Firewall
Eine Firewall (zu dt. Feuerschutzwand) schützt in einem Computer-Netzwerk einzelne Computer oder ein internes Computernetz (Intranet) vor unbefugtem Zugriff. Eine Netzwerk-Firewall kann ein Hardwaregerät, ein Softwareprogramm oder eine Kombination aus beiden sein.

Geschichte der Firewall

Erste Firewalls wurden im Zuge der globalen Vernetzung in den 1980er-Jahren entwickelt. Eine Firewall kann auch so konfiguriert werden, dass sie für interne Benutzer den Zugang zu anderen Netzwerken beschränkt. Viele Firewalls die auf Hardware basieren, übernehmen außer der Schutzfunktion in einem internen Netzwerk noch andere Aufgaben, wie zum Beispiel die eines DHCP-Servers (Dynamic Host Configuration Protocol). Dadurch ist es möglich, freie Netzwerk-Adressen je nach Anforderung dynamisch an die Nutzer zu vergeben. Viele Betriebssysteme wie zum Beispiel Windows enthalten eine softwarebasierte Firewall, um vor Bedrohungen aus dem Internet zu schützen. Einige Router, die Daten aus dem Internet an lokale Computer weitergeben, enthalten ebenfalls Firewall-Komponenten. Umgekehrt können viele Firewalls auch Routing-Funktionen übernehmen.

Im Laufe der Zeit sind sehr viele Firewall-Technologien entstanden. Hier sind die wichtigsten Firewalls in einer kurzen Zusammenfassung:

Paketfilter - die erste Generation

Die erste Generation der Firewalls bestand hauptsächlich aus Paketfiltern. Diese Filter untersuchen die Datenpakete die zwischen dem Internet und dem lokalen Computer übertragen werden. Stimmt der Inhalt der Pakete mit den Filterregeln überein, lässt die Firewall das Paket passieren, wenn nicht, wird das Paket abgelehnt. Auch eine Filterung nach der Quell- oder Zieladresse sowie den verwendeten Protokollen und Ports ist möglich. Existiert zum Beispiel in den Filterregeln eine Anweisung für die Firewall den Telnet-Zugang zu sperren wird diese den Datenverkehr über die Portnummer 23 blockieren. Die Filterregeln der verwendeten Firewalls sind werksseitig vordefiniert, können aber von jedem Netzwerk-Verwalter geändert werden. Zu restriktiv eingestellte Filterregeln können den Arbeitsfluss blockieren und schaden eher als sie nutzen.

Stateful Packet Inspection (SPI) - die zweite Generation

Bei der Stateful Packet Inspection (dt. zustandsorientierte Paketüberprüfung) ist eine dynamische Filtertechnik, die jedes Paket einer aktiven Verbindung (Session) zuordnet. Dabei werden die Eigenschaften der ausgehenden Datenpakete in einer Statustabelle gespeichert. Diese Eigenschaften werden mit denen der eingehenden Datenpakete verglichen. Datenpakete, die bestimmte Kriterien nicht erfüllen, werden verworfen. SPI-Firewalls sind besonders bei sicherheitsrelevantem Datenverkehr den reinen Paketfiltern überlegen.

Application Level Firewall - die dritte Generation

Eine Application Level Firewall, auch Proxy Firewall genannt, überprüft zusätzlich zu den reinen Verkehrsdaten auch den Inhalt der Datenpakete. Der Proxy Server baut eine eigene Verbindung zum Zielsystem auf, analysiert die Pakete und reicht diese nicht an den Client-Computer weiter, wenn der Inhalt nicht den Filterregeln entsprechen. Durch das Ausblenden der LAN-Adressen nach außen bietet ein Proxy Server ein zusätzliches Maß an Sicherheit. Nach außen erscheinen die Paket-Anforderungen mehrere Clients alle unter der gleichen Adresse des Proxy Servers.

Schutz und Sicherheit gegen Angriffe aus dem Internet

Neben diesen Technologien gibt es noch eine Reihe weiterer Firewall-Techniken. Eine Firewall gehört zu den elementarsten Schutzmechanismen im Internet deshalb werden immer neue Schutzmaßnahmen entwickelt. Für einen wirksamen Schutz verwendet eine Firewall oft mehrere Schutzmaßnahmen. Eine Firewall bietet allerdings keinen Schutz gegen Viren, die über E-Mails in das Computersystem gelangen. Hierfür sind andere Sicherheitsmaßnahmen erforderlich.

Was ist eine Firewall? - Ratgeber Video