Sergey Nivens - Fotolia

Die fünf verschiedenen Arten von Firewalls

Vom Paketfilter über Stateful Inspection bis hin zur Next-Generation Firewall – dieser Artikel beschreibt die fünf Grundtypen von Firewalls in Unternehmen.

Als die ersten Internet-System-Administratoren erkannten, dass ihre Netzwerke häufig angegriffen wurden, war die Firewall unvermeidlich. Ziel war ein Prozess, der den Netzwerkverkehr auf klare Anzeichen eines Angriffs hin untersucht. Wie genau das funktionieren würde, war zunächst aber weniger klar.

Der Begriff Firewall für das Filtern von unerwünschtem Netzwerkverkehr fiel erstmals um das Jahr 1987 herum; er wird Steven M. Bellovin von AT&T zugeschrieben. Der Name war eine Metapher, die Firewalls mit Trennwänden vergleicht, die verhindern, dass ein Feuer von einem Teil einer physischen Struktur zum anderen wandert. Im Fall des Netzwerks ging es darum, eine Art Filter zwischen dem scheinbar sicheren internen Netzwerk und jeglichem Verkehr einzufügen, der über die Verbindung dieses Netzwerks mit dem Internet ein- oder ausgeht.

Mittlerweile hat sich der Begriff Firewall bereits so im IT-Sprachgebrauch etabliert, dass keine zufällige Unterhaltung über Netzwerksicherheit stattfinden kann, ohne ihn zumindest zu erwähnen. Im Laufe der Zeit haben sich verschiedene Arten von Firewalls herauskristallisiert. Dieser Artikel argumentiert etwas willkürlich, dass es fünf Schlüsseltypen von Firewalls gibt; die genaue Anzahl der Optionen ist aber nicht annähernd so wichtig wie die Vorstellung, dass verschiedene Arten von Firewalls ziemlich unterschiedliche Dinge tun.

Dabei gilt: Unabhängig von ihrem Typ ist es die Aufgabe von Firewalls, etwas zu tun, das eigentlich unmöglich ist. Sie werden in ein Netzwerk eingefügt und untersuchen den gesamten ein- und ausgehenden Netzwerkverkehr. Dabei haben sie die Aufgabe zu sagen, welche Informationen gutartig und welche Daten Teil einer Attacke sind.

Ein Computerprogramm, das grundsätzlich eine Reihe von Computerbefehlen betrachten und deren Absicht feststellen kann, widerspricht einer grundlegenden These der Informatik, die besagt: Es gibt kein Computerprogramm, das das Ergebnis eines anderen Computerprogramms perfekt vorhersagen kann, ohne es auszuführen und dessen Aktionen zu sehen. Demnach ist es auch nicht möglich, den Netzwerkverkehr allgemein zu betrachten und seine Absicht zu erkennen.

Es ist jedoch durchaus möglich, nach bekannten Mustern in Netzwerkpaketen zu suchen, die bereits bekannte Angriffe anzeigen – und genau das war und ist die Aufgabe von speziellen Paketfilter-Netzwerk-Firewalls. Grundsätzlich wird jede Art von Firewall in einem Netzwerk mit einem ständig aktualisierten Satz von Firewall-Regeln eingesetzt, die verschiedene Kriterien definieren, nach denen ein bestimmtes Paket oder mehrere Pakete in einer Transaktion sicher an den vorgesehenen Empfänger weitergeleitet werden kann.

Hier sind fünf Arten von Firewalls, die bei der Entwicklung der Kategorie Firewall eine wichtige Rolle gespielt haben und spielen:

Paketfilternde Firewalls

Dieser erste und ursprüngliche Firewall-Typ arbeitet an Knotenpunkten und Geräten wie Routern und Switches.

Diese Firewall leitet jedoch keine Pakete weiter, sondern vergleicht jedes empfangene Paket mit einer Reihe von festgelegten Kriterien wie etwa erlaubten IP-Adressen, Pakettyp oder Portnummer. Pakete, die als problematisch erkannt werden, leitet die Firewall in der Regel nicht weiter, das heißt sie gelangen nicht ins interne Netzwerk.

