What is the main purpose of a firewall in network security?

A firewall’s primary purpose is to protect networks from malicious traffic and potential security threats. They do so by monitoring and controlling data flow between trusted and untrusted networks.

How does a firewall filter network traffic?

A firewall filters network traffic by using predefined security rules to decide which incoming and outgoing data packets to allow or block. For instance, a firewall may only allow traffic to and from certain ports, or may block all user requests for specified websites.

What are the main types of firewalls?

The main types of firewalls include proxy-based firewalls, stateful firewalls, next-generation firewalls (NGFW), and web application firewalls (WAF). Each type of firewall has slightly different features, and they are used for different purposes: WAFs protect web applications, for example, while proxy-based, stateful, and next-generation firewalls usually protect on-premises networks.

What is deep packet inspection in a firewall?

Deep packet inspection (DPI) is a next-generation firewall feature that examines not just packet headers but also packet contents and the applications that packets originate from. While traditional firewalls can block packets based on their source or destination IP address, their port, and other basic information contained in packet headers, next-generation firewalls can use DPI to inspect packets more thoroughly, identifying threats even in packets from allowed sources.

What is a cloud-based firewall or firewall-as-a-service (FWaaS)?

A cloud-based firewall FWaaS is delivered via the cloud and provides firewall protection for cloud assets and infrastructure, something that traditional hardware firewalls are ill-suited for.

How can firewalls be used for content filtering?

Firewalls can be set up to block access to specific types of content, such as adult material or certain websites, helping organizations control what users can load over a local network.

Was ist eine Firewall?

Was ist eine Firewall? Wie Netzwerk-Firewalls funktionieren

Eine Firewall befindet sich zwischen einem Netzwerk und dem Internet und kontrolliert den Datenfluss sowohl in das Netzwerk als auch aus ihm heraus, um potenzielle Sicherheitsbedrohungen zu stoppen.

Was ist eine Firewall?

Eine Firewall ist ein Sicherheitssystem, das den Netzwerk-Traffic auf Basis einer Reihe von Sicherheitsregeln überwacht und steuert. Firewalls befinden sich normalerweise zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk; bei dem nicht vertrauenswürdigen Netzwerk handelt es sich oft um das Internet. Beispielsweise verwenden Büronetzwerke häufig eine Firewall, um ihr Netzwerk vor Online-Bedrohungen zu schützen.

Firewalls entscheiden darüber, ob ein- und ausgehender Traffic durchgelassen wird. Sie können in Hardware, Software oder eine Kombination aus beidem integriert werden. Der Begriff „Firewall“ (deutsch: „Brandwand“) ist eigentlich einer Baupraxis entlehnt, bei der Wände zwischen oder durch die Mitte von Gebäuden gebaut werden, um das Übergreifen von Feuer zu verhindern. Auf ähnliche Weise sollen Netzwerk-Firewalls Online-Bedrohungen aufhalten.

Warum eine Firewall verwenden?

Der primäre Anwendungsfall für eine Firewall ist die Sicherheit. Firewalls können eingehenden böswilligen Traffic abfangen, bevor er das Netzwerk erreicht, und verhindern, dass sensible Informationen das Netzwerk verlassen.

Firewalls können auch zur Filterung von Inhalten verwendet werden. Beispielsweise kann eine Schule ihre Firewall so konfigurieren, dass Benutzer in ihrem Netzwerk keinen Zugriff auf nicht jugendfreies Material erhalten. Ebenso betreiben Regierungen in einigen Ländern eine Firewall, die Menschen innerhalb des jeweiligen Landes daran hindern kann, auf bestimmte Teile des Internets zuzugreifen.

Dieser Artikel konzentriert sich auf die für die Sicherheit konfigurierten Firewalls, von denen es mehrere Typen gibt.

Welche verschiedenen Typen von Firewalls gibt es?

Proxy-basierte Firewalls:

Dabei handelt es sich um Proxys*, die sich zwischen Clients und Servern befinden. Clients stellen eine Verbindung zur Firewall her und die Firewall überprüft die ausgehenden Pakete. Anschließend stellt sie eine Verbindung zum beabsichtigten Empfänger (dem Webserver) her. Wenn wiederum der Webserver versucht, eine Antwort an den Client zu senden, fängt die Firewall diese Anfrage ab, untersucht die Pakete und liefert die Antwort dann in einer separaten Verbindung zwischen der Firewall und dem Client. Eine Proxy-basierte Firewall verhindert quasi eine direkte Verbindung zwischen Client und Server.

