Firewall - Brandschutz oder Paketfilter

Netzwerke vor ungewollten Zugriffen schützen

Wird ein privates Netzwerk oder ein Firmen-Netzwerk an ein öffentliches Netz bzw. das Internet angeschlossen, so empfiehlt es sich, zwischen den beiden «Welten» (interne Sicht/Öffentlichkeit) eine so genannte Firewall zu installieren sein.

Eine Firewall kann entweder also reines Software-Produkt oder in Kombination mit einer Hardware-Komponente spezifisch für den Einsatz als Gateway zwischen den Welten konzipiert sein. Die Software-Lösung wird oft als so genannte «Personal Firewall» bezeichnet, diese wird vor allem beim mobilen Rechnern, welche im Firmen-Netzwerk wie auch in öffentlichen Netzen (beispielsweise mittels WLAN) unterwegs sind auch in Kombination eingesetzt.

Die Funktionsweise von Software- und Hardware-Lösungen ist prinzipiell jedoch identisch:
Lokales Netzwerk in vereinfachter Darstellung, die Firewall ist im Gateway integriert

Bei Hardware-Lösungen gibt zudem verschiedene Arten von Firewalls: Dedizierte Hardware-Komponenten, welche zwischen die Netzwerke als Gateway geschaltet werden oder Kombinationen von Rechnern (typischerweise UNIX- oder Windows) mit Software-Firewalls. Bei beiden Arten ist zu berücksichtigen, dass die Firewall über eine ausgeklügelte Konfigurations-Software verfügen sollte, um bestimmte Dienste zu aktivieren/zu deaktivieren oder sonstige Einstellungen vorzunehmen.

Beispiel einer Firewall-Konfigurations-Software für ein Zyxel-Produkt

Oft ist die Firewall-Konfigurations-Software zwar mittlerweile via Browser zugänglich und mit Hilfetexten ausgestattet. Die Benutzerführung ist aber ausserhalb des «Assistenten-Modus» (dort wo die wirklichen Einstellungen vorgenommen werden) noch recht technokratisch gestaltet, so dass ein End-Benutzer nicht in der Lage ist, sein Heimnetzwerk selbständig abzusichern.

In internen Netzen können zusätzliche Firewalls aufgebaut werden um das Netzwerk zu segmentieren und so sensible Systeme (Personal-Informationssystem, Archivsysteme) vor unberechtigten Zugriffen besser zu schützen bzw. die Zugriffe kontrolliert durchzuführen.

Beispiel einer Hardware-Firewall von Zyxel

Eine Firewall ist also eine spezielle Kombination von Datenschutz-Software und/oder -Hardware. Im Grundsatz sind hardwarenahe Lösungen sind oft proprietär, Software-Lösungen lassen sich als Dienste oder Services auf normalen Rechnern integrieren.

Eine Firewall muss typischerweise folgende Teilgebiete / Dienste zur Verfügung stellen:
  • Paketfilterung: Nur definierte Datenpakete des TCP/IP-Netzwerks können den Firewall passieren
  • Inhalts- oder Contentfilterung: Zulassen oder sperren von verschiedenen Diensten (FTPHTTP) oder Adressen (URL). Diese Funktionen können oft als Regeln hinterlegt werden - möglich sind auch zeitliche Einschränkung, so dass Web-Dienste beispielsweise nur «zur Bürozeit» (0700 bis 1900) erlaubt sind, beispielsweise wenn in der Nacht eine Datensicherung gemacht wird, welche eine bestimmte Bandbreite benötigt
  • Proxy-Dienste: Zwischenspeicher von Internet-Daten, Internet-Inhalte werden zwischengelagert und müssen nicht von einem entfernten Server geladen werden
  • Network Address Translation (NAT): Netzwerk-Adress-Übersetzung von TCP/IP-Adressen. Interne TCP/IP-Adressen sind ausserhalb der Firewall nicht sichtbar. Alle Rechner eines Firmennetzwerks besitzen ausserhalb eine identische Adresse.
  • Authentifizierung: Prüfen von Zugriffen der Benutzer mit Hilfe von anderen Systemen wie der Benutzerdatenbank (Standard sind LDAP-Installationen (Lightweight Directory Access Protocol) oder bei Microsoft-Konfigurationen das ADS als Active Directory System)
  • Logging: Aufzeichnen von Aktivitäten (Datenaustausch), Zugriffen und Angriffen
  • Alarmierung: Versand einer E-Mail oder SMS bei häufigen Regel-Verstössen an den Administrator

Oft wird auch eine VPN-Unterstützung geboten: Ein «Virtual Private Network», wird zwischen 2 Firewalls eingerichtet. Die Datenpakete zwischen Sender und Empänger basieren auf einer Verschlüsselung, die Kommunikation erfolgt aber auf dem öffentlichen Netz.