Was ist eine Firewall? Wie Netzwerk-Firewalls funktionieren

Eine Firewall befindet sich zwischen einem Netzwerk und dem Internet und kontrolliert den Datenfluss sowohl in das Netzwerk als auch aus ihm heraus, um potenzielle Sicherheitsbedrohungen zu stoppen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Sie können eine Firewall definieren
  • Sie können erklären, warum eine Firewall sowohl eingehende als auch ausgehende Daten überprüfen muss
  • die Unterschiede zwischen einer Proxy-Firewall, einer WAF und anderen Firewall-Typen verstehen

Link zum Artikel kopieren

Was ist eine Firewall?

Eine Firewall ist ein Sicherheitssystem, das den Netzwerk-Traffic auf Basis einer Reihe von Sicherheitsregeln überwacht und steuert. Firewalls befinden sich normalerweise zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk; bei dem nicht vertrauenswürdigen Netzwerk handelt es sich oft um das Internet. Beispielsweise verwenden Büronetzwerke häufig eine Firewall, um ihr Netzwerk vor Online-Bedrohungen zu schützen.

Was ist eine Firewall?

Firewalls entscheiden darüber, ob ein- und ausgehender Traffic durchgelassen wird. Sie können in Hardware, Software oder eine Kombination aus beidem integriert werden. Der Begriff „Firewall“ (deutsch: „Brandwand“) ist eigentlich einer Baupraxis entlehnt, bei der Wände zwischen oder durch die Mitte von Gebäuden gebaut werden, um das Übergreifen von Feuer zu verhindern. Auf ähnliche Weise sollen Netzwerk-Firewalls Online-Bedrohungen aufhalten.

Warum eine Firewall verwenden?

Der primäre Anwendungsfall für eine Firewall ist die Sicherheit. Firewalls können eingehenden böswilligen Traffic abfangen, bevor er das Netzwerk erreicht, und verhindern, dass sensible Informationen das Netzwerk verlassen.

Firewalls können auch zur Filterung von Inhalten verwendet werden. Beispielsweise kann eine Schule ihre Firewall so konfigurieren, dass Benutzer in ihrem Netzwerk keinen Zugriff auf nicht jugendfreies Material erhalten. Ebenso betreiben Regierungen in einigen Ländern eine Firewall, die Menschen innerhalb des jeweiligen Landes daran hindern kann, auf bestimmte Teile des Internets zuzugreifen.

Dieser Artikel konzentriert sich auf die für die Sicherheit konfigurierten Firewalls, von denen es mehrere Typen gibt.

Welche verschiedenen Typen von Firewalls gibt es?

Proxy-basierte Firewalls:

Dabei handelt es sich um Proxys*, die sich zwischen Clients und Servern befinden. Clients stellen eine Verbindung zur Firewall her und die Firewall überprüft die ausgehenden Pakete. Anschließend stellt sie eine Verbindung zum beabsichtigten Empfänger (dem Webserver) her. Wenn wiederum der Webserver versucht, eine Antwort an den Client zu senden, fängt die Firewall diese Anfrage ab, untersucht die Pakete und liefert die Antwort dann in einer separaten Verbindung zwischen der Firewall und dem Client. Eine Proxy-basierte Firewall verhindert quasi eine direkte Verbindung zwischen Client und Server.

Eine Proxy-basierte Firewall ist so etwas wie ein Türsteher vor einem Club. Dieser Türsteher stoppt Gäste, bevor sie den Club betreten, um sicherzustellen, dass sie nicht minderjährig oder bewaffnet sind oder in anderer Weise eine Bedrohung für den Club und seine Gäste darstellen. Der Türsteher hält die Gäste auch auf dem Weg nach draußen an, um sicherzustellen, dass sie sicher nach Hause kommen und nicht vorhaben, betrunken Auto zu fahren.

Der Nachteil eines Türstehers vor dem Club ist, dass, wenn viele Leute gleichzeitig versuchen, den Club zu betreten oder zu verlassen, die Schlange lang ist und es zu Verzögerungen kommt. In ähnlicher Weise ist ein wesentlicher Nachteil einer Proxy-basierten Firewall, dass sie eine Latenz verursachen kann, insbesondere in Zeiten mit starkem Traffic.

*Ein Proxy ist ein Computer, der als Gateway zwischen einem lokalen Netzwerk und einem größeren Netzwerk, wie z. B. dem Internet, fungiert.

