valentint - Fotolia
Wie unterscheiden sich Inbound- und Outbond-Firewalls?
Firewalls kümmern sich über Regeln sowohl um ausgehende (outbound) als auch eingehende (inbound) Verbindungen und Datenverkehr. Wo liegen da die Unterschiede?
Es ist von entscheidender Bedeutung, die Rollen der ein- und ausgehenden Firewall-Regeln zu verstehen, bevor man eine Unternehmensfirewall einsetzt, um sicherzustellen, dass sie die IT-Umgebung eines Unternehmens richtig absichert.
Einfach ausgedrückt: Eingehende Firewall-Regeln (inbound) schützen das Netzwerk vor unerwünschtem eingehenden Datenverkehr aus dem Internet oder anderen Netzwerken - insbesondere vor nicht zugelassenen Verbindungen, Malware und DoS-Angriffen (Denial of Service). Ausgehende Firewall-Regeln (outbound) kontrollieren den ausgehenden Datenverkehr, das heißt, Anfragen an Ressourcen außerhalb des Netzwerks. So kann beispielsweise eine Verbindungsanfrage an einen E-Mail-Dienst oder die TechTarget-Website zugelassen werden, während Verbindungsanfragen an nicht zugelassene oder gefährliche Websites unterbunden werden.
Eine einzelne Firewall erfüllt in der Regel beide Funktionen, aber es ist wichtig, die Unterschiede - sowie die Vor- und Nachteile - von eingehenden und ausgehenden Firewall-Regeln zu kennen.
Eingehender Datenverkehr versus ausgehender Datenverkehr
In Unternehmensnetzen gibt es sowohl eingehenden als auch ausgehenden Datenverkehr. Eingehende Anfragen stammen von außerhalb des Netzwerks, beispielsweise von einem Benutzer mit einem Webbrowser, einem E-Mail-Client, einem Server oder einer Anwendung, der/die Anfragen stellt - wie FTP und SSH - oder API-Aufrufe an Webdienste.
Ausgehende Anfragen stammen von innerhalb des Netzes und sind für Dienste im Internet oder in externen Netzen bestimmt.
Firewalls werden entwickelt und eingesetzt, um eingehenden Datenverkehr am Eindringen in ein Netzwerk zu hindern und ausgehenden Datenverkehr daran zu hindern, sich mit externen Ressourcen zu verbinden, die nicht mit den Sicherheitsrichtlinien eines Unternehmens übereinstimmen.
Der Unterschied zwischen eingehenden und ausgehenden Firewall-Regeln
Firewall-Regeln, die entweder eingehend oder ausgehend sind, können so angepasst werden, dass der Datenverkehr über bestimmte Ports, Dienste und IP-Adressen in das Netzwerk hinein- oder herausgelassen wird:
- Inbound-Firewall-Regeln schützen ein Netzwerk, indem sie Datenverkehr blockieren, von dem bekannt ist, dass er aus bösartigen Quellen stammt. Dadurch werden verschiedene Angriffe wie Malware und DDoS davon abgehalten, sich auf interne Ressourcen auszuwirken.
- Outbound-Regeln der Firewall legen fest, welcher Datenverkehr ein Netzwerk verlassen und legitime Ziele erreichen darf. Diese Regeln blockieren auch Anfragen, die an bösartige Websites und nicht vertrauenswürdige Domänen gesendet werden. Sie können auch die Datenexfiltration verhindern, indem sie den Inhalt von E-Mails und Dateien analysieren, die von einem Netzwerk gesendet werden.
Die Firewall-Richtlinie, die die Konfiguration der ein- und ausgehenden Regeln bestimmt, basiert auf einer Risikobewertung der zu schützenden Ressourcen und den geschäftlichen Anforderungen an Benutzer und Dienste innerhalb des Netzwerks. So könnte beispielsweise der Personalabteilung der Zugang zum Internet und zum Netzwerk der Buchhaltungsabteilung des Unternehmens gestattet werden, nicht aber umgekehrt.
Alle Änderungen an ein- und ausgehenden Firewall-Regeln sollten sorgfältig geplant, implementiert und überwacht werden, um unvorhergesehene Folgen zu vermeiden, beispielsweise das Blockieren gültiger Anfragen, wodurch legitime Geschäftsaktivitäten behindert und Benutzer beeinträchtigt werden können.
