Firewall

Grundgedanke

Eine Firewall soll den durch sie durchlaufenden Datenverkehr kontrollieren und nach ihrem Regelwerk darauf reagieren. Das Regelwerk (Firewall Policy) beschreibt, wie die Firewall auf den Datenverkehr reagieren soll. Normalerweise besitzt eine Firewall im Auslieferzustand eine Deny-All (alle Pakete verwerfen) Einstellung. Diese muss dann durch zusätzliche Regeln geöffnet werden.

Architektur und Sicherheits-Konzept

Die Architektur beschreibt die Komponenten und die Einbindung der Firewall in die Netzlandschaft. Die Architektur kann je nach Schutzbedarf sehr unterschiedlich ausgeprägt sein und ist immer auf den konkreten Einzelfall anzupassen. Um ein einzelnes Arbeitsplatz-System zu schützen werden häufig Personal Firewalls eingesetzt. Für kleine Serverlandschaften werden häufig Firewall-Appliances genutzt. Für größere Installationen werden umfangreich geschützte Inselnetze (DMZ: demilitarisierte Zone) gebildete und mehrere hintereinander geschaltete Firewalls eingesetzt.
Das Sicherheitskonzept beschreibt die zum sicheren Betrieb notwendigen Prozesse:

Wer definiert die Anforderungen ?
Wer definiert die Regeln ?
Wer überprüft die Regeln ?
Wer wertet die Protokolldateien aus ?
Wie wird auf einen Angriff reagiert ?

Schutzmechanismen

Die ersten Firewalls waren einfache Paketfilter. Mit der Zeit wurden die Angriffe komplizierter und verlagerten sich von der Netzwerkschicht hin zu den Anwendungen. Auf diese Entwicklung reagierten die Hersteller mit einer Verfeinerung der Filtermöglichkeiten, wobei nicht jeder Hersteller alle diese Möglichkeiten auch realisiert. Im groben sind hierbei (mit zunehmender Komplexität) folgende Entwicklungsstufen zu unterscheiden:

Paketfilter
Statefull Inspection Paketfilter
Deep Inspection
Application Level Gateway (Proxy)

Die höheren Stufen ermöglichen eine feinere Kontrolle der Inhalte, indem sie immer mehr Details des Datenflusses dekodieren. Einfache Paketfilter untersuchen bei jedem einzelnen Datenpaket einige TCP/IP-Header-Felder wie Quell- und Ziel-IP-Adresse und die IP-Ports. Statefull-Inspection-Paketfilter halten zusätzliche eine Statustabelle im Speicher. Hierdurch können sie kommende und gehende Datenströme zueinander in Beziehung setzen und Unstimmigkeiten (die durch einen Angriff erzeugte werden könnten) erkennen. Deep Inspection schaut in den Nutzbereich der IP-Pakete und führt dort einfache Datenformat-Prüfungen durch. Hierbei werden beispielsweise überlange URLs und ungültige Dateinamen erkannt. Application Level Gateways nehmen eine vollständige Dekodierung der Nutzlast vor. Dadurch ist es ihnen möglich die transportierten Nutzdaten sehr detailiert zu untersuchen. Hierdurch ist es möglich unerwünschte Datenübertragungen zu erkennen. In Application Level Gateways werden häufig zusätzliche Funktionen wie Jugendschutzfilter, Virenscanner, Volumenerfassung und Caching realisiert. Der Sprachgebrauch bezüglich Proxy und Application Level Gateway ist nicht einheitlich geregelt. Häufig wird unter Proxy ein cachendes HTTP-Application Level Gateway verstanden. Da Deep-Inspection-Module und Application Level Gateways Kentnisse des jeweiligen Protokolls haben, müssen diese Protokoll-spezifisch angepasst sein.

Personal Firewall

Personal Firewalls oder auch Desktop Firewalls sind Programme, die lokal auf dem zu schützenden Rechner installiert sind. Somit ist diese Art von Firewall nicht dafür gedacht, den Verkehr zwischen mehreren Netzen zu kontrollieren, sondern bestimmten Verkehr nicht in den lokalen Rechner hineinzulassen oder hinauszulassen. Die Installation auf dem zu schützenden Rechner erlaubt es auch, anwendungsspezifisch zu filtern. Viele Produkte legen ihren Schwerpunkt auf einfache Konfiguration. Die Schutzwirkung von Personal Firewalls ist allerdings eher gering.