Stateful Firewalls:

In der Informatik ist eine „stateful“ („zustandsabhängige“) Anwendung eine Anwendung, die Daten aus früheren Ereignissen und Interaktionen speichert. Eine Stateful Firewall speichert Informationen über offene Verbindungen und verwendet diese Informationen zur Analyse des ein- und ausgehenden Traffics, anstatt jedes einzelne Paket zu prüfen. Da sie nicht jedes Paket überprüfen, sind Stateful Firewalls schneller als Proxy-basierte Firewalls.

Stateful Firewalls verlassen sich bei der Entscheidungsfindung auf eine Menge Kontext. Wenn die Firewall beispielsweise ausgehende Pakete auf einer Verbindung aufzeichnet, die eine bestimmte Art von Antwort anfordern, lässt sie eingehende Pakete auf dieser Verbindung nur dann zu, wenn diese die angeforderte Art von Antwort liefern.

Stateful Firewalls können auch Ports* schützen, indem sie alle Ports geschlossen halten, es sei denn, eingehende Pakete fordern den Zugriff auf einen bestimmten Port an. Dies kann eine als Portscanning bezeichnete Angriffsform abwehren.

Eine bekannte Schwachstelle im Zusammenhang mit Stateful Firewalls besteht darin, dass sie manipuliert werden können, indem ein Client dazu gebracht wird, eine bestimmte Art von Informationen anzufordern. Sobald der Client diese Antwort anfordert, kann der Angreifer dann böswillige Pakete, die diesen Kriterien entsprechen, durch die Firewall senden. Beispielsweise können unsichere Websites JavaScript-Code verwenden, um diese Art von gefälschten Anfragen von einem Webbrowser aus zu erstellen.

*Ein Netzwerkport ist ein Ort, an den Informationen gesendet werden; es ist kein physischer Ort, sondern eher ein Kommunikationsendpunkt. Mehr erfahren über Ports >>

Next-Generation-Firewalls (NGFW):

Bei NGFWs Dabei handelt es sich um Firewalls, die über die Fähigkeiten traditioneller Firewalls verfügen, aber auch eine Vielzahl zusätzlicher Funktionen zur Abwehr von Bedrohungen auf anderen Ebenen des OSI-Modells einsetzen. Zu den NGFW-spezifischen Funktionen zählen:

  • Deep Packet inspection (DPI): NGFWs führen eine viel gründlichere Überprüfung der Pakete durch als herkömmliche Firewalls. Diese „tiefe“ Prüfung kann beispielsweise die Paketnutzlasten untersuchen und prüfen, auf welche Anwendung die Pakete zugreifen. Auf diese Weise kann die Firewall granularere Filterregeln durchsetzen.
  • Application Awareness (Anwendungserkennnung): Durch die Aktivierung dieser Funktion erkennt die Firewall, welche Anwendungen ausgeführt werden und welche Ports diese Anwendungen verwenden. Dies kann vor bestimmten Arten von Malware schützen, die darauf abzielen, einen laufenden Prozess abzubrechen und dann dessen Port zu übernehmen.
  • Identity Awareness (Identitätserkennung): Dadurch kann eine Firewall Regeln basierend auf der Identität durchsetzen, z. B. welcher Computer benutzt wird, welcher Benutzer angemeldet ist usw.
  • Sandboxing: Firewalls können mit eingehenden Paketen verbundene Code-Teile isolieren und in einer „Sandkasten“-Umgebung ausführen, um sicherzustellen, dass sie sich nicht böswillig verhalten. Die Ergebnisse dieses Sandbox-Tests können dann als Kriterien bei der Entscheidung verwendet werden, ob die Pakete in das Netzwerk gelangen sollen oder nicht.

Web Application Firewall (WAF):

Während herkömmliche Firewalls dabei helfen, private Netzwerke vor böswilligen Webanwendungen zu schützen, helfen WAFs dabei, Webanwendungen vor böswilligen Benutzern zu schützen. Eine WAF trägt zum Schutz von Webanwendungen bei, indem sie den HTTP-Traffic zwischen einer Webanwendung und dem Internet filtert und überwacht. Gewöhnlich schützt sie Webanwendungen vor Angriffen wie u. a. Cross-Site Forgery, Cross-Site Scripting (XSS), File Inclusion und SQL-Injection.

Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet. Während ein Proxyserver die Identität eines Clientrechners mithilfe eines Vermittlers schützt, ist eine WAF eine Art Reverse-Proxy, der den Server vor Exposition schützt, weil die Clients die WAF passieren müssen, bevor sie den Server erreichen.