Firewall-Regeln für eingehende Zugriffe verwenden
Seit Jahren schützen Firewalls interne Netzwerksysteme vor Bedrohungen von außen, indem sie Regeln durchsetzen, die den eingehenden Datenverkehr kontrollieren. Ziel der Firewall-Regeln für eingehenden Datenverkehr ist es, bösartigen Datenverkehr aus dem Netzwerk fernzuhalten und die darin befindlichen Ressourcen zu schützen.
Firewalls können an verschiedenen Stellen innerhalb eines Netzes installiert werden - vor allem an der Grenze, an der das Netz mit dem Internet verbunden ist, aber auch innerhalb des eigenen Netzes einer Organisation, um es in kleinere individuelle Teilnetze aufzuteilen, die so genannte Netzwerksegmentierung. Mit diesem Ansatz können die eingehenden Regeln jeder Firewall so konfiguriert werden, dass sie die spezifischen Ressourcen in jedem Segment schützen. Die Firewall, die das HR-Segment des Netzwerks schützt, lässt beispielsweise nur eingehende Anfragen von HR-Mitarbeitern zu, die über die erforderlichen Berechtigungen verfügen. Eine Firewall, die den Netzwerkrand schützt, hat dagegen weniger restriktive Regeln. Diese Regeln basieren jedoch auf Bedrohungsdaten und blockieren den Datenverkehr von bekannten bösartigen IP-Adressen oder Standorten.
Verwendung von Firewall-Regeln für ausgehende Verbindungen
Ausgehende Firewall-Regeln schützen auch die internen Netzwerkressourcen, aber sie verhindern, dass interne Benutzer auf bösartige Inhalte zugreifen und dass sensible Daten das Netzwerk unter Verletzung der Sicherheitsrichtlinien verlassen. Ausgehende Firewall-Regeln können beispielsweise in abgeschotteten Umgebungen von Vorteil sein, in denen das Netzwerkverhalten bis auf Host-, Anwendungs- und Protokollebene kontrolliert werden muss. Die Überwachung und Kontrolle des ausgehenden Datenverkehrs mit Hilfe von Firewall-Regeln ist eine wichtige Aufgabe für Sicherheitsteams, da sie die Exfiltration sensibler Daten oder andere Aktivitäten mit Malware und böswilligen Insidern verhindern können.
Zur Kontrolle des ausgehenden Datenverkehrs wird manchmal eine dedizierte Firewall oder ein externer Cloud-Dienst wie ein sicheres Web-Gateway eingesetzt, da hierfür spezielle Filtertechnologien erforderlich sind. Solche Systeme können gezielte Funktionen ausführen wie beispielsweise die Inhaltsfilterung für E-Mail oder Webbrowsing. Sie sind oft mit dem Verzeichnisdienst des Unternehmens - Active Directory und Lightweight Directory Access Protocol (LDAP) - verbunden, so dass sie Zugriff, Filterung und Berichte auf der Grundlage des Netzwerkkontos jedes Benutzers bereitstellen können.
Andere Firewall-Systeme suchen nach ausgehender Malware und sicherheitsrelevanten Bedrohungen, einschließlich DNS-Abfragen bei Hosts, die als bedrohlich bekannt sind oder auf einer Sperrliste stehen.
Firewalls entwickeln sich ständig weiter und werden immer eine wichtige Sicherheitskontrolle in jedem Netzwerk sein. Moderne Firewalls nutzen Threat Intelligence Feeds, KI und maschinelles Lernen, um ein- und ausgehende Regeln im laufenden Betrieb zu aktualisieren, sodass sie neue und aufkommende Bedrohungen bekämpfen können, sobald sie entstehen.
Die Regeln für eingehende und ausgehende Firewalls müssen sorgfältig konfiguriert und auf Systemanomalien überwacht werden. Selbst die sichersten Firewalls können nur einen Teil der Aufgaben erfüllen. Unternehmen, die nicht über die notwendigen internen Ressourcen verfügen - darunter Produktschulungen und Sicherheitskenntnisse -, sollten in Erwägung ziehen, die Verwaltung ihrer Firewall-Umgebungen an einen ausgelagerten Managed Security Service Provider (MSSP) zu übertragen. Ein dedizierter, rund um die Uhr verfügbarer MSSP-Dienst für die Netzwerküberwachung kann in bestimmten Fällen die richtige Wahl sein.