Firewallkonzept

Bei den Firewalls unterscheidet man vom Konzept her drei Arten des Zugangs: die Paket-Filterung, das Circuit Relay und den Application Gateway. Darüber hinaus gibt es High-Level-Security-Systeme, die sich aus den verschiedenen Konzepten zusammensetzen.


Die verschiedenen Firewallkonzepte

Eine einfache Firewall-Konfiguration arbeitet mit Paketfilterung, bei der die ein- und ausgehenden Datenpakete auf der Sicherungsschicht, der Netzwerkschicht und der Transportschicht anhand einer vorhandenen Tabelle analysiert und kontrolliert werden. Bei dieser Konfiguration interpretiert ein Packet Filter den Inhalt der Datenpakete und verifiziert, ob die Daten in den entsprechenden Headern der Kommunikationssteuerungsschicht den definierten Regeln entsprechen. Die Packet Filter sind transparent in die Leitung eingefügt.

Firewall-Architekturen

Firewall-Architekturen

Das Circuit-Relay-Konzept arbeitet mit einem Subnetz und zwei Routern, einem externen und einem internen Router und einem Host als Verbindungspartner, über den die Kommunikation abläuft. Das Circuit-Relay-Konzept ist mit dem Packet Filter vergleichbar, sie arbeiten allerdings auf einer höheren Ebene des Protokollstacks. Der Rechner, der eine Verbindung aufbauen will, muss sich beim Host anmelden und eine Zugriffsberechtigung nachweisen. Dadurch kann ein externer Anwender keine Rückschlüsse auf die Netzstrukturen schließen.

Die sicherste, aber auch aufwändigste Alternative eines Firewalls stellt der Application Gateway dar, der hinreichende Sicherheitsmechanismen über mehrere Schichten realisiert. Er kann die Netze logisch und physikalisch entkoppeln und erwartet von jedem Benutzer eine vorherige Identifikation und Authentifikation. Das Application Gateway empfängt die Datenpakete an den entsprechenden Ports. Soll nur ein Dienst über den Port möglich sein, wird auf dem Application Server eine Software aktiv, die das Paket von einer Netzwerkseite auf die andere Netzwerkseite überträgt, ein so genannter Proxy.

Kommunikation über den Proxy

Aus Sicht des zugreifenden Benutzers sieht es so aus, als würde er mit dem eigentlichen Server-Prozess des Dienstes auf einem Zielrechner kommunizieren. Tatsächlich kommuniziert der Benutzer aber mit dem Proxy-Server, dem Stellvertreter, der nach beiden Seiten als Vermittler auftritt, so dass niemals eine Verbindung zwischen Zielrechner und Besucher zustande kommt. Jeder Proxy auf dem Application Gateway kann speziell für den Dienst, für den er zuständig ist, weitere Sicherheitsdienste anbieten. Bedingt durch den jeweiligen speziellen Proxy und das Wissen um den Kontext eines speziellen Dienstes ergeben sich im Application Gateway umfangreiche Sicherungs- und Protokollierungsmöglichkeiten.

Entsprechend der Vielzahl der angebotenen Dienste gibt es anwendungsspezifische Gateways beispielsweise für Telnet, E-Mail, HTTP u.a.

Ein High-Level-Firewall-System fasst mehrere Firewallkonzepte intelligent zusammen und garantiert so ein Höchstmaß an Sicherheit.

Informationen zum Artikel
Deutsch: Firewallkonzept
Englisch: firewall design
Veröffentlicht: 08.11.2013
Wörter: 399
Tags: #Organisatorischer Schutz #Netzwerk-Sicherheitskonzepte
Links: active, Anwendungsserver, Apps, Authentifizierung, content