Eine WAF funktioniert nach einer Reihe von Regeln, die oft als Richtlinien bezeichnet werden. Diese Richtlinien zielen darauf ab, vor Schwachstellen in der Anwendung zu schützen, indem sie böswilligen Traffic herausfiltern. Der Wert einer WAF ergibt sich zum Teil aus der Geschwindigkeit und Leichtigkeit, mit der Richtlinienänderungen implementiert werden können, was eine schnellere Reaktion auf unterschiedliche Angriffsvektoren ermöglicht; während eines DDoS-Angriffs kann Durchsatzbegrenzung durch Änderung der WAF-Richtlinien schnell umgesetzt werden. Kommerzielle WAF-Produkte wie die Web Application Firewall von Cloudflare schützen täglich Millionen von Webanwendungen vor Angriffen

Firewall-as-a-Service (FWaaS):

Firewall-as-a-Service (FWaaS) ist ein neueres Modell für die Bereitstellung von Firewall-Funktionen über die Cloud. Dieser Dienst kann auch als „Cloud-Firewall“ bezeichnet werden. FWaaS bildet eine virtuelle Barriere um Cloud-Plattformen, Cloud-Infrastruktur und Cloud-Anwendungen – so wie herkömmliche Firewalls eine Barriere um das interne Netzwerk eines Unternehmens bilden. FWaaS eignet sich oft besser für den Schutz von Cloud- und Multi-Cloud-Ressourcen als herkömmliche Firewalls.

Was ist eine „Netzwerk-Firewall“?

Eine „Netzwerk-Firewall“ ist eine Firewall, die ein Netzwerk schützt. Per Definition sind fast alle Sicherheits-Firewalls Netzwerk-Firewalls, obwohl Firewalls auch einzelne Rechner schützen können.

Firewalls sind zwar eine wichtige Komponente der Netzwerksicherheit, aber dieser Bereich umfasst auch viele andere Aspekte, darunter Zugriffskontrolle, Nutzerauthentifizierung und DDoS-Abwehr. Erfahren Sie mehr über Netzwerksicherheit.

Sind Firewalls software- oder hardwarebasiert?

Ursprünglich waren Firewalls Hardware-Geräte (mehr im Abschnitt über die Geschichte der Firewalls weiter unten). Während einige Hardware-Firewalls noch immer im Einsatz sind, sind viele moderne Firewalls softwarebasiert, was bedeutet, dass sie auf verschiedenen Arten von Hardware laufen können. FWaaS hingegen wird in der Cloud gehostet.

Wie sieht die Geschichte von Firewalls aus?

Firewalls stammen aus den späten 1980er Jahren. Die ersten Firewalls erlaubten oder blockierten einzelne Datenpakete. Sie entschieden, welche Pakete zugelassen und welche blockiert werden sollten, indem sie die Header der Netzwerkebene und der Transportebene untersuchten, um die Quell- und Ziel-IP-Adresse und den Port zu ermitteln (wie bei der Betrachtung der Abschnitte „an“ und „von“ einer E-Mail). Dies blockierte unzulässigen Traffic und stoppte viele Malware-Angriffe.

Die nächste Generation von Firewalls fügte zustandsorientierte Funktionen hinzu. Und neuere Generationen (z. B. NGFWs) boten die Möglichkeit, den Traffic auf der Anwendungsebene zu prüfen.

So wie sich die Firewall-Funktionen im Laufe der Zeit weiterentwickelt haben, hat sich auch die Bereitstellung von Firewalls verändert. Ursprünglich waren Firewalls physische Hardware-Geräte, die an die Netzwerkinfrastruktur eines Unternehmens angeschlossen wurden. Mit der Verlagerung von Geschäftsprozessen in die Cloud wurde es jedoch ineffizient, den gesamten Netzwerk-Traffic durch eine physische Box zu leiten. Heutzutage können Firewalls auch in Software oder virtuell in der Cloud betrieben werden.

Was ist Magic Firewall?

Magic Firewall ist eine Firewall auf Netzwerkebene, die über das Cloudflare-Netzwerk bereitgestellt wird. Sie wurde entwickelt, um hardwarebasierte Firewalls für Netzwerke vor Ort zu ersetzen. Hardware-basierte Firewalls lassen sich nur skalieren, wenn die IT-Abteilung mehr davon kauft. Magic Firewall lässt sich einfacher skalieren, um große Mengen an Traffic zu bewältigen. Erfahren Sie mehr über Magic Firewall.