Von Traffic bis Netzwerk-Topologie: Tipps zur Auswahl der richtigen Firewall

Paket-Filter, Stateful-Inspection oder Application-Proxy: Welches ist der richtige Firewall-Typ für Ihr Unternehmen?

Dieser Artikel behandelt

Firewalls

Heutzutage gibt es viele verschiedene Arten an Firewalls auf dem Markt. Wollen Sie die richtige für Ihr Unternehmen...

finden, kann das also eine gewaltige Aufgabe sein. Das gilt vor allen Dingen in einer Branche, die vor Buzzwords und proprietären Markenzeichen nur so strotzt. Im Folgenden sehen wir uns daher die grundlegenden Firewall-Typen kurz an und stellen fünf Fragen vor, die Sie bei der Suche nach einer Firewall für Ihr Unternehmen im Hinterkopf behalten sollten.

Dabei sollten Sie nicht vergessen, dass es hierbei um Grundlagen geht, für die wir Funktionen von Next-Generation Firewalls zunächst außen vor lassen.

1. Warum implementieren Sie eine Firewall?

Das klingt eigentlich nach einer einfachen Frage. Sie denken sich wahrscheinlich: Weil wir eine brauchen! Es ist allerdings wichtig, dass Sie sich die Zeit nehmen, die technischen Ziele zu definieren, die Sie für eine Firewall-Implementierung haben. Diese Ziele sind für den Auswahlprozess sehr entscheidend.

Sie wollen ja sicherlich keine teure Firewall mit sehr vielen Funktionen kaufen, die dann zu kompliziert zum Administrieren ist. Möglicherweise erlauben Ihre technischen Anforderungen aber ja auch den Kauf eines einfacheren Produkts.

2. Wie passt eine Firewall in Ihre Netzwerk-Topologie?

Wird sich diese Firewall an der Grenze Ihres Unternehmensnetzwerks befinden und direkt mit dem Internet verbunden sein? Oder setzt man sie ein, um ein sensibles LAN vom Rest der Firma abzugrenzen? Wie viel Traffic muss man damit verarbeiten? Wie viele Schnittstellen braucht man, um den Traffic segmentieren zu können?

Performance-Anforderungen wie diese tragen enorm zu den Gesamtkosten der neuen Firewall-Implementierung bei. Somit kann man sehr leicht für zu viel oder zu wenig Performance planen.

3. Welche Art von Traffic soll analysiert werden?

An dieser Stelle kommen die Buzzwords ins Spiel. Jeder Anbieter hat sein eigenes Markenzeichen für die eigene Traffic-Analyse. Im Grunde genommen gibt es drei verschiedene Optionen, die wir in der Reihenfolge wachsender Komplexität und Kosten aufzählen:

  • Paket-filternde Firewalls verwenden einfache Regeln, um jedes eintreffende Paket zu untersuchen. Zwischen den Paketen wird kein Verlauf vorgehalten und sie inspizieren den Header des Pakets. Weil die Inspektion so einfach ist, sind diese Firewalls sehr schnell. Sie sind am kostengünstigsten, dafür aber auch am unflexibelsten und verwundbarsten. Möglicherweise besitzen Sie bereits Hardware, die mit Paket-Filtering-Technologie ausgestattet ist. Das könnten zum Beispiel auch Ihre Router sein.
  • Stateful-Inspection-Firewalls gehen einen Schritt weiter. Sie verfolgen den Dreiwege-TCP-Handshake. Damit garantiert die Firewall, dass die Pakete auch tatsächlich zu der aktiven Sitzung gehören (zum Beispiel ist das SYN-Flag nicht gesetzt) die sie angeben und sie mit vorangegangenen Aktivitäten im Einklang stehen. Anfragen, um die anfängliche Verbindung zu öffnen, gehören zum Regelsatz einer Stateful-Inspection-Firewall.
  • Application-Proxy-Firewalls bringen das höchste Niveau an Intelligenz mit sich. Zusätzlich zu Stateful-Inspection vermitteln Sie die Verbindung zwischen Client und Server. Der Client verbindet sich zur Firewall, und diese analysiert die Anfrage – inklusive Inspektion der Paket-Inhalte auf Anwendungs-Ebene. Geben die Firewall-Regeln an, dass die Kommunikation erlaubt werden kann, dann stellt die Firewall eine Verbindung zum Server her.

Im Anschluss agiert sie während der Kommunikation als ein Mittelsmann. Kombiniert man dieses Verhalten mit NAT (Network Address Translation), sind sich die beiden Hosts möglicherweise nicht einmal bewusst, dass der andere existiert. Sie beide sind in dem Glauben, dass sie direkt mit der Firewall kommunizieren.

4. Eignet sich eine Appliance oder eine Software-Lösung besser für Ihr Unternehmen? Appliances lassen sich in der Regel viel einfacher als Software-Lösungen installieren. Normalerweise stecken Sie lediglich ein passendes Ethernet-Kabel ein, führen eine grundsätzliche Netzwerkkonfiguration durch und können danach sofort die Firewall-Regeln einstellen.

Software-Firewalls können demgegenüber kompliziert zu installieren sein und benötigen meist auch etwas Optimierung. Oftmals fehlt ihnen auch das Sicherheitslevel, das in abgehärteten Betriebssystemen von Firewall-Appliances eingebaut ist. Wo liegt dann der Haken? Sie haben wahrscheinlich schon richtig vermutet: Appliances sind im Vergleich zu Software meist wesentlich teurer.

5. Welches Betriebssystem eignet sich am Besten für Ihre Anforderungen?

Auch auf Appliances läuft ein Betriebssystem und es ist sehr wahrscheinlich, dass Sie während Ihrer Laufbahn als Firewall-Administrator irgendwann mit einem arbeiten müssen. Sind Sie ein Linux-Profi, wollen Sie mit hoher Wahrscheinlichkeit keine Windows-basierte Firewall einsetzen. Kennen Sie auf der anderen Seite den Unterschied zwischen /dev/null und /var/log nicht, werden Sie wohl eher Unix-basierte Lösung meiden.

Ich kann keinen speziellen Firewall-Typ empfehlen, ohne Ihre Anforderungen im Detail zu kennen. Beantworten Sie allerdings die obigen Fragen, hilft das bei der Sortierung der Gedanken und sollte einen Schubs in die richtige Richtung geben. Mit den entsprechenden Antworten sollten Sie anschließend die Kosten und Vorteile der sich auf dem Markt befindlichen Produkte evaluieren.

Über den Autor:
Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency (NSA) und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt als Experte für Compliance, Frameworks und Standards regelmäßig Artikel für TechTarget. Außerdem ist er technischer Redakteur für das Magazin Information Security und Autor mehrere Bücher über Informationssicherheit.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close