asyoube logo asyoube

Firewall-Konzepte

6 min 2 Abschnitte
Was du nach diesem Konzept kannst 4

  1. Du bist in der Lage, die Logik und den Aufbau von Firewall-Regelsätzen zu interpretieren ,

    indem die Bedeutung von Kriterien wie Quell-/Ziel-IP-Adresse, Quell-/Ziel-Port, Protokoll und die Aktionen (z.B. erlauben, blockieren, verwerfen, protokollieren) sowie die Wichtigkeit der Regelreihenfolge und das Prinzip des 'Default Deny' analysiert werden.

  2. Du bist in der Lage, das grundlegende Funktionsprinzip einer Firewall zu erklären ,

    indem die Kontrolle des ein- und ausgehenden Netzwerkverkehrs basierend auf vordefinierten Sicherheitsregeln und die Durchsetzung von Sicherheitsrichtlinien zwischen verschiedenen Netzwerksegmenten beschrieben wird.

  3. Du bist in der Lage, die Funktionsweise von zustandslosen (stateless) und zustandsbehafteten (stateful) Paketfilter-Firewalls zu differenzieren ,

    indem die Unterschiede in der Paketprüfung (isolierte Pakete vs. Berücksichtigung des Verbindungszustands basierend auf der Analyse von TCP-Verbindungen) und deren Auswirkungen auf Sicherheit und Performance analysiert werden.

  4. Du bist in der Lage, die verschiedenen Arten von Firewalls zu vergleichen ,

    indem Paketfilter-Firewalls, Stateful-Inspection-Firewalls, Proxy-Firewalls (Application Layer Gateways) und Next-Generation Firewalls (NGFW) hinsichtlich ihrer Funktionsweise, Filterkriterien (z.B. IP-Adressen, Ports, Protokolle, Anwendungsdaten, Bedrohungssignaturen) und typischen Einsatzszenarien gegenübergestellt werden.

Wie schützen Firewalls ein Netzwerk?

Das Grundprinzip der Firewall

Stell dir eine Firewall wie eine strenge Grenzkontrolle zwischen zwei Ländern vor. In der IT überwacht sie den gesamten ein- und ausgehenden Netzwerkverkehr zwischen verschiedenen Netzwerksegmenten – beispielsweise zwischen dem öffentlichen, unsicheren Internet und deinem internen Firmennetzwerk (LAN) oder zwischen verschiedenen VLANs.

Basierend auf einem strengen Set an vordefinierten Sicherheitsregeln entscheidet die Firewall bei jedem einzelnen Datenpaket, ob es die Grenze passieren darf oder abgewiesen wird. Ihr primäres Ziel ist es, interne Systeme vor unbefugten Zugriffen zu schützen und die Sicherheitsrichtlinien (Security Policies) eines Unternehmens technisch auf Netzwerkebene durchzusetzen.

Paketfilter-Firewalls: Die zustandslose Prüfung (Stateless)

Eine klassische Paketfilter-Firewall arbeitet zustandslos (stateless). Sie agiert wie Sicherheitspersonal, das bei jedem einzelnen Gast stur den Ausweis mit einer Liste abgleicht, ohne sich zu merken, wer bereits das Gebäude betreten hat.

Sie untersucht jedes Datenpaket völlig isoliert anhand seiner Header-Informationen auf der Netzwerk- und Transportschicht. Geprüft werden ausschließlich:

  • Quell- und Ziel-IP-Adresse
  • Quell- und Ziel-Port
  • Protokoll (z. B. TCP, UDP, ICMP)

Da sie den Kontext einer Verbindung nicht kennt, arbeitet sie extrem schnell und ressourcenschonend. Der Nachteil: Sie ist anfälliger für raffinierte Angriffe, da sie beispielsweise gefälschte Antwortpakete nicht als solche erkennt, wenn die Header-Daten formal zur Regel passen.

Stateful-Inspection-Firewalls: Die zustandsbehaftete Prüfung

Eine Stateful-Inspection-Firewall arbeitet intelligenter: Sie ist zustandsbehaftet (stateful) und merkt sich den Kontext aktiver Verbindungen. Wenn ein internes Gerät eine Webseite aufruft, registriert die Firewall den korrekten Verbindungsaufbau (z. B. den TCP-Three-Way-Handshake: SYN, SYN-ACK, ACK).

Die Firewall speichert diese Sitzung in einer internen Zustandstabelle (State Table). Treffen nun Antwortpakete vom externen Webserver ein, prüft die Firewall in der Tabelle, ob diese zu einer bereits etablierten, legitimen Verbindung gehören. Ist das der Fall, lässt sie die Pakete automatisch passieren – auch ohne explizite Erlaubnisregel für den Rückweg. Das erhöht die Sicherheit massiv, da unaufgeforderte Pakete von außen ohne passenden Verbindungskontext sofort blockiert werden.

Proxy-Firewalls: Der sichere Mittelsmann

Eine Proxy-Firewall (auch Application Layer Gateway genannt) agiert als echter Stellvertreter. Stell dir vor, du gibst einen Brief an eine Assistenzkraft, die ihn öffnet, auf verbotene Inhalte liest, in einen neuen Umschlag steckt und erst dann für dich absendet.

Es gibt hier keine direkte Netzwerkverbindung zwischen Sender und Empfänger. Das anfragende Gerät baut eine Verbindung zum Proxy auf, und der Proxy baut eine neue, eigene Verbindung zum Zielserver auf. Dadurch kann der Proxy den Datenverkehr bis auf die Anwendungsebene (z. B. HTTP-Befehle) tiefgreifend analysieren und filtern. Dies bietet extrem hohe Sicherheit und verschleiert die interne Netzwerkstruktur, kostet durch die intensive Prüfung aber Performance.

