Informationen und prüft, ob diese den vorgegebenen Regeln entsprechen, ohne dabei den Inhalt der Datenpakete zu berücksichtigen.

Wenn ein Benutzer eine Verbindung zu einem Host in einem anderen Netzwerk herstellen will, baut das Verbindungsgateway diese Verbindung – im Grunde eine virtuelle Leitung zwischen dem Benutzer und dem anvisierten Host – auf. Anschließend überwacht das Gateway den Datenverkehr, der über diese Verbindung übertragen wird. Es prüft alle eingehenden Datenpakete und lässt nur diejenigen passieren, die den Regeln einer bereits etablierten Verbindung genügen. Datenpakete, die diese Prüfung bestehen, werden (im Namen des Absenders) über das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP) an den Empfängerserver geschickt. Wenn Datenpakete diese Prüfung nicht bestehen, werden sie vom Gateway zurückgewiesen und die Verbindung damit im Grunde beendet.

Das charakteristische Merkmal von Verbindungsgateways ist ihr relativ einfacher Aufbau. Da sie nicht dafür konzipiert wurden, Anwendungsprotokolle zu interpretieren oder zu verstehen, ist auch die Bereitstellung oft nicht besonders anspruchsvoll. Dennoch gibt es einen wichtigen Unterschied zwischen Verbindungsgateways und einfachen Mechanismen für die Portweiterleitung. Verbindungsgateways leiten Datenpakete nicht nur ungeprüft weiter und bieten somit eine umfassendere Funktionalität als eine einfache Portweiterleitung.

Web-Application-Firewall

Eine Web-Application-Firewall (oft kurz WAF) dient als spezialisierte Sicherheitsebene für Webanwendungen, Webserver und APIs. Sie prüft und filtert HTTP-Datenverkehr, um Webanwendungen vor Gefahren wie Cross-Site-Scripting (XSS), SQL Injections und Local File Inclusion (LFI) zu schützen. Ein charakteristisches Merkmal von WAFs ist, dass sie auf Layer 7 installiert werden, um Bedrohungen auf Anwendungsebene effektiv blockieren zu können.

Sie werden Webanwendungen vorgeschaltet und agieren als Reverse-Proxys. Das bedeutet, dass sie an die Webanwendung gerichtete Anforderungen abfangen, inspizieren und nur legitime Anforderungen weiterleiten. Verdächtiger oder schädlicher Datenverkehr wird blockiert, um potenzielle Angriffe zu unterbinden. Diese Architektur stärkt nicht nur die Sicherheit von Webanwendungen, sondern schirmt sie auch gegen direkte Zugriffe (und Bedrohungen) aus dem Internet ab.

WAFs nutzen Richtlinien oder Regeln, um auf effiziente Weise zu entscheiden, ob Datenverkehr legitim oder potenziell schädlich ist. Administratoren können diese Richtlinien bzw. Regeln in kurzer Zeit aktualisieren, um schnell auf neue Bedrohungen oder veränderte Angriffsmuster zu reagieren. Die regelmäßige Aktualisierung der Regeln ist unerlässlich.

Was ist eine WAF? | Web-Application-Firewalls erklärt

Proxyfirewall

Proxyfirewalls laufen auf der Anwendungsebene und sind ein unverzichtbarer Schutzmechanismus für Netzwerke. Sie werden mitunter auch als Anwendungsfirewall oder Gateway-Firewall bezeichnet und fungieren in erster Linie als Zwischenstation und Nachrichtenfilter zwischen Computersystemen und externen Servern. Dadurch schützen sie Netzwerkressourcen vor potenziellen Cyberbedrohungen.

Im Gegensatz zu herkömmlichen Firewalls, die Anwendungsdatenverkehr weder entschlüsseln noch eingehend untersuchen, durchkämmen Proxyfirewalls den ein- und ausgehenden Datenverkehr sehr genau nach potenziellen Hinweisen auf Cyberangriffe oder Malware. Für ihre Funktionsweise ist wichtig, dass sie eine eigene IP-Adresse haben. Damit lässt sich sicherstellen, dass Datenverkehr aus externen Netzwerken an sie (und nicht direkt in das von der Proxyfirewall geschützte interne Netzwerk) geschickt wird.

Die Funktionsweise selbst ist einfach, aber effektiv. Die Computer in einem Netzwerk sind über die (als Gateway fungierende) Proxyfirewall mit dem Internet verbunden. Wenn ein Benutzer eine externe Website oder einen Service aufruft, wird die Anforderung von der Proxyfirewall abgefangen und mit den etablierten Richtlinien abgeglichen. Wenn die Firewall zu dem Schluss gelangt, dass die Anforderung ungefährlich ist, stellt sie die angeforderte Verbindung her. Auf diese Weise kann die Proxyfirewall dafür sorgen, dass nur autorisierte, sichere Verbindungen etabliert werden.

