Firewall-Konzepte

Lernfeld: Netzwerke und Dienste bereitstellen

Wie funktionieren Firewalls?

Das Grundprinzip: Kontrolle des Datenverkehrs

Stell dir eine Firewall wie eine sicherheitsbeauftragte Person an einem wichtigen Gebäudeeingang vor. Diese Person prüft sorgfältig anhand einer Regelliste, wer das Gebäude betreten oder verlassen darf. Ganz ähnlich überwacht eine Firewall den ein- und ausgehenden Datenverkehr zwischen verschiedenen Netzwerken – beispielsweise zwischen deinem lokalen Netzwerk (LAN) und dem Internet oder zwischen unterschiedlichen Abteilungen innerhalb eines Unternehmens. Anhand von vordefinierten Sicherheitsregeln entscheidet sie, welche Datenpakete passieren dürfen und welche blockiert werden müssen. Das primäre Ziel ist es, das interne Netzwerk vor unbefugtem Zugriff und potenziellen Bedrohungen von außen zu schützen.

Paketfilter-Firewalls

Eine Paketfilter-Firewall agiert wie Sicherheitspersonal, das bei jedem Gast prüft, ob dessen Name auf der Gästeliste steht. Sie untersucht von jedem einzelnen Datenpaket die Header-Informationen – das sind quasi die "Adressaufkleber" der Datenpakete, die Informationen wie Quell- und Ziel-IP-Adresse, Portnummer und das verwendete Protokoll (z.B. TCP, UDP) enthalten. Diese Informationen werden mit einem vordefinierten Regelsatz abgeglichen. Entspricht ein Paket den Regeln, darf es passieren; andernfalls wird es blockiert. Sie operiert auf der Netzwerk- und Transportschicht des TCP/IP-Modells und trifft Entscheidungen für jedes Paket isoliert (zustandslos), ohne den Verbindungskontext zu berücksichtigen.

Stateful-Inspection-Firewalls

Eine Stateful-Inspection-Firewall (zustandsorientierte Firewall) ist wie aufmerksames Sicherheitspersonal, das nicht nur den Ausweis prüft, sondern sich auch merkt, welche Gäste bereits im Club sind und wer mit wem eine Unterhaltung führt. Diese Firewalls gehen über die reine Paketfilterung hinaus, indem sie den Zustand aktiver Verbindungen verfolgen (z.B. ob eine TCP-Verbindung korrekt mit dem Drei-Wege-Handshake – SYN, SYN-ACK, ACK – aufgebaut wurde). Wenn ein Datenpaket eintrifft, prüft die Firewall nicht nur dessen Header, sondern auch, ob es zu einer bekannten und erlaubten Verbindung gehört. Antwortpakete zu einer von innen initiierten Verbindung werden oft automatisch durchgelassen, auch ohne explizite Regel für diese externe Adresse. Im Gegensatz zu rein zustandslosen Paketfiltern verstehen Stateful Firewalls also den Kontext der Kommunikation und können so beispielsweise gefälschte Pakete, die nicht zu einer legitimen Verbindung passen, besser erkennen.

Next-Generation Firewalls (NGFW)

Eine Next-Generation Firewall (NGFW) ist vergleichbar mit einer hochqualifizierten Sicherheitsleitung, die nicht nur Ausweise und Gästelisten prüft und als vermittelnde Instanz agiert, sondern zusätzlich über fortschrittliche Überwachungssysteme verfügt. NGFWs kombinieren traditionelle Firewall-Funktionen mit erweiterten Sicherheitsmechanismen. Dazu gehören typischerweise:

  • Deep Packet Inspection (DPI): Eine tiefgehende Analyse der tatsächlichen Dateninhalte der Pakete, nicht nur der Header-Informationen.
  • Intrusion Prevention Systems (IPS): Die Fähigkeit, bekannte Angriffsmuster und Malware-Signaturen im Datenverkehr zu erkennen und aktiv zu blockieren.
  • Application Awareness and Control: Die Erkennung und Steuerung spezifischer Anwendungen (z.B. Social Media, Streaming-Dienste, Filesharing-Dienste), unabhängig vom verwendeten Port.
  • Threat Intelligence Integration: Die Nutzung aktueller Informationen über Bedrohungen aus globalen Datenbanken, um auf neue Angriffsvektoren reagieren zu können.
    NGFWs bieten somit einen umfassenderen Schutz, indem sie über die klassischen Filterkriterien hinausgehen und auch den Inhalt und das Verhalten des Datenverkehrs analysieren.

Wie werden Firewall-Regeln erstellt?