Verbindungs-Gateways (Circuit Level Gateways)

Verbindungs-Gateways identifizieren bösartiger Inhalte relativ schnell. Sie überwachen die TCP-Daten im gesamten Netzwerk und stellen fest, ob die gestartete Sitzung legitim ist und das entfernte System als vertrauenswürdig angesehen wird. Damit lassen sich auf einer Firewall beliebige IP-Adressen und Ports sperren oder freischalten. Circuit Level Gateways sind allerdings nicht in der Lage, die Paketinhalte selbst zu kontrollieren.

Stateful Inspection Firewalls

Stateful Inspection Firewalls untersuchen nicht nur jedes Paket, sondern behalten auch den Überblick, ob dieses Paket Teil einer autorisierten TCP-Sitzung ist oder nicht. Dies bietet im Vergleich zur Paketfilterung und zu Verbindungs-Gateways höhere Sicherheit, belastet aber auch die Netzwerkleistung stärker.

Diese Art der Firewall überwacht jede Internet-Session von Anfang bis Ende und erzwingt Regeln auf Basis von Protokoll, Port sowie Quell- und Zieladresse. Die Firewall kann schnell verifizieren, dass neue eingehende Pakete den Kriterien für autorisierten Verkehr entsprechen. Pakete, die nicht Teil einer autorisierten Sitzung sind, werden abgewiesen.

Eine weitere Variante der Stateful Inspection ist die Multilayer Inspection Firewall, die den Ablauf von Transaktionen über mehrere Schichten des OSI-Modells (Open Systems Interconnection) betrachtet.

Application Level Gateways

Diese Firewalls, manchmal auch als Proxy-Firewall bezeichnet, kombinieren einige der Eigenschaften von Paketfilter-Firewalls mit denen von Verbindungs-Gateways. Sie filtern Pakete nicht nur für den Service, für den sie laut dem angegebenen Ziel-Port bestimmt sind, sondern auch nach bestimmten anderen Merkmalen, wie etwa dem HTTP Request String. Sie kontrollieren zudem die Ausführung von Dateien oder die Bearbeitung von Daten spezieller Anwendungen.

Gateways, die auf der Anwendungsschicht filtern, bieten zwar hohe Datensicherheit, können aber die Netzwerk-Performance erheblich beeinträchtigen.

Next-Generation Firewalls

Eine typische Next-Generation Firewall (NGFW) kombiniert Paketinspektion mit Stateful Inspection und integriert Deep Packet Inspection (DPI). Das heißt, sie untersucht nicht nur das verwendete Protokoll und den eingesetzten Port, sondern nimmt auch den Inhalt des Datenstroms unter die Lupe, erkennt ungewöhnliches Verhalten oder filtert infizierte Dateien aus. In der Regel erkennen NGFWs auch die Aktivitäten der im Netz tätigen Nutzer und entscheiden auf Basis von Richtlinien, was diese dürfen und was nicht.

Was mit Deep Packet Inspection gemeint ist, hängt sehr stark vom jeweiligen Anbieter ab. Der Kern der Sache ist, dass die Paketinspektion bei traditionellen Firewalls ausschließlich den Header des Pakets betrachtet, während die Deep Packet Inspection die tatsächlichen Daten untersucht, die das Paket enthält. So kann eine solche Firewall den Fortschritt einer Web-Browsing-Sitzung verfolgen und feststellen, dass ein Paket nicht legitim ist und damit blockiert wird, wenn es mit anderen Paketen zu einer HTTP-Server-Antwort zusammengestellt wird.

Gleichgültig, für welche Art von Firewall sich Unternehmen entscheiden: Eine falsch konfigurierte Firewall kann in gewisser Weise schlimmer sein als eine fehlende Firewall, weil sie den gefährlichen Eindruck von Sicherheit vermittelt, während sie wenig oder gar keine bietet.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So testen Sie Firewall-Systeme auf Sicherheitslücken und Schwachstellen

So schützen Sie sich mit einer virtuellen Firewall

Firewall-Einsatzszenarien für neue Sicherheitsbedrohungen

Erfahren Sie mehr über Netzwerksicherheit