Firewallkonzept

Bei den Firewalls unterscheidet man vom Konzept her verschiedene Zugangstechniken wie die Paketfilterung, die Stateful Inspection Firewall (SIF) und die Proxy-Firewall. Darüber hinaus gibt es interessante Security-Systeme, die sich aus verschiedenen Firewallkonzepten zusammensetzen und den von Cloud-Service-Providern angebotenen Cloud-Dienst Firewall-as-a-Service (FWaaS).


Die verschiedenen Firewallkonzepte

Eine einfache Firewall-Konfiguration arbeitet mit Paketfilterung, bei der die ein- und ausgehenden Datenpakete auf der Sicherungsschicht, der Netzwerkschicht und der Transportschicht anhand einer vorhandenen Tabelle analysiert und kontrolliert werden. Bei dieser Konfiguration interpretiert ein Packet Filter den Inhalt der Datenpakete und verifiziert, ob die Daten in den entsprechenden Headern der Kommunikationssteuerungsschicht den definierten Regeln entsprechen. Die Packet Filter sind transparent in die Leitung eingefügt.

Firewall-Architekturen

Firewall-Architekturen

Das Circuit-Relay-Konzept arbeitet mit einem Subnetz und zwei Routern, einem externen und einem internen Router sowie einem Host als Verbindungspartner, über den die Kommunikation abläuft. Das Circuit-Relay-Konzept ist mit dem Packet Filter vergleichbar, sie arbeiten allerdings auf einer höheren Ebene des Protokollstacks. Der Rechner, der eine Verbindung aufbauen will, muss sich beim Host anmelden und eine Zugriffsberechtigung nachweisen. Dadurch kann ein externer Anwender keine Rückschlüsse auf die Netzstrukturen schließen.

Die sicherste, aber auch aufwändigste Alternative eines Firewalls stellt der Application Gateway dar, der hinreichende Sicherheitsmechanismen über mehrere Schichten realisiert. Er kann die Netze logisch und physikalisch entkoppeln und erwartet von jedem Benutzer eine vorherige Identifikation und Authentifikation. Das Application Gateway empfängt die Datenpakete an den entsprechenden Ports. Soll nur ein Dienst über den Port möglich sein, wird auf dem Application Server eine Software aktiv, die das Paket von einer Netzwerkseite auf die andere Netzwerkseite überträgt, ein Proxy.

Eine Stateful Inspection Firewall (SIF) arbeitet zustandsorientiert und überprüft jede Verbindung über das TCP-Protokoll während der gesamten Sitzungsdauer. Der Datenverkehr erfolgt auf Basis vorliegender Daten von früheren Verbindungen. SIF-Firewalls erstellen Verbindungstabellen mit wichtigen Verbindungsdaten und vergleichen die Verbindungsdaten der euen Verbindungen mit den vorhandenen Verbindungstabellen.

Kommunikation über den Proxy

Aus Sicht des zugreifenden Benutzers sieht es so aus, als würde er mit dem eigentlichen Server-Prozess des Dienstes auf einem Zielrechner kommunizieren. Tatsächlich kommuniziert der Benutzer aber mit dem Proxy-Server, dem Stellvertreter, der nach beiden Seiten als Vermittler auftritt, so dass niemals eine Verbindung zwischen Zielrechner und Besucher zustande kommt. Jeder Proxy auf dem Application Gateway kann speziell für den Dienst, für den er zuständig ist, weitere Sicherheitsdienste anbieten. Bedingt durch den jeweiligen speziellen Proxy und das Wissen um den Kontext eines speziellen Dienstes ergeben sich im Application Gateway umfangreiche Sicherungs- und Protokollierungsmöglichkeiten.

Entsprechend der Vielzahl der angebotenen Dienste gibt es anwendungsspezifische Gateways beispielsweise für Telnet, E-Mail, HTTP u.a. Ein High-Level-Firewall-System fasst mehrere Firewallkonzepte intelligent zusammen und garantiert so ein Höchstmaß an Sicherheit.

Informationen zum Artikel
Deutsch: Firewallkonzept
Englisch: firewall design
Veröffentlicht: 16.02.2021
Wörter: 454
Tags: Org. Schutz NW-Sicherheitskonzepte
Links: active, Anwendungsserver, Apps, Authentifizierung, Cloud-Dienst