In bestimmten Fällen können wir Einnahmen erzielen, wenn ein Leser einen Kauf tätigt oder ein Formular auf unseren Seiten oder auf der Website eines Partners ausfüllt. Wir halten uns an eine strenge Werbepolitik und stellen sicher, dass kommerzielle Möglichkeiten niemals unsere redaktionelle Unabhängigkeit beeinträchtigen oder beeinflussen. Die erzielten Einnahmen tragen zur Finanzierung der Mission von Techopedia bei, die Nr. 1 Quelle für Glücksspielwissen zu sein.
Was ist eine Firewall?
Bei einer Firewall handelt es sich um eine überwachte und kontrollierte Grenze zwischen Ihrem Netzwerk und dem Rest des Internets.
Ihre Aufgabe besteht in der Abwehr von Cyberbedrohungen und bösartigem oder unerwünschtem Netzwerkverkehr. Dabei stellt Ihre Firewall die erste Verteidigungslinie dar.
Sie können sich eine Firewall als eine große Mauer um Ihr Unternehmen vorstellen, die Ihre digitalen Ressourcen vor Cyberangriffen schützt.
Mit Firewall-Regeln wird festgelegt, welcher Datenverkehr rein- und rausgelassen wird. Der gesamte Netzwerkverkehr versucht, an einem Ziel anzukommen, das durch eine Internetprotokoll-Adresse (IP-Adresse) und einen Port identifiziert wird.
Es gibt Hunderte von Ports, jeder ist nummeriert und jeder hat entweder formal oder durch Konvention einen anerkannten Zweck.
Wichtige Erkenntnisse
- Firewalls spielen eine wichtige Rolle beim Schutz eines Netzwerks vor Cyberbedrohungen. Zu diesem Zweck kontrollieren sie den ein- und ausgehenden Datenverkehr auf der Grundlage bestimmter Regeln.
- Bei herkömmlichen Netzwerk-Firewalls wird der Datenverkehr mithilfe von Paketfiltern sortiert, sodass nur erwünschter Datenverkehr durchgelassen wird, während alles andere blockiert wird. Daraus wird ersichtlich, wie wichtig eine korrekte Einrichtung zur Gewährleistung der Effektivität ist.
- Firewalls der nächsten Generation bieten eine verbesserte Sicherheit, indem sie den Inhalt von Netzwerkpaketen untersuchen. Dies ermöglicht eine präzisere Kontrolle über die Nutzung von Anwendungen und trägt zur Verringerung des Risikos verschiedener Bedrohungen bei.
- Verschiedene Arten von Firewalls, wie z. B. Webanwendungs-Firewalls, Datenbank-Firewalls und Cloud-basierte Firewalls, erfüllen bestimmte Sicherheitsanforderungen und bieten maßgeschneiderten Schutz für einzelne Bereiche eines Netzwerks.
- Zur Aufrechterhaltung einer effektiven Firewall sind regelmäßige Updates, sorgfältige Konfigurationen sowie die strikte Einhaltung von Sicherheitsverfahren erforderlich. So können häufige Fehler vermieden werden, die Schwachstellen entstehen lassen.
Arten von Firewalls
Bei verschiedenen Arten von Netzwerkverkehr wird jeweils ein bestimmter Port für diese Art von Traffic verwendet:
- Der HTTP-Webdatenverkehr (Hypertext Transfer Protocol) verwendet standardmäßig Port 80.
- Sicheres HTTP (HTTPS) verwendet Port 443.
- E-Mails, die über das Simple Mail Transfer Protocol (SMTP) zugestellt werden, verwenden Port 25.
- E-Mails, die über das Internet Message Access Protocol (IMAP) zugestellt werden, verwenden Port 143.
- Mitarbeiter, die von zu Hause aus arbeiten und eine Verbindung zu Ihrem Büro herstellen möchten, können das Remote Desktop Protocol (RDP, das über Port 3389 abgewickelt wird) verwenden.
Bei all diesen Ports sind Regeln erforderlich, damit die Firewall Ihre Sicherheitsrichtlinie auf den Datenverkehr anwenden kann, der versucht, in das Netzwerk einzudringen und es zu verlassen.
Der Schwerpunkt der Sicherheit liegt meistens auf dem Datenverkehr, der in das Netzwerk gelangt, aber eine Firewall kann genauso gut den Datenverkehr kontrollieren, der das Netzwerk verlässt.
Es gibt viele verschiedene Arten von Firewalls.