Eine Proxy-basierte Firewall ist so etwas wie ein Türsteher vor einem Club. Dieser Türsteher stoppt Gäste, bevor sie den Club betreten, um sicherzustellen, dass sie nicht minderjährig oder bewaffnet sind oder in anderer Weise eine Bedrohung für den Club und seine Gäste darstellen. Der Türsteher hält die Gäste auch auf dem Weg nach draußen an, um sicherzustellen, dass sie sicher nach Hause kommen und nicht vorhaben, betrunken Auto zu fahren.

Der Nachteil eines Türstehers vor dem Club ist, dass, wenn viele Leute gleichzeitig versuchen, den Club zu betreten oder zu verlassen, die Schlange lang ist und es zu Verzögerungen kommt. In ähnlicher Weise ist ein wesentlicher Nachteil einer Proxy-basierten Firewall, dass sie eine Latenz verursachen kann, insbesondere in Zeiten mit starkem Traffic.

*Ein Proxy ist ein Computer, der als Gateway zwischen einem lokalen Netzwerk und einem größeren Netzwerk, wie z. B. dem Internet, fungiert.

Stateful Firewalls:

In der Informatik ist eine „stateful“ („zustandsabhängige“) Anwendung eine Anwendung, die Daten aus früheren Ereignissen und Interaktionen speichert. Eine Stateful Firewall speichert Informationen über offene Verbindungen und verwendet diese Informationen zur Analyse des ein- und ausgehenden Traffics, anstatt jedes einzelne Paket zu prüfen. Da sie nicht jedes Paket überprüfen, sind Stateful Firewalls schneller als Proxy-basierte Firewalls.

Stateful Firewalls verlassen sich bei der Entscheidungsfindung auf eine Menge Kontext. Wenn die Firewall beispielsweise ausgehende Pakete auf einer Verbindung aufzeichnet, die eine bestimmte Art von Antwort anfordern, lässt sie eingehende Pakete auf dieser Verbindung nur dann zu, wenn diese die angeforderte Art von Antwort liefern.

Stateful Firewalls können auch Ports* schützen, indem sie alle Ports geschlossen halten, es sei denn, eingehende Pakete fordern den Zugriff auf einen bestimmten Port an. Dies kann eine als Portscanning bezeichnete Angriffsform abwehren.

Eine bekannte Schwachstelle im Zusammenhang mit Stateful Firewalls besteht darin, dass sie manipuliert werden können, indem ein Client dazu gebracht wird, eine bestimmte Art von Informationen anzufordern. Sobald der Client diese Antwort anfordert, kann der Angreifer dann böswillige Pakete, die diesen Kriterien entsprechen, durch die Firewall senden. Beispielsweise können unsichere Websites JavaScript-Code verwenden, um diese Art von gefälschten Anfragen von einem Webbrowser aus zu erstellen.

*Ein Netzwerkport ist ein Ort, an den Informationen gesendet werden; es ist kein physischer Ort, sondern eher ein Kommunikationsendpunkt. Mehr erfahren über Ports >>

Next-Generation-Firewalls (NGFW):

Bei NGFWs Dabei handelt es sich um Firewalls, die über die Fähigkeiten traditioneller Firewalls verfügen, aber auch eine Vielzahl zusätzlicher Funktionen zur Abwehr von Bedrohungen auf anderen Ebenen des OSI-Modells einsetzen. Zu den NGFW-spezifischen Funktionen zählen:

Deep Packet inspection (DPI): NGFWs führen eine viel gründlichere Überprüfung der Pakete durch als herkömmliche Firewalls. Diese „tiefe“ Prüfung kann beispielsweise die Paketnutzlasten untersuchen und prüfen, auf welche Anwendung die Pakete zugreifen. Auf diese Weise kann die Firewall granularere Filterregeln durchsetzen.
Application Awareness (Anwendungserkennnung): Durch die Aktivierung dieser Funktion erkennt die Firewall, welche Anwendungen ausgeführt werden und welche Ports diese Anwendungen verwenden. Dies kann vor bestimmten Arten von Malware schützen, die darauf abzielen, einen laufenden Prozess abzubrechen und dann dessen Port zu übernehmen.
Identity Awareness (Identitätserkennung): Dadurch kann eine Firewall Regeln basierend auf der Identität durchsetzen, z. B. welcher Computer benutzt wird, welcher Benutzer angemeldet ist usw.
Sandboxing: Firewalls können mit eingehenden Paketen verbundene Code-Teile isolieren und in einer „Sandkasten“-Umgebung ausführen, um sicherzustellen, dass sie sich nicht böswillig verhalten. Die Ergebnisse dieses Sandbox-Tests können dann als Kriterien bei der Entscheidung verwendet werden, ob die Pakete in das Netzwerk gelangen sollen oder nicht.

