Glossar

Firewall

Die Firewall, wörtlich übersetzt Brandmauer, ist ein Bestandteil der Schutzmechanismen von Einzelplatzrechnern, Servern, kompletten Netzwerken und Routern. Dieser Schutz wird durch eine spezielle Softwarekomponente erzielt, die in einigen Betriebssystemen serienmäßig bereits mit enthalten ist. Außerdem ist eine Firewall häufig in die Schutzprogramme gegen Viren und Trojaner, auch Virenscanner genannt, mit integriert. Eine grundlegende Differenzierung wird nach der Art des Einsatzes in die Netzwerk-Firewall und die Personal Firewall vorgenommen. Die Netzwerk-Firewall hat dabei die Besonderheit, dass sie nicht auf den Client-Rechnern oder dem Server eines Netzwerks, sondern an der Schnittstelle zwischen einzelnen Teilnetzen oder einem lokalen Netzwerk und dem Internet installiert wird.

Welche Aufgaben erfüllt eine Firewall?

In der Firewall werden die Regeln festgelegt, nach denen die verschiedenen Teile eines Netzwerks oder unterschiedliche Netzwerke miteinander kommunizieren können. Eine Erkennung von Angriffen ist damit nicht verbunden. Dafür wäre das Modul IDS zuständig, das als Ergänzungsbaustein mit der Firewall kombiniert werden kann. Allerdings lässt sich mit der Firewall sehr genau bestimmen, wer auf welche Teile eines Netzwerks zugreifen kann. Dabei spielen die IP-Adressen eine zentrale Rolle. Die Festlegung der Zugriffsrechte ist bei einer guten Firewall wahlweise für ganze Bereiche von IP-Adressen als auch für einzelne IP-Adressen möglich. Die Rechte für komplette IP-Bereiche werden in der Regel bei der dynamischen Aushandlung der IP-Adressen beispielsweise zwischen einem Router und den via WLAN angeschlossenen Clients festgelegt.

Mit welchen Filtertechnologien arbeitet eine Firewall?

Der Paketfilter einer Firewall

Ein Paketfilter wird de facto in jeder Art von Firewall angewendet. Die bei der Kommunikation zwischen Client und Host auszutauschenden Daten werden in kleine Pakete zerstückelt und die Pakete mit ergänzenden Informationen wie beispielsweise zur Adressierung versehen. Ein Paketfilter untersucht diese Datenpakete und entscheidet nach den vom Nutzer der Firewall vorgegebenen Regeln, wie mit den einzelnen Paketen zu verfahren ist. Dabei kommen die Entscheidungen DENY (Paket verwerfen), REJECT (Paket zurückweisen), FORWARD (Paket weiterleiten) und ALLOW (Paket die Passage erlauben) in Frage.

Die Stateful Packet Inspection bei der Firewall

Die Entscheidungen des Paketfilters der Firewall können auch davon abhängig gemacht werden, in welchem zeitlichen Fenster der angesprochene Rechner in einem Netzwerk eine Anfrage beantwortet oder eine weitere Aktion durch den Absender der Anfrage ausgelöst wird. Das bedeutet, beim Prinzip der Stateful Packet Inspection trifft die Firewall eine Entscheidung, die sich nach dem Zustand richtet. Dabei handelt es sich also um einen dynamisch arbeitenden Paketfilter der Firewall, der bei der Kommunikation nach dem Session-Prinzip angewendet wird. Das Session-Prinzip ist vor allem beim Besuch von Shopsites im Internet bzw. beim Onlinebanking anzutreffen. Die Zeitfenster weisen erhebliche Differenzen nach der Art der Verbindung auf, die als Timeout bezeichnet werden. TCP-Verbindungen haben beispielsweise Timeouts, die bis zu sechzig Minuten umfassen können.

Der Proxyfilter der Firewall

Der Proxyfilter der Firewall fungiert sozusagen als Vermittler zwischen den einzelnen Clients eines Netzwerks. Er nimmt die Anfragen entgegen und leitet sie weiter. Das verschafft dem Proxyfilter die Chance, sämtliche Inhalte zu prüfen und bei Bedarf zu beeinflussen. Mit einem Proxyfilter arbeitet beispielsweise die Firewall von DSL-Routern. Dort wird nach außen hin auch die IP-Adresse des Absenders durch eine so genannte öffentliche IP-Adresse ersetzt. Diese IP-Adresse bekommt der Router entweder fix oder wechselnd innerhalb eines bestimmten Adressbereichs vom Host zugewiesen. Eine hochwertige Firewall verwendet in der Regel mehrere Proxyfilter, was den Vorteil bringt, dass mit der Anwendung verschiedener Netzwerkprotokolle kommuniziert werden kann.

Der Contentfilter der Firewall

Arbeitet eine Firewall mit einem Contentfilter, können einzelne Inhalte nach der Analyse von der Weitergabe der Daten ausgeschlossen werden. So werden beispielsweise von vielen Websites mittels JavaScript oder ActiveX ausführbare Dateien an die Browser übertragen. Derartige Inhalte können vom Contentfilter der Firewall gezielt gesperrt werden. Mit dem Contentfilter ist auch ein minimaler Schutz gegen Trojaner und Viren möglich. Ein weiteres Einsatzgebiet der Contentfilter einer Firewall sind Kindersicherungen, bei denen die Inhalte von Websites anhand festgelegter Stichworte blockiert werden können.

Wie arbeitet die Firewall eines DSL-Routers?

Neben den bereits benannten Filtern kann die Firewall der DSL-Router noch auf andere Weise Angreifer aus dem Internet abwehren. Dabei arbeitet die Firewall direkt mit der Hardware zusammen. Ein DSL-Router öffnet immer nur die Ports, die er selbst für die Kommunikation mit dem öffentlichen Netz benötigt. Alle anderen Ports werden konsequent geschlossen gehalten. Er stellt für die Kommunikation der im dahinter liegenden lokalen Netzwerk integrierten Rechner einen so genannten Gateway zur Verfügung. Angreifer sehen dadurch (und durch den beschriebenen Austausch der IP-Adresse) nur den DSL-Router, nicht aber das dahinter liegende Netzwerk. Der Vorteil dieser Arbeitsweise der Firewall ist, dass Angriffe auf Dienste auf den Clientrechnern erheblich erschwert werden. Einschränkungen der Funktionalität beispielsweise bei der Nutzung von Tools für die Fernwartung, für die Remote-Dienste angewendet werden müssen, werden von der Firewall der DSL-Router bei entsprechender Konfiguration nicht verursacht.


Interessiert? Erfahren Sie mehr zum Thema "Firewall" - kontaktieren Sie uns jetzt

We create for You

Unter der Überschrift „Kreation“ vereinen wir die 4 Kernkompetenzen von baseplus®: Das Design, die Entwicklung, das Online Marketing und Print, in der jeweils anmutenden Farbe. Das konsequente Color-Coding dient der optimierten Benutzerführung, die Claims kommunizieren jeden Bereich zusätzlich.

Klicken Sie hier, um zu sehen was wir meinen