Im Folgenden werden die Unterschiede zwischen den wichtigsten Firewall-Gruppen erläutert.
Dabei werden nur Firewalls für Netzwerkgeräte berücksichtigt, nicht jedoch Software-Firewalls wie die in Microsoft Windows integrierte persönliche Firewall.
Traditionelle Netzwerk-Firewall
Netzwerk-Firewalls mit Paketfilterung sind die Art von Firewalls, die oben beschrieben wurde.
Sie bieten Schutz, indem sie unerwünschten Datenverkehr – der aus vielen kleinen Informationspaketen besteht – und verdächtige Verbindungen daran hindern, auf Ihr Unternehmensnetzwerk zuzugreifen.
Dabei wenden sie eine Reihe von Regeln auf Datenverkehr und Ports an und erlauben oder verweigern den Zugriff gemäß diesen Richtlinien.
Nur der Datenverkehr, der die Bedingungen der Regeln erfüllt, wird durch die Firewall gelassen. Diese Regeln basieren auf Kriterien wie Ursprungs-IP-Adresse, Ziel-IP-Adresse, Portnummer und Protokoll. Alles andere wird blockiert.
Diese Firewalls sind sehr effektiv – wenn sie richtig konfiguriert sind. Die meisten erfolgreichen Überwindungen von Firewalls sind auf eine Fehlkonfiguration der Firewall-Regeln oder veraltete Firmware zurückzuführen.
Dabei gilt: Je leistungsfähiger die Firewall, desto komplizierter ist ihre Einrichtung.
Next-Generation-Firewall
Diese Firewalls erweitern die Möglichkeiten einer Standard-Netzwerk-Firewall. Standard-Netzwerk-Firewalls arbeiten mit Paketfilterung und lassen Pakete durch, die den Regelkriterien entsprechen.
Alles andere wird herausgefiltert. Eine Firewall der nächsten Generation verwendet die Paketinspektion, um einen genaueren Blick auf die Art des Datenverkehrs zu werfen.
Wenn eine traditionelle Firewall ein Grenzschutzbeamter ist, der Ihren Background überprüft, Ihre Papiere inspiziert und Sie nach dem Grund Ihrer Reise fragt, dann macht eine Firewall der nächsten Generation all das, durchleuchtet Sie und durchsucht Ihr Gepäck.
Sie prüft den Inhalt jedes Netzwerkpakets und kombiniert diese Informationen mit den Firewall-Regeln, um eine fundiertere und detailliertere Entscheidung darüber zu treffen, ob der Datenverkehr zugelassen oder abgelehnt wird.
Zum Beispiel möchten Sie Ihren Mitarbeitern gestatten, während der Mittagspause im Internet zu surfen, aber nicht, dass sie Torrents herunterladen oder Videochats nutzen.
Mit Firewalls der nächsten Generation können Sie sehr genau festlegen, wie bestimmte Anwendungen genutzt werden dürfen. Man könnte z. B. Skype für Sprachanrufe zulassen, aber nicht für die Übertragung von Dateien.
Diese Geräte bieten ein sehr hohes Maß an Schutz, weshalb sie manchmal eine vorgeschriebene Anforderung sind, um eine Zertifizierung oder Konformität mit einem Standard wie dem Payment Card Industry Data Security Standard (PCI-DSS), dem Health Insurance Portability and Accountability Act (HIPAA) oder der ISO/IEC 27001-Reihe von Standards für das Informationssicherheitsmanagement zu erreichen.
Dank der granularen Kontrolle, die Sie über den Datenfluss in und aus Ihrem Netzwerk haben, können Sie sich vor einer größeren Anzahl von Bedrohungsarten schützen, darunter auch vor fehlgeleiteten und verärgerten Mitarbeitern.
Die Firewall der nächsten Generation ist in der Regel auch für andere Sicherheitsfunktionen geeignet.
Diese sind möglicherweise sofort oder als optionale Extras verfügbar, manchmal in Form eines Abo-Modells.
Zu diesen Zusatzangeboten gehören typischerweise die Einbruchserkennung, das Scannen von Malware und die Überprüfung eines Teils des verschlüsselten Datenverkehrs, oft unter einem Oberbegriff wie „Gateway-Schutz“.
Die Überprüfung eines Netzwerkpakets nimmt nur wenig Zeit in Anspruch. Bei einem Netzwerk mit hohem Datenaufkommen summieren sich diese kleinen Beträge jedoch und können zu Verzögerungen beim Durchsatz führen.
