Navigation |
Verschiedene Arten von FirewallsPaket-Filtering
Paket-Filtering- oder Netzwerk-Layer-Firewalls (Layer 3) treffen Entscheidungen auf der Basis von Quell- und Zieladressen und Ports in IP-Paketen. Diese Grundform von Firewall-Schutz ist tatsächlich nicht mehr als ein einfacher Sortieralgorithmus. Im allgemeinen ermöglichen Ihnen diese Firewalls etwas Kontrolle durch die Verwendung von Zugriffslisten. Paket-Filtering kann auch oft von anderen Netzwerkgeräten wie Routern ausgeführt werden. Üblicherweise erhalten Sie dies auch beim Herunterladen von kostenloser Firewall-Software.
Paket-Filtering funktioniert gut in kleinen Netzwerken. Bei der Anwendung in grösseren Netzwerken kann es jedoch sehr komplex und schwer zu konfigurieren sein. Paket-Filtering kann auch nicht für inhaltsbasierendes Filtern verwendet werden. Es kann beispielsweise auch keine E-Mail-Anhänge entfernen. Diese Art von Firewall hat wenig oder keine Aufzeichnungsmöglichkeit. Damit lässt es sich schwer bestimmen, ob eine Attacke stattgefunden hat.
Proxy
Die ausgeklügelteren Proxy-Firewalls oder Firewalls auf Applikationsebene gehen besonders mit Netzwerkverkehr um. Sie leiten alle Pakete durch eine separate “Proxy”-Applikation, die Daten auf einer Anwendungsebene untersucht.
Eine Proxy-Firewall erlaubt keine direkte Verbindung zwischen Ihrem Netzwerk und dem Internet. Vielmehr nimmt sie Anforderungen an und führt sie im Namen des Benutzers aus. Ein Beispiel: wenn Sie sich hinter einer Proxy-Firewall befinden und http://www.blackbox.com eingeben, geht die Anfrage an die Firewall. Diese nimmt die Seite in Ihrem Namen an und gibt sie an Sie weiter. Dieser Prozess ist für Benutzer transparent.
Mit diesem Proxy-System können Sie eine Firewall so einrichten, dass diese Pakete auf der Basis von Adressen, Port- und Applikationsinformationen annimmt bzw. verwirft. Damit können Sie die Firewall beispielsweise so einstellen, dass sie alle eingehenden Pakete, die zu EXE-Dateien gehören, herausfiltert, da EXE-Dateien oft mit Viren und Würmern verseucht sind. Proxy-Firewalls führen oft sehr detaillierte Log-Dateien einschliesslich Informationen zu den Datenportionen von Paketen.
Proxy-Firewalls sind langsamer und benötigen mehr Hardware als das Paket-Filtering. Ihre grössere Flexibilität jedoch ermöglicht Ihnen die Anwendung von strengeren Sicherheitsvorkehrungen.
Stateful Inspection
Wird eine Firewall als “Stateful-Inspection”-Firewall bezeichnet, bedeutet dies, dass sie Pakete wie auch beim Paket-Filtering auf Netzwerkebene untersucht. Sie wendet jedoch nicht nur einfache Filterregeln an, sondern blockiert nicht autorisierten Verkehr auf eine intelligente Art und Weise. Sie analysiert Daten, um sicherzustellen, dass Verbindungsanfragen in der richtigen Reihenfolge auftreten. Diese Firewall behält jede Kommunikationssitzung von Anfang bis Ende im Auge und erzwingt festgelegte Regeln basierend auf Protokoll, Port und Quell- und Zieladresse. Durch die Beibehaltung aller Sitzungsdaten kann die Firewall schnell verifizieren, dass neue eingehende Pakete den Kriterien für autorisierten Verkehr entsprechen. Pakete, die nicht Teil einer autorisierten Sitzung sind, werden abgewiesen.
Stateful-Inspection-Firewalls haben den Vorteil, dass sie klug und schnell sind.
Hybrid
Paket-basierende, Proxy- und Stateful-Inspection-Firewalls waren völlig unterschiedliche Typen. Heute jedoch sind nahezu alle modernen Firewall-Appliances Misch- oder Hybridtypen. Sie bieten Firewallschutz auf der Basis von Paketen, als Proxy- und Stateful-Inspection-Firewalls.
|