Stateful-Inspection-Firewall

Stateful-Inspection-Firewalls sind ein integraler Bestandteil der aktiven Netzwerküberwachung. Sie analysieren den Kontext des ein- und ausgehenden Netzwerkverkehrs, indem sie alle offenen Verbindungen überwachen, und sorgen so dafür, dass nur sichere Datenpakete übertragen werden. Die Hauptfunktion dieser auf Layer 3 und 4 des Open-Systems-Interconection(OSI)-Modells angesiedelten Firewalls ist das Filtern des Datenverkehrs unter Zuhilfenahme von Kontextinformationen und früheren Entscheidungen, die in der Zustandstabelle gespeichert sind. Da jede Nachricht im Kontext der anderen zuvor und gleichzeitig ausgetauschten Daten beurteilt wird, ist die Kategorisierung als harmlos oder schädlich präziser als bei Methoden, die jedes Datenpaket für sich allein betrachten.

Stateful-Inspection-Firewalls bauen auf Technologien zur Inspektion von Datenpaketen auf. Sie untersuchen den Inhalt jedes Datenpakets, um zu ermitteln, ob es ähnliche Merkmale aufweist wie bereits als sicher eingestufte Verbindungen. Ist dies der Fall, wird das Paket weitergeleitet. Gibt es Abweichungen, wird das Paket mit etablierten Sicherheitsrichtlinien abgeglichen, um zu ermitteln, ob es eine Gefahr darstellt.

Ein Beispiel für die Funktionsweise einer Stateful-Inspection-Firewall ist ihre Interaktion mit dem Transmission Control Protocol (Übertragungssteuerungsprotokoll, TCP). TCP unterstützt das gleichzeitige Senden und Empfangen von Daten und etabliert die dazu genutzten Verbindungen mit einem aus drei Schritten bestehenden Prozess, dem sogenannten „Handshake“. Die drei Schritte sind eine erste Kontaktaufnahme (Synchronization oder kurz SYN) durch einen Kommunikationspartner, die Antwort auf diese Kontaktaufnahme einschließlich einer Empfangsbestätigung durch den anderen Kommunikationspartner (Synchronization-Acknowledgement oder kurz SYN-ACK) und die Empfangsbestätigung für das SYN-ACK durch den ersten Kommunikationspartner (Acknowledgement oder ACK). Eine Stateful-Inspection-Firewall nutzt diesen Prozess, um die bei dem Handshake ausgetauschten Inhalte nach potenziellen Bedrohungen zu durchsuchen. Wenn dabei verdächtige Absender- oder Empfängeradressen oder andere Warnzeichen zutage treten, blockiert die Firewall die Übertragung sofort. Mit diesem Ansatz wird sichergestellt, dass nur legitime und sichere Verbindungen aufgebaut und aufrechterhalten werden.

Unterschiede zwischen Firewalls auf Layer 3 und Layer 7

Eine Layer-3-Firewall funktioniert auf der Netzwerkebene des OSI-Modells. Sie filtert Netzwerkverkehr hauptsächlich aufgrund von Parametern wie IP-Adressen, Portnummern und spezifischen Protokollen, ähnelt in ihrer Funktionsweise also einem Router. Firewalls dieser Art bieten eine effiziente, weitreichende Abdeckung und stärken die Sicherheit, indem sie Pakete aufgrund der Absender- und Empfängerdaten weiterleiten oder blockieren.

Layer-7-Firewalls laufen hingegen auf der Anwendungsebene des OSI-Modells. Ihr Hauptvorteil ist die Fähigkeit, den Inhalt (und nicht nur den Header) von Datenpaketen genau zu untersuchen. Sie nutzen diese Fähigkeit, um zu ermitteln, ob anwendungsspezifische Paketinhalte legitim oder schädlich sind und so zum Beispiel SQL-Injections und andere Angriffsmethoden auf Anwendungsebene zu erkennen und zu stoppen.

Bei der Netzwerksicherheit geht es nicht darum, sich für die eine oder die andere Option zu entscheiden. Die Vorteile beider Firewallarten ergänzen einander. Layer-3-Firewalls filtern ein breites Spektrum an Datenpaketen sehr schnell, Layer-7-Firewalls gehen mehr ins Detail und bieten so einen fundierteren Schutz. Optimal ist daher die Kombination beider Varianten für eine breite Abdeckung und robuste, mehrschichtige Sicherheit.

Empfehlungen zur Auswahl der richtigen Firewall für ein Unternehmensnetzwerk

Bei der Auswahl einer Firewall für Ihr Unternehmensnetzwerk sollten Sie die Netzwerkarchitektur, die zu schützenden Assets und die spezifischen Anforderungen Ihres Unternehmens berücksichtigen.

Beginnen Sie mit der Festlegung der technischen Aufgaben, die die Firewall erledigen soll. Ermitteln Sie, ob Ihr Netzwerk eine umfassende Lösung benötigt oder ob eine einfachere Firewall ausreicht. Das hängt unter anderem davon ab, um welche Art von Netzwerk es sich handelt, wie wichtig die damit verbundenen Assets für Ihr Geschäft sind, welches Budget zur Verfügung steht und wie viel Netzwerkverkehr zu erwarten ist. Bewerten Sie, wie gut die infrage kommenden Firewallprodukte sich in Ihre vorhandene Infrastruktur integrieren lassen. Vergessen Sie nicht, sich zu vergewissern, dass die gewählte Lösung die für Ihr Unternehmen geltenden Compliance- und Datenschutzanforderungen erfüllt.

Firewalls – FAQ