Web Application Firewall (WAF):

Während herkömmliche Firewalls dabei helfen, private Netzwerke vor böswilligen Webanwendungen zu schützen, helfen WAFs dabei, Webanwendungen vor böswilligen Benutzern zu schützen. Eine WAF trägt zum Schutz von Webanwendungen bei, indem sie den HTTP-Traffic zwischen einer Webanwendung und dem Internet filtert und überwacht. Gewöhnlich schützt sie Webanwendungen vor Angriffen wie u. a. Cross-Site Forgery, Cross-Site Scripting (XSS), File Inclusion und SQL-Injection.

Die Web Application Firewall blockiert böswilligen HTTP-Traffic

Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet. Während ein Proxyserver die Identität eines Clientrechners mithilfe eines Vermittlers schützt, ist eine WAF eine Art Reverse-Proxy, der den Server vor Exposition schützt, weil die Clients die WAF passieren müssen, bevor sie den Server erreichen.

Eine WAF funktioniert nach einer Reihe von Regeln, die oft als Richtlinien bezeichnet werden. Diese Richtlinien zielen darauf ab, vor Schwachstellen in der Anwendung zu schützen, indem sie böswilligen Traffic herausfiltern. Der Wert einer WAF ergibt sich zum Teil aus der Geschwindigkeit und Leichtigkeit, mit der Richtlinienänderungen implementiert werden können, was eine schnellere Reaktion auf unterschiedliche Angriffsvektoren ermöglicht; während eines DDoS-Angriffs kann Durchsatzbegrenzung durch Änderung der WAF-Richtlinien schnell umgesetzt werden. Kommerzielle WAF-Produkte wie die Web Application Firewall von Cloudflare schützen täglich Millionen von Webanwendungen vor Angriffen

Firewall-as-a-Service (FWaaS):

Firewall-as-a-Service (FWaaS) ist ein neueres Modell für die Bereitstellung von Firewall-Funktionen über die Cloud. Dieser Dienst kann auch als „Cloud-Firewall“ bezeichnet werden. FWaaS bildet eine virtuelle Barriere um Cloud-Plattformen, Cloud-Infrastruktur und Cloud-Anwendungen – so wie herkömmliche Firewalls eine Barriere um das interne Netzwerk eines Unternehmens bilden. FWaaS eignet sich oft besser für den Schutz von Cloud- und Multi-Cloud-Ressourcen als herkömmliche Firewalls.

Was ist eine „Netzwerk-Firewall“?

Eine „Netzwerk-Firewall“ ist eine Firewall, die ein Netzwerk schützt. Per Definition sind fast alle Sicherheits-Firewalls Netzwerk-Firewalls, obwohl Firewalls auch einzelne Rechner schützen können.

Firewalls sind zwar eine wichtige Komponente der Netzwerksicherheit, aber dieser Bereich umfasst auch viele andere Aspekte, darunter Zugriffskontrolle, Nutzerauthentifizierung und DDoS-Abwehr. Erfahren Sie mehr über Netzwerksicherheitslösungen.

Sind Firewalls software- oder hardwarebasiert?

Ursprünglich waren Firewalls Hardware-Geräte (mehr im Abschnitt über die Geschichte der Firewalls weiter unten). Während einige Hardware-Firewalls noch immer im Einsatz sind, sind viele moderne Firewalls softwarebasiert, was bedeutet, dass sie auf verschiedenen Arten von Hardware laufen können. FWaaS hingegen wird in der Cloud gehostet.

Wie sieht die Geschichte von Firewalls aus?

Firewalls stammen aus den späten 1980er Jahren. Die ersten Firewalls erlaubten oder blockierten einzelne Datenpakete. Sie entschieden, welche Pakete zugelassen und welche blockiert werden sollten, indem sie die Header der Netzwerkebene und der Transportebene untersuchten, um die Quell- und Ziel-IP-Adresse und den Port zu ermitteln (wie bei der Betrachtung der Abschnitte „an“ und „von“ einer E-Mail). Dies blockierte unzulässigen Traffic und stoppte viele Malware-Angriffe.

