F wie Firewall

In unserem Azubi-Blog erklären wir jede Woche einen Begriff aus dem ABC der IT-Security. Heute: F wie Firewall.

Wörtlich übersetzt bedeutet Firewall „Brandmauer“. Ursprünglich war eine Firewall eine Schutztechnologie, die Netzwerkbereiche voneinander trennt. Sie schützt IT-Systeme vor Angriffen oder unbefugten Zugriffen. Der Begriff „Firewall“ bezeichnet ein IT-System, das Datenverkehr analysieren, weiterleiten oder blockieren kann. 

Jede Firewall besteht aus einer Softwarekomponente, die Netzwerkpakete lesen und auswerten kann. Dabei lassen sich Regeln definieren, die überprüfen, ob Datenpakete durchgelassen oder blockiert werden sollen. Die Software kann entweder auf der Hardwarekomponente selbst oder auf einer extra nur für die Firewall vorgesehenen Hardware installiert sein. Eine Firewall ist üblicherweise an Netzwerkgrenzen zwischen einem internen und einem externen Netzwerk platziert, um den ein- und ausgehenden Datenverkehr zu überwachen. 

Um die Sicherheit zu gewährleisten, besitzen klassische Firewalls verschiedene Funktionskomponenten, die sich je nach Leistungsfähigkeit unterscheiden können. Die Basisfunktion ist der Paketfilter. Dessen Aufgabe ist es, IP-Pakete anhand von Merkmalen wie IP-Absenderadressen, IP-Zieladressen und Ports zu filtern. Eine weitere Funktion ist die Stateful-Packet-Inspection. Dieses Verfahren entscheidet anhand mehrerer Kriterien, ob ein eingehendes Datenpaket weitergeleitet werden soll. Zur Überprüfung gehört auch, ob eingehende Datenpakete zu zuvor gesendeten Datenpaketen in Beziehung stehen. Dadurch können sogenannte DoS-Attacken verhindert werden, bei denen es sonst zu einer Überlastung des Datennetzes kommen kann. Diese Methode bietet im Vergleich zum Paketfilter eine höhere Sicherheit, belastet aber auch die Netzwerkleistung stärker. 

Zudem gibt es noch die Proxyfirewall und im Gegensatz zu der paketorientieren Firewall ist sie in der Lage die Kommunikation auf der Anwendungsebene zu kontrollieren und zu überwachen. Im Gegensatz zu den rein paketorientiert arbeitenden Firewalls wertet sie nicht nur Adress- und Protokolldaten von IP-Paketen aus, sondern analysiert den Traffic direkt in der Anwendungsschicht. Die Proxy-Firewall fängt sämtliche Anfragen in und aus dem Internet ab, filtert sie und leitet sie stellvertretend weiter oder blockiert sie. 

Zur weiteren Sicherheit gibt es die Advanced Threat Protection, kurz ATP, die es ermöglicht frühzeitig Angriffe auf das Netzwerk zu erkennen. Hierzu wird die Angriffsfläche verringert. Hierbei wird überprüft, ob die Konfigurationen der Systeme richtig festgelegt sind. Netzwerkschutz und Webschutz sorgen dafür, dass der Zugriff auf schädliche IP-Adressen, Domänen und URLs reglementiert ist. Die Anwendungssteuerung kümmert sich darum, dass nicht mehr alle Anwendungen als vertrauenswürdig gelten, sondern nur vertrauenswürdige Applikationen ausgeführt werden dürfen. 

Die wichtigsten Funktionskomponenten einer Firewall

Um die Schutzfunktion zu erfüllen, besitzen Firewalls verschiedene Funktionskomponenten. Die Anzahl und der Featureumfang der einzelnen Komponenten kann sich je nach Leistungsfähigkeit von Firewall- zu Firewall-Lösung unterscheiden. Die häufigsten Funktionen, um sich vor Viren zu schützen, sind: der Paketfilter, Network Address Translation, URL-Filter, Content-Filter, Proxyfunktion, Virtual Private Networks (VPN), Stateful Packet Inspection und Deep Packet Inspection. Durch all diese Funktionen der Firewall wird ein Eindringen von Viren und unerwünschten Zugriffen verhindert.