Was ist eine Firewall?

Die wörtliche Übersetzung von Firewall bedeutet "Brandschutzmauer": eine Brandschutzmauer verhindert die Ausbreitung eines Feuers bzw. sorgt dafür, daß es sich wesentlich langsamer ausbreitet. Ähnliches tut eine Firewall, indem sie die ungestörte Ausbreitung eines Angreifers in Ihrem Firmennetzwerk verhindert. Ein anderes Beispiel verdeutlicht noch die Funktionsweise: jeder, der in ein fremdes Land einreist, muß verschiedene Kontrollpunkte durchlaufen: Reisepaßkontrolle, Visumkontrolle, Sicherheitskontrolle und Zollkontrolle. Bei einer Firewall müssen IP-Pakete ähnliche Kontrollen durchlaufen, bevor sie passieren dürfen, hierbei werden u.a. Absenderadresse, Empfängeradresse, Protokoll, Port und gegebenenfalls Inhalt kontrolliert.

Eine Firewall muß zentral positioniert werden. In einer LAN / WAN Umgebung mit Internet-Zugang wird sie zwischen Internet und dem zu schützenden lokalen Netzwerk geschaltet. Professionelle Firewall Systeme sind hierzu mit mehreren Netzwerkschnittstellen ausgestattet, die die unterschiedlichen Sicherheitszonen ankoppeln. Die Standardkonfiguration einer professionellen Firewall hat mindestens 3 Zonen - die Firewall also entsprechend mindestens 3 Netzwerkports. Der ungeschützte Internet Bereich, das komplett geschützte lokale Netzwerk und die so genannte "DMZ - demilitarisierte Zone", in der öffentlich zugängliche Server stehen und in der daher der Zugriff von Außen nur teilweise begrenzt werden kann. In anspruchsvolleren Sicherheitsumgebungen werden diese Zonen weiter verfeinert und unterteilt. Die DMZ wird zum Beispiel in einen Bereich für Internet Services (Webserver, FTP Server) mit niedriger Sicherheitsanforderung und in einen Bereich für Intranet Services (Mail Server) mit höheren Sicherheitsmöglichkeiten eingeteilt. Gleichfalls kann die sichere "lokale LAN" Zone in einen hochsicheren Bereich eingeteilt werden, in dem zum Beispiel Systeme mit sehr hohen Sicherheitsanforderungen (Finanzverwaltung, Archivsysteme, Laborrechner) nur E-Mail Verkehr erlaubt wird und für Systeme mit mittleren Sicherheitsanforderungen wie Standardarbeitsplatzrechner auch Web und FTP zugelassen wird. Zusätzliche Sicherheitszonen dienen ebenfalls dazu, Abteilungen gegeneinander und nicht nur nach Außen zu sichern.