Was ist ein Firewall?

Der Hauptzweck eines Firewall besteht darin, den nicht autorisierten Zugriff zwischen Netzen zu verhindern. Damit ist normalerweise der Schutz des lokalen Netzes gegenüber dem Internet gemeint. Gibt es an Ihrem Standort einen Firewall, müssen Sie entscheiden, welcher Verkehr über den Firewall laufen darf und welcher nicht. Diese Entscheidungen sollten Sie direkt aus den geltenden Sicherheitsanforderungen ableiten. Wenn Sie einen Dienst von Ihrem lokalen Netz aus anbieten möchten, sollten Sie mit diesen Anforderungen vertraut sein, da Ihnen möglicherweise die Wahl gewisser Optionen bei der Konfiguration Ihres Dienstes vorgeschrieben werden. Falls Sie keine schriftlich festgelegten Sicherheitsanforderungen an Ihrem Standort haben, sollten Sie sich mit dem Systemverwalter des Firewall anfreunden . Sie müssen ihn mit großer Wahrscheinlichkeit einmal in Anspruch nehmen, wenn Sie Ihren Dienst für den Produktivbetrieb freigeben. Ein Firewall sieht sich im wesentlichen die IP-Pakete an, die zwischen Client und Server hin- und hergeschickt werden. Damit ist die Möglichkeit gegeben, den Verkehrsfluß für jeden Dienst nach IP-Adresse, Port und Übertragungsrichtung zu kontrollieren. Jeder Firewall vertritt eine bestimmte Philosophie, die einen Kompromiß zwischen Sicherheit und einfacher Anwendung darstellt. Ein Prinzip der Form »alles, was nicht explizit erlaubt ist, ist verboten« erfordert bei jedem neuen Dienst eine individuelle Behandlung. Umgekehrt ermöglicht die Einstellung »alles ist erlaubt, es sei denn, es ist explizit verboten« bequemere Benutzung zu Lasten der Sicherheit. Für Designentscheidungen sollten Sie die Philosophie Ihres Firewall kennen und verstehen. Der Firewall ist für ein paar grundlegende Dinge verantwortlich: Vor allem muß er die Sicherheitsanforderungen des Standorts realisieren. Ist eine bestimmte Aktion aufgrund der Anforderungen nicht erlaubt, muß der Firewall gewährleisten, daß alle Versuche, die Aktion auszuführen, fehlschlagen. Der Firewall sollte verdächtige Ereignisse protokollieren. Er sollte die Systemverwalter im lokalen Netz warnen, falls jemand versucht, die -Sicherheitsbestimmungen zu verletzen. Zudem stehen einige Firewall-Rechner an zentraler Stelle und eignen sich deshalb besonders für die Erstellung von Statistiken.



Übersicht Firewall

SB1S Kurzform für Screening Router, Bastion Host mit einer Lan-Karte, Screening-Router zum fremden Netz. (engl. screen (etwas) abschirmen)
DMZ Bezeichnung für das mittlere Schutzlan, das Zugriffe aus dem internen Netz und dem externen Netz erlaubt.
Proxy Sever Beim Verbindungsaufbau zu einem externen Rechner wird erst die Verbindung zum Proxy-Server aufgebaut. Diesem übergibt man die gewünschte Zieladresse. Der Proxy-Server baut anschließend die Verbindung zum externen Rechner auf. Dabei erhält der Zielrechner keinerlei Informationen über den ursprünglichen Initiator der Verbindung. (engl. Proxy = als Stellvertreter fungieren.)
Bastion Host Enthält die Firewall Software, protokolliert und kontrolliert jeglichen Verkehr in der DMZ.
Screening Router Router der über Access-Listen Filterung erlaubt.
SB2 Kurzform für Screening-Router und Bastion Host mit zwei Lan-Karten zum eigenen Netz.
Dual-Homed Bastion Bastion Host der direkt mit zwei Netzen Verbindung hat, DMZ und eigenes Netz.