Die nächste Generation von Firewalls fügte zustandsorientierte Funktionen hinzu. Und neuere Generationen (z. B. NGFWs) boten die Möglichkeit, den Traffic auf der Anwendungsebene zu prüfen.

Genauso wie sich die Firewall-Funktionen im Laufe der Zeit weiterentwickelt haben, hat sich auch die Art und Weise, wie Firewalls bereitgestellt werden, verändert. Ursprünglich waren Firewalls physische Hardware-Appliances, die in die Netzwerkinfrastruktur eines Unternehmens eingesteckt wurden. Doch mit der Verlagerung von Geschäftsprozessen in die Cloud wurde es ineffizient, den gesamten Netzwerk-Traffic durch eine physische Box zu leiten. Heutzutage können Firewalls auch als Software oder virtuell in der Cloud ausgeführt werden.

Was ist Cloudflare Network Firewall?

Die Cloudflare Network Firewall ist eine Firewall auf Netzwerkebene, die über das Cloudflare-Netzwerk bereitgestellt wird. Sie wurde entwickelt, um hardwarebasierte Firewalls für On-Premise Netzwerke zu ersetzen. Hardwarebasierte Firewalls lassen sich nur skalieren, wenn die IT-Abteilung zusätzliche Geräte beschafft. Cloudflare Network Firewall lässt sich leichter skalieren, um große Mengen an Traffic zu bewältigen. Erfahren Sie mehr über Cloudflare Network Firewall.

FAQs

Was ist der Hauptzweck einer Firewall in der Netzwerksicherheit?

Der Hauptzweck einer Firewall ist es, Netzwerke vor bösartigem Datenverkehr und potenziellen Sicherheitsbedrohungen zu schützen. Sie tun dies, indem sie den Datenfluss zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken überwachen und steuern.

Wie filtert eine Firewall den Netzwerkverkehr?

Eine Firewall filtert den Netzwerkverkehr, indem sie anhand vordefinierter Sicherheitsregeln entscheidet, welche ein- und ausgehenden Datenpakete zugelassen oder blockiert werden. Zum Beispiel kann eine Firewall nur den Datenverkehr zu und von bestimmten Ports zulassen oder alle Benutzeranfragen für bestimmte Websites blockieren.

Was sind die wichtigsten Arten von Firewalls?

Die Haupttypen von Firewalls umfassen Proxy-basierte Firewalls, Stateful Firewalls (zustandsbehaftete), Next-Generation-Firewalls (NGFW) und Web Application Firewalls (WAF). Jeder Firewall-Typ hat leicht unterschiedliche Merkmale und wird für verschiedene Zwecke eingesetzt: WAFs schützen beispielsweise Webanwendungen, während Proxy-basierte, zustandsbehaftete und NGFWs in der Regel On-Premise-Netzwerke schützen.

Was ist Deep Packet Inspection in einer Firewall?

Deep Packet Inspection (DPI) ist eine NGFW-Funktion der nächsten Generation, die nicht nur Paket-Header, sondern auch den Inhalt der Pakete und die Anwendungen, aus denen die Pakete stammen, untersucht. Während herkömmliche Firewalls Pakete anhand ihrer Quell- oder Ziel-IP-Adresse, ihres Ports und anderer grundlegender Informationen in den Paket-Headern blockieren können, können Firewalls der nächsten Generation DPI verwenden, um Pakete gründlicher zu inspizieren und Bedrohungen selbst in Paketen aus erlaubten Quellen zu erkennen.

Was ist eine cloudbasierte Firewall oder Firewall-as-a-Service (FWaaS)?

Eine cloudbasierte Firewall bzw. FWaaS wird über die Cloud bereitgestellt und bietet Firewall-Schutz für Cloud-Assets und -Infrastruktur, wofür herkömmliche Hardware-Firewalls nicht geeignet sind.

Wie können Firewalls zur Inhaltsfilterung verwendet werden?

Firewalls können so konfiguriert werden, dass sie den Zugriff auf bestimmte Arten von Inhalten blockieren, wie z. B. nicht jugendfreie Inhalte oder bestimmte Websites, was Unternehmen hilft, zu kontrollieren, was Benutzer über ein lokales Netzwerk laden können.