Damit es nicht zu einer Schwächung des Netzwerks kommt, sind möglicherweise mehr Firewalls und eine Lastverteilung oder schnellere, leistungsstärkere und teurere Einheiten erforderlich, die für hohe Datenvolumen ausgelegt sind.
Webanwendungs-Firewalls
Eine Web Application Firewall (WAF) besteht in der Regel aus einem Proxy-Server, der zwischen einer auf einem Server ausgeführten Anwendung und den Remote-Benutzern dieser Anwendung, die über das Internet auf die Anwendung zugreifen, geschaltet ist.
Der Proxy-Server fungiert als Nachrichtenvermittler, der Verbindungen von den Usern annimmt und in ihrem Namen mit der Anwendung auf dem Server interagiert.
Diese Vermittlung der Verbindungen bietet einen Schutzschild gegen Port-Scans und andere bösartige Bedrohungen, wie z. B. missgebildete Paketangriffe. Die missgebildeten Verbindungen schlagen am Proxy fehl, nicht auf dem Anwendungsserver.
Webanwendungs-Firewalls stellen einen sicheren Puffer zwischen dem Webanwendungsserver, vertrauenswürdigen Benutzern und böswilligen Bedrohungsakteuren dar.
Webanwendungs-Firewalls sind schlank und effizient aufgebaut, wobei der Schwerpunkt auf Einfachheit und Geschwindigkeit liegt.
Entgegen der Intuition macht die Einfachheit sie weniger anfällig für Angriffe und Sicherheitslücken als Webanwendungsserver selbst. Außerdem sind sie einfacher zu warten und mit Patches auf dem neuesten Stand zu halten.
Webanwendungen sind per Definition so konzipiert, dass sie über das Internet aufgerufen werden können, wobei eine beliebte Anwendung ein enormes Datenverkehrsvolumen aufweisen kann.
Für einige Organisationen ist dies Grund genug, ihre Unternehmens-Firewall-Anforderungen zu trennen und eine Firewall für das Netzwerk und eine Webanwendungs-Firewall für den Webanwendungs-Datenverkehr zu verwenden.
Eine Firewall für den Webdatenverkehr mit hohem Volumen ist günstiger als eine Netzwerk-Firewall mit hohem Volumen.
Datenbank-Firewalls
Hierbei handelt es sich um einen Sonderfall von Webanwendungs-Firewalls, die auf die Bedürfnisse einer internetbasierten Datenbankanwendung zugeschnitten sind.
Zu ihren Merkmalen gehören Funktionen, die datenbankspezifische Angriffe wie SQL-Injection und Cross-Site-Scripting (XSS) erkennen und neutralisieren.
Datenpannen sind in jeder Hinsicht schlecht, da sie zu Rufschädigung, mangelndem Vertrauen in die Nutzerbasis und möglichen Bußgeldern von Aufsichtsbehörden führen.
Es ist daher verständlich, dass alle angemessenen Maßnahmen ergriffen werden müssen, um Datenbanken und die darin enthaltenen Daten zu schützen.
Datenbank-Firewalls enthalten in der Regel ein Dashboard, über das der Datenverkehr und die Datenbankzugriffe angezeigt, überprüft und gemeldet werden können.
Je nach Art der Daten in der Datenbank kann dies dazu beitragen, die Einhaltung von Standards und anderen gesetzlichen Anforderungen nachzuweisen.
Unified Threat Management-Geräte
Eine UTM-Appliance (Unified Threat Management) vereint die Funktionen verschiedener Firewalls und Sicherheitsgeräte in einem Gerät.
Eine typische Auswahl an Funktionen umfasst:
- Eine traditionelle Firewall;
- Ein Angriffserkennungssystem;
- Scannen von Paketen auf schädliche Nutzlasten, Viren und Malware;
- Blacklisting von Webadressen, um Mitarbeiter daran zu hindern, auf gesperrte Pages wie bekannte Phishing-Websites zuzugreifen.
Diese Geräte sind teurer als eine herkömmliche Firewall und verursachen in der Regel laufende Kosten für Abos zum Erhalt von Antivirus-Updates für die Paket-Scan-Funktionen.
Sie sind jedoch günstiger als eine Reihe dedizierter Top-End-Lösungen, um den gleichen Umfang an Schutz zu erreichen.
