Eine Firewall tut weit mehr als vor Bedrohungen aus dem Internet zu schützen. Vielmehr kontrolliert sie sämtlichen ein- und ausgehenden Datenverkehr zwischen Firmen-/Heimnetzwerk und Internet. Kontrolle von Anwendungen, Gewähren von Rechten und Blockierung von Zugriffen gehören ebenfalls in das Portfolio einer guten Firewall. Sollte ein unberechtigter Zugriff erkannt oder eine verdächtige Verbindung entdeckt werden, wird der Nutzer alarmiert. So wird versucht, Daten und somit Privatsphäre von Nutzern zu schützen. Hierbei gibt es mehr als nur eine Art und Weise wie Datenströme kontrolliert werden können. Im Folgenden werden die wichtigsten Firewall-Typen vorgestellt.
Die Packet-Filtering Firewall arbeitet in der Netzwerk-Ebene (Layer 3 nach OSI-Modell). Sie kontrolliert neben dem Absender und dem Ziel auch den Port des Ziels. Außerdem kann die Protokollart überprüft werden. Zur Protokollart FTP (File Transfer Protocol) gehört zum Beispiel Port: 21. Was mit welchem Paket passiert, wird anhand der Filterregeln entschieden. Hierzu werden die Daten im Paketkopf untersucht. Diese Form der Firewall kann um diverse Komponenten erweitert werden. Stateful Inspection ist eine Erweiterung der Packet-Filtering Firewall. Sie lässt Verbindungen nur für eine bestimmte Zeit zu. Passt der Verbindungsstatus nicht, wird die Verbindung nicht zugelassen. Sie funktioniert wie eine Liste mit geladenen Gästen vor einer Veranstaltung. Wer nicht auf der Liste steht, bekommt keinen Zutritt. Diese Einschränkung wird über Kontrolle der Session ID umgesetzt. Wird diese erweiterte Packet-Filtering Firewall mit einem Intrusion Detection/Prevention Plug-In und einer Antivirus-Applikation ausgestattet, spricht man von einer Unified Threat Management Firewall (UTMF). Mit einer** Deep Packet Inspection Komponente** wird das Hauptaugenmerkt auf die Analyse protokollspezifischer Informationen gelegt. Hier können Regeln auch auf URL, Dateinamen und Dateiinhalten basieren, es wird also in die Pakete „reingeschaut“. Wenn diese Art der Firewall auch SSL-Verschlüsselungen terminieren kann, spricht man von einer SSL Deep Packet Inspection Firewall. Nach der Untersuchung der Pakete können diese wieder neu SSL-verschlüsselt werden. Eine weitere Extension einer Firewall sind Circuit-Level Gateways. Diese arbeitet auf der Sitzungsschicht (Layer 5 nach OSI-Modell). Insbesondere wird hier auf die Legitimation der ein- und ausgehenden Pakete geachtet, also ob diese Zugangsberechtigung besitzen. Zusätzlich kann sie die Netzwerkadresse des Heimnetzwerks verschleiern.
Diese Firewall-Variante kann alle Ebenen bis einschließlich der Anwendungsebene (Layer 7) abdecken. Hierbei muss zwischen ALG und Proxy Firewall unterschieden werden. Während Proxy-Server innerhalb des zu schützenden Systems existieren und dieses nach außen schützen, stehen Circuit-Level-Gateways außen und schützen nach innen. Diese Arten von Firewalls führen selbst keine Kontrolle der Inhalte durch, sondern dienen nur der Zugangsbeschränkung, z. B. durch Benutzer-Authentifizierung. Application Level Gateways treten meist als Stateful Inspection Firewalls auf und realisieren Portfreigaben dynamisch und je nach Session. Die Application Level Gateways / Proxy Firewall kann außerdem um einen Content Filter erweitert werden. Hier ist eine zusätzliche Filterung von Inhalten möglich. Blockierbare Inhalte sind hierbei sehr frei wählbar und können von bestimmten Domains, über Downloads und Scripts reichen. Typische Anwendungen sind z. B. Browser-Plug-Ins wie AdBlock Plus oder NoScript.
Werden einzelne Firewalltypen hintereinandergeschaltet entsteht eine hybride Firewall. So können verschiedene Vor- und Nachteile der unterschiedlichen Typen bestens ausgeschöpft werden. Eine Paket-Filter Firewall vor eine Application Level zu schalten macht beispielsweise viel Sinn. Die schnelle Paket-Filter Firewall schmälert den ersten Datenstrom ab, sodass die langsamere aber genauere ALPF nicht mehr den gesamten Datenverkehr verarbeiten muss. Hochverfügbarkeitslösungen (HVL) dienen vor allem dazu, BackUp-Systeme für Ausfallszenarien zu haben. Hierbei wird in Aktive und Passive HVL unterschieden. Bei der passiven HVL ist immer nur eine Firewall aktiv, über sie wird der gesamte Datenverkehr geleitet, alle anderen sind passiv, befinden sich also im Standby-Modus. Fällt die aktive Firewall aus, übernimmt eine der Standby-Firewalls über die dann der Netzverkehr abgewickelt wird. Bei der aktiven HVL sind mehrere Firewalls parallel geschaltet und der Datenverkehr wird über alle diese Firewalls verteilt. Fällt hier eine aus wird die Netzlast auf die verbleibenden neu verteilt.
Next Generation Firewalls sind Firewalls, die über deutlich erweitere Funktionen verfügen. Ihre Komplexität fordert einen eigenständigen Artikel, da dem Thema sonst nicht genüge getan werden könnte. Hierzu gehören auch Cloud Firewalls.
Wenn Sie und Ihr Unternehmen ein maßgeschneidertes Sicherheitspaket benötigen, kontaktieren Sie uns oder besuchen Sie unsere Website https://www.meta-level.de/.