Unter Firewalls versteht man Netzwerkkomponenten, über die ein internes, privates Netzwerk an ein öffentliches Netzwerk angekoppelt wird.
Die Aufgabe von Firewalls ist es, durch verschiedene Mechanismen die Sicherheit im internen Netzwerk zu erhöhen. Dazu gehören:
- ein möglichst ungestörter Zugriff auf das öffentliche Netzwerk
- die Verhinderung eines unberechtigten Zugriff auf das eigene Netzwerk
- die Beschränkung von extern nutzbaren Diensten
- die Beschränkung auf eine begrenzte Zahl von Kommunikationsrechnern
- die Authentifizierung und Identifikation sowie die Datenverschlüsselung
Eine Firewall stellt den einzigen Zugang des eigenen Netzwerkes zum öffentlichen Netzwerk dar. Sie besteht in der Regel aus mehreren Hard- und Software-Komponenten, die je nach Benutzeranforderung an die Dienste und die Sicherheit individuell konfiguriert wird. Durch die Konzentration des Zugangs auf eine einzelne Komponente wird das Sicherheits-Management, ebenso wie die Überwachungs- und Kontrollfunktionen, wesentlich vereinfacht.
Firewall-Systeme arbeiten auf den Schichten 2 bis 7 des OSI-Referenzmodells. Werden sie beispielsweise in MAC-Layer-Brigdes verwendet, können sie beliebige Broadcast- und Multicastpakete aus dem Datenstrom ausfiltern und somit die netzwerkweite Ausbreitung von Broadcaststürmen verhindern.
Für die Konstruktion einer Firewall stehen grundsätzlich zwei Elemente zur Verfügung:
- Proxys
- Paketfilter
Proxys
Ein Proxy dient als eine Art Zwischenspeicher vom lokalen Netz zum Internet. Anfragen aus dem lokalen Netz werden an den Proxy gerichtet, der diese dann stellvertretend ausführt und dem Client bereitstellt. Wiederholte gleichartige Anfragen können dann direkt durch den Proxy beantwortet werden, ohne erneut eine Verbindung ins Internet aufbauen zu müssen. Diesem Proxy kann man Zufgriffskontrollstrategien unterwerfen.
(z.B. können bestimmte (unsichere/unerwünschte) Internetadressen geblockt werden)Paketfilter
Paketfilter sind Router, die das Routing erst zum Einsatz bringen, wenn vorgegebene Regeln (Filter Rules) dies zulassen. Paketfilter kontrollieren die einzelnen Abschnitte in den (TCP/UDP/ICMP) Headern und vergleichen diese mit dem Regelwerk.
(z.B. können alle anfallenden DNS Anfragen nur dann zugelassen werden, wenn sie an den Nameserver im Intranet auf Port 53 gerichtet sind)Der Einsatz einer Firewall ist nicht gegen alle Bedrohungen aus dem Internet geeignet. Dazu zählen beispielsweise:
- Kommunikationsbeziehungen die an der Firewall vorbeigehen (z.B. zusätzliche Modemeinwahl einer Arbeitsstation im Intranet)
- Computerviren
- bedingt bei Trojanern
- bedingt bei völlig neuartigen Angriffstechniken
- bedingt bei Angriffen aus dem eigenen Netzwerk