Dedizierte Geräte sind natürlich überlegen, aber für einige Organisationen sind sie einfach zu teuer. Eine Unified Threat Management Appliance ist eine gute Alternative.
Cloud-basierte Firewalls
Diese lassen sich einfach als Firewalls-as-a-Service beschreiben. Es handelt sich um Cloud-gehostete Firewalls, die von spezialisierten Firewall-Anbietern bereitgestellt werden.
Sie sind hochverfügbar, skalierbar, können große Verkehrsspitzen bewältigen und bieten möglicherweise einen gewissen Schutz vor Denial-of-Service-Angriffen durch Datenverkehr.
Sie werden von Firewall-Experten gewartet und konfiguriert, es ist also kein Spezialist für diese Nische im Unternehmen erforderlich.
Die lokalen Änderungen sind minimal und beschränken sich oft auf die Weiterleitung des Datenverkehrs von Ihren Unternehmens-Routern an die Cloud-basierte Firewall.
Remote- oder mobile User können sich über ein Virtual Private Network (VPN) oder über einen Netzwerk-Proxy mit der Firewall verbinden.
Cloud-basierte Firewalls eignen sich besonders für Unternehmen mit mehreren Standorten. Jeder Standort kann durch dieselbe Firewall-Technologie geschützt werden.
Dabei entfällt die Notwendigkeit, den gesamten Datenverkehr über eine zentrale lokale Firewall zu leiten oder mehrere Firewalls für die gesamte IT-Umgebung zu kaufen, zu konfigurieren und bereitzustellen.
Container-Firewalls
Container-Firewalls sind speziell für die Herausforderungen des virtualisierten Offsite-Computing in Containern ausgelegt.
Sie funktionieren sehr ähnlich wie eine herkömmliche Netzwerk-Firewall, müssen jedoch mit der zusätzlichen Komplexität umgehen können, die sich aus der Verarbeitung des Datenverkehrs innerhalb der Container-Umgebung sowie des eingehenden Datenverkehrs aus der nicht containerisierten Außenwelt und des an diese nicht containerisierte Außenwelt gesendeten Netzwerkverkehrs ergibt.
Da die meisten Container-Hypervisoren unter Linux laufen, können viele Container mit einer softwarebasierten Firewall ausgestattet werden.
Bei mehr als einer Handvoll zu verwaltender Container wird der Aufwand für die Wartung einer Firewall für jeden einzelnen Container jedoch untragbar.
Netzwerksegmentierung-Firewalls
Eine Netzwerksegmentierungs-Firewall dient zum Schutz von Teilbereichen innerhalb des Unternehmensnetzwerks, die für die Bereitstellung von Funktionen, Teams, Abteilungen oder andere Trennungsanforderungen herausgelöst wurden.
Damit werden häufig intern Bereiche abgegrenzt, in denen mit sensiblen Daten, wie z. B. Zahlungskartendaten, gearbeitet wird. Zusammen mit anderen Maßnahmen, wie z. B. physischen Zugangskontrollen, können sie Teil des Schutzes zur Erfüllung eines Standards wie PCI-DSS sein.
Außerdem werden sie an Subnetzgrenzen eingesetzt, um wie Schotten in einem U-Boot zu wirken. Wenn es in einem Bereich zu einem Durchbruch kommt, können sie zur Eindämmung oder Verlangsamung der Ausbreitung des Eindringlings oder der Infektion beitragen.
Netzwerksegmentierungs-Firewalls sind am vorteilhaftesten für große Organisationen oder Unternehmen mit umfangreichen und komplexen Netzwerken, die schwer zu sichern sind.
Grundlegende Firewall-Fehler
Die Wirksamkeit einer Firewall kann durch banale Fehler untergraben werden. Ihre glänzende – und möglicherweise sehr teure – Firewall funktioniert möglicherweise nicht so, wie Sie denken, wenn Sie oder Ihre Mitarbeiter in diese Fallen tappen.
Fazit
Unweigerlich geht es unterm Strich um Menschen. Sie brauchen die Zustimmung der obersten Führungsebene zum Budget und Mitarbeiter an vorderster Front, die die Firewalls konfigurieren, einsetzen und warten.
Die Instandhaltung erfordert eine Steuerung in Form von Zeitplänen und Verfahren. Es werden Mitarbeiter benötigt, die diese erstellen, einführen und befolgen.
Der Hadrianswall wäre ohne Befehle, Disziplin und gut ausgebildete Legionäre nutzlos gewesen.