Firewall-Regeln: Das digitale Regelwerk

Firewall-Regeln sind das Herzstück jeder Firewall und bestimmen präzise, wie sie den Netzwerkverkehr behandelt. Jede Regel besteht typischerweise aus mehreren Komponenten:

  • Kriterien: Diese definieren, auf welche Art von Verkehr die Regel zutrifft. Gängige Kriterien sind:
    • Quell-IP-Adresse: Von welcher IP-Adresse (oder welchem Netzwerkbereich) kommt das Paket?
    • Ziel-IP-Adresse: Zu welcher IP-Adresse (oder welchem Netzwerkbereich) soll das Paket?
    • Quell-Port: Von welchem Port des sendenden Geräts stammt das Paket?
    • Ziel-Port: Für welchen Port des empfangenden Geräts ist das Paket bestimmt (z.B. Port 80 für HTTP, Port 443 für HTTPS)?
    • Protokoll: Welches Netzwerkprotokoll wird verwendet (z.B. TCP, UDP, ICMP)?
  • Aktion: Diese legt fest, was mit Paketen geschehen soll, die den Kriterien entsprechen. Übliche Aktionen sind:
    • Allow/Permit (Erlauben): Das Paket darf passieren.
    • Deny/Block (Blockieren/Verweigern): Das Paket wird blockiert, und oft wird eine Fehlermeldung an die absendende Instanz geschickt.
    • Drop/Reject (Verwerfen): Das Paket wird kommentarlos blockiert; die absendende Instanz erhält keine Rückmeldung. Dies kann Angreifende im Unklaren darüber lassen, ob das Ziel überhaupt existiert.
    • Log (Protokollieren): Das Ereignis wird in einer Log-Datei aufgezeichnet.

Ein Beispiel für eine einfache Regel könnte lauten: "Erlaube eingehenden TCP-Verkehr von jeder Quell-IP-Adresse zum Ziel-Port 443 (HTTPS) auf unserem Webserver mit der IP-Adresse 192.168.1.10 und protokolliere den Zugriff."

Regelreihenfolge und Default Deny: Die Logik zählt

Die Reihenfolge der Regeln in einem Firewall-Regelsatz ist extrem wichtig. Firewalls arbeiten die Regeln typischerweise von oben nach unten ab. Sobald eine Regel auf ein Datenpaket zutrifft, wird die entsprechende Aktion ausgeführt, und die nachfolgenden Regeln werden für dieses Paket meist nicht mehr geprüft. Daher müssen spezifischere Regeln (z.B. das Blockieren einer bestimmten bösartigen IP-Adresse) vor allgemeineren Regeln (z.B. das Erlauben von Web-Zugriff für alle) stehen.

Ein fundamentales Sicherheitsprinzip ist das "Default Deny"-Prinzip (Standardmäßig Verweigern). Das bedeutet: Alles, was nicht explizit durch eine Regel erlaubt ist, wird standardmäßig blockiert. Am Ende eines Regelsatzes steht oft eine implizite oder explizite Regel, die jeglichen nicht zuvor erlaubten Verkehr verwirft. So wird sichergestellt, dass nur explizit erlaubter Verkehr das Netzwerk passiert, was die Angriffsfläche minimiert. Es ist wie bei einer exklusiven Party: Nur wer auf der Gästeliste steht, kommt rein; alle anderen werden abgewiesen.

Lernziele

  • das grundlegende Funktionsprinzip einer Firewall erklären, indem die Kontrolle des ein- und ausgehenden Netzwerkverkehrs basierend auf vordefinierten Sicherheitsregeln und die Durchsetzung von Sicherheitsrichtlinien zwischen verschiedenen Netzwerksegmenten beschrieben wird.
  • die verschiedenen Arten von Firewalls vergleichen, indem Paketfilter-Firewalls, Stateful-Inspection-Firewalls, Proxy-Firewalls (Application Layer Gateways) und Next-Generation Firewalls (NGFW) hinsichtlich ihrer Funktionsweise, Filterkriterien (z.B. IP-Adressen, Ports, Protokolle, Anwendungsdaten, Bedrohungssignaturen) und typischen Einsatzszenarien gegenübergestellt werden.
  • die Logik und den Aufbau von Firewall-Regelsätzen interpretieren, indem die Bedeutung von Kriterien wie Quell-/Ziel-IP-Adresse, Quell-/Ziel-Port, Protokoll und die Aktionen (z.B. erlauben, blockieren, verwerfen, protokollieren) sowie die Wichtigkeit der Regelreihenfolge und das Prinzip des 'Default Deny' analysiert werden.
  • die Funktionsweise von zustandslosen (stateless) und zustandsbehafteten (stateful) Paketfilter-Firewalls differenzieren, indem die Unterschiede in der Paketprüfung (isolierte Pakete vs. Berücksichtigung des Verbindungszustands basierend auf der Analyse von TCP-Verbindungen) und deren Auswirkungen auf Sicherheit und Performance analysiert werden.
< Zurück zum Knowledge-Hub Fachinformatik

Genug gelesen? Zeit, es wirklich zu können!

Die Theorie aus diesem Artikel ist die perfekte Basis. In der asyoube Lernplattform wendest du dieses Wissen an, bekommst persönliches Feedback und bereitest dich interaktiv auf deine Ausbildung oder deine Prüfungen vor.

Entdecke die asyoube Lernplattform

Für Ausbilder & Unternehmen

Möchten Sie Ihr gesamtes Team mit asyoube ausbilden? Entdecken Sie unsere B2B-Lösung mit einfacher Verwaltung, Fortschritts-Tracking für Ihre Azubis und attraktiven Team-Preisen.

Mehr über asyoube für Unternehmen erfahren