Sergey Nivens - Fotolia
Überblick: Die fünf Arten von Netzwerk-Firewalls
Firewalls bieten fortschrittliche Sicherheitsfunktionen zum Überwachen und Filtern des Netzwerkverkehrs. Allerdings können sie auch die Netzwerkleistung beeinträchtigen.
Seit Jahrzehnten spielen Firewalls eine wichtige Rolle beim Schutz privater Netzwerke vor potenziell schädlichem Traffic aus Drittnetzen und dem öffentlichen Internet. Firewalls bieten eine Verteidigungslinie, die eingehende und ausgehende Verkehrsaktivitäten überwacht. Die Firewall kann Datenverkehr blockieren, der nicht den Richtlinien entspricht oder anderweitig als potenziell schädlich bekannt ist.
Heute gibt es fünf Arten von Netzwerk-Firewalls: Paketfilter-Firewalls, Verbindungs-Gateways (Circuit Level Gateways), Stateful Inspection-Firewalls, Anwendungs- oder Proxy-Firewalls sowie Firewalls der nächsten Generation. Sie unterscheiden sich in der Art und Weise, wie sie den Datenverkehr bewerten und die Netzwerkleistung beeinflussen.
Paketfilter-Firewall
Eine Paketfilter-Firewall spiegelt den ursprünglichen Ansatz wider, ein Perimeter-Sicherheitssystem zur Abwehr von bösartigem Datenverkehr am Router oder Switch bereitzustellen. Durch die Überprüfung eingehender und ausgehender Datenpakete am Switch oder Router kann die Firewall grundlegende Daten über Ziel- und Herkunfts-IP-Adresse, Portnummer und Pakettyp erhalten. Wenn das Paket nicht den Sicherheitsrichtlinien entspricht, wird es von der Firewall nicht an sein Ziel weitergeleitet. Da Paketfilter-Firewalls das Paket nicht öffnen müssen, können sie Informationen zum Datenverkehr schnell verarbeiten. Sie sind allerdings relativ leicht zu umgehen, da sie nur sehr allgemeine Informationen der Pakete überprüfen.
Verbindungs-Gateways (Circuit Level Gateways)
Verbindungs-Gateways auf Leitungsebene überwachen die TCP-Daten zwischen Paketen im gesamten Netzwerk, um festzustellen, ob die gestartete Sitzung legitim ist und das vernetzte System als vertrauenswürdig angesehen werden kann. Der Datenverkehr wird auf der Grundlage von Richtlinien durchgelassen oder abgelehnt. Diese Gateways geben keine Daten über das zu inspizierende Netzwerk preis, können aber die Paketinhalte selbst nicht kontrollieren. Sie können daher leicht bösartigen Datenverkehr übersehen.
Stateful Inspection Firewall
Eine Stateful Inspection Firewall untersucht jedes Paket im Rahmen der TCP-Sitzung, in die es eingebunden ist, und verfolgt die Aktivität vom Beginn der Sitzung bis zum Ende. Diese Art von Firewall akzeptiert oder blockt Datenverkehr auf der Grundlage von Sicherheitsrichtlinien und Daten aus früheren Aktivitäten, die Teil derselben Verbindung waren. Dazu erstellt die die Firewall Verbindungstabellen, die zu jeder eröffneten Verbindung Informationen über die bereits gesendeten Pakete enthalten. Werden nun Daten von externen Systemen empfangen, vergleicht die Firewall diese mit den Informationen in den Verbindungstabellen und ordnet sie entsprechend zu. Stateful Inspection Firewalls bieten fortgeschrittenere Kontrollen als Paketfilter-Firewalls, aber sie sind langsamer bei der Verarbeitung von Paketen und beeinträchtigen die Netzwerkleistung.
In diesem Video sehen Sie, wie Firewalls Pakete filtern und Unternehmensnetzwerke schützen.
Anwendungs-Firewall
Eine Anwendungs-, Proxy-, oder Application Firewall filtert den eingehenden Datenverkehr auf der Anwendungsschicht. Sie fungiert als Stellvertreter nach außen (Proxy) und gibt nur ihre eigene IP-Adresse nach außen, nicht die eigentliche Netzwerkadresse des Absenders beziehungsweise Empfängers. Die Proxy-Firewall stellt eine Verbindung am Entstehungsort des Traffics her und überprüft das Paket auf bösartige Inhalte oder Richtlinienverletzungen, einschließlich bekannter Viren, markierter Websites und Exploits. Anwendungs-Firewalls können zwar besonders effektiv sein, aber auch die Netzwerkleistung beeinträchtigen.
Next-Generation Firewall
Firewalls der nächsten Generation (Next-Generation Firewalls, NGFW) stellen die modernste und breiteste Klasse von Sicherheits-Gateways dar. Diese Firewalls kombinieren die traditionelle Paketfilterung und die Stateful-Inspection-Funktionen mit anspruchsvolleren Funktionen wie Deep Packet Inspection (DPI) und Inspektion von verschlüsseltem Traffic. Firewalls der nächsten Generation könnten auch andere Funktionalitäten außerhalb der Grenzen herkömmlicher Gateway-Systeme hinzufügen, wie Quality of Service (QoS), Bandbreitenmanagement und Identitätsmanagement.