Next-Generation Firewalls (NGFW): Das moderne Sicherheitszentrum

Eine Next-Generation Firewall (NGFW) kombiniert klassische Firewall-Funktionen mit hochmodernen Sicherheitsmechanismen. Sie ist der heutige Standard in Unternehmensnetzwerken. Zu ihren Kernfunktionen gehören:

  • Deep Packet Inspection (DPI): Sie analysiert nicht nur den Header, sondern den tatsächlichen Inhalt (Payload) der Datenpakete auf Schadcode.
  • Intrusion Prevention System (IPS): Sie erkennt bekannte Angriffsmuster und Malware-Signaturen in Echtzeit und blockiert diese aktiv.
  • Application Awareness: Sie erkennt spezifische Anwendungen (z. B. WhatsApp, YouTube), selbst wenn diese Standard-Ports wie 443 (HTTPS) nutzen, und kann sie gezielt steuern oder drosseln.
  • Threat Intelligence: Sie bezieht kontinuierlich Updates aus globalen Bedrohungsdatenbanken, um Netzwerke auch vor brandneuen, bisher unbekannten Angriffen (Zero-Day-Exploits) zu schützen.
Firewall-Konzepte — dec-it-networks-security-firewall-concepts_page1.svg

Wie ist die Logik von Firewall-Regeln aufgebaut?

Kriterien und Aktionen einer Regel

Firewall-Regeln (oft in einer Access Control List, kurz ACL, zusammengefasst) sind das digitale Regelwerk, das präzise bestimmt, was erlaubt ist und was nicht. Jede Regel besteht aus Kriterien (Wann greift die Regel?) und einer Aktion (Was passiert dann?).

Typische Kriterien sind:

  • Quell-IP / Ziel-IP: Woher kommt das Paket und wohin soll es?
  • Quell-Port / Ziel-Port: Welcher Dienst wird angesprochen (z. B. Port 22 für SSH)?
  • Protokoll: Wird TCP, UDP oder ICMP gesprochen?

Wenn die Kriterien zutreffen, wird eine Aktion ausgeführt:

  • Allow / Permit: Das Paket darf die Firewall passieren.
  • Reject (Blockieren): Das Paket wird abgewiesen. Die absendende Person erhält eine aktive Fehlermeldung (z. B. "ICMP Destination Unreachable" oder ein TCP-RST-Paket).
  • Drop (Verwerfen): Das Paket wird stillschweigend gelöscht. Es wird keine Antwort gesendet. Dies ist sicherer gegen Angreifende, da diese im Unklaren gelassen werden, ob die IP überhaupt existiert.
  • Log: Das Ereignis wird zur späteren Analyse protokolliert (oft in Kombination mit einer der anderen Aktionen).

Die Wichtigkeit der Regelreihenfolge (Top-Down)

Firewalls arbeiten ihre Regelsätze streng von oben nach unten (Top-Down) ab. Sobald eine Regel auf ein Paket zutrifft (First Match), wird die Aktion ausgeführt und die Prüfung für dieses Paket sofort beendet. Alle nachfolgenden Regeln werden ignoriert.

Daher gilt der absolute Grundsatz beim Firewall-Design: Spezifische Regeln müssen immer vor allgemeinen Regeln stehen. Stell dir vor, du möchtest eine bösartige IP-Adresse blockieren, aber generell Web-Traffic für alle anderen erlauben.

Falsche Reihenfolge:

  1. ALLOW | Quelle: ANY | Ziel: ANY | Port: 443 (Angreifende kommen durch, Prüfung endet hier!)
  2. DROP | Quelle: 10.0.0.5 | Ziel: ANY | Port: ANY (Wird nie erreicht)

Korrekte Reihenfolge:

  1. DROP | Quelle: 10.0.0.5 | Ziel: ANY | Port: ANY (Angreifende werden sofort geblockt)
  2. ALLOW | Quelle: ANY | Ziel: ANY | Port: 443 (Legitime Nutzende kommen durch)

Das "Default Deny"-Prinzip

Das wichtigste Sicherheitskonzept bei der Regelerstellung ist das Default Deny (Standardmäßig Verweigern). Es besagt: Alles, was nicht ausdrücklich durch eine vorherige Regel erlaubt wurde, ist strikt verboten.

Am ganz unteren Ende jedes Firewall-Regelsatzes steht daher immer eine (oft vom System unsichtbar hinzugefügte) Regel, die lautet:

Regel: DROP | Quelle: ANY | Ziel: ANY | Port: ANY | Protokoll: ANY

Dieses Prinzip minimiert die Angriffsfläche drastisch. Es funktioniert wie bei einer exklusiven Veranstaltung: Nur wer namentlich auf der Gästeliste steht (Allow-Regeln), darf eintreten. Alle anderen werden am Ende der Liste automatisch abgewiesen (Default Deny), ohne dass man für jede unerwünschte Person eine eigene Verbotsregel schreiben muss.

Firewall-Konzepte — dec-it-networks-security-firewall-concepts_page2.svg

Teste dein Wissen

Du richtest das Netzwerk für ein neues Firmengebäude ein. Der Router verbindet das LAN mit dem Internet. Welche primäre Aufgabe übernimmt die Firewall an dieser Stelle?

Bereit für mehr?

Thema verstanden?

Teste dein Wissen interaktiv in unserer App. 7 Tage kostenlos, dann nur 5 € im Monat.

Jetzt kostenlos testen Preise ansehen