BSNW Netze

2.2.5 Firewall und Proxy

Firewall

Unter Firewalls versteht man Netzwerkkomponenten, über die ein privates Netzwerk an ein öffentliches Netzwerk angekoppelt wird und die gewisse Sicherheiten bieten. Der Begriff Firewall wird primär allerdings in Verbindung mit dem Internet verwendet, wobei die Übertragungsschnittstellen hin zum öffentlichen Netzwerk alle bekannten Dienste umfassen können: ISDN, Modem, Mietleitung, X.25.
Hinsichtlich der Funktion ist zumeist ein möglichst ungestörter Zugriff auf das öffentliche Netzwerk - oder wenigstens auf die für das Arbeitsumfeld relevanten Teile - gewünscht. Anderseits aber sollen unberechtigte Zugriffe auf das eigene Netzwerk verhindert werden. Oft wird auch die Beschränkung von extern nutzbaren Diensten, die Beschränkung auf eine begrenzte Zahl von Kommunikationsrechnern, oder die Authentifizierung und Identifikation sowie eine Datenverschlüsselung gewünscht.

Firewalls arbeiten auf den OSI-Layern 2 bis 7 und können je nach Benutzeranforderung an die Dienste und die Sicherheit individuell konfiguriert werden. Auch das Ausfiltern beliebiger Broadcast- und Multicastpakete aus dem Datenstrom und somit die netzwerkweite Ausbreitung von Broadcaststürmen ist möglich. Eine Firewall stellt sinnvoll eingesetzt den einzigen Zugang des eigenen Netzes zum öffentlichen Netzwerk dar. Prinzipiell unterscheidet man drei Arten von Firewallkonzepten:

die Paket-Filterung: Dabei werden alle ein- und ausgehenden Datenpakete auf den OSI-Layern 2 bis 4 (data link, network, transport) anhand einer vorhandenen Tabelle analysiert, kontrolliert und gegebenenfalls gefiltert. Die Filterung erfolgt daher nur aufgrund der in den Headern stehenden Netzwerkadressen. Die Benutzer, deren Rechte oder die Inhalte der Pakete sind kein Kriterium.
das Circuit-Relay-Konzept: Dabei wird die Verbindung zum öffentlichen Netz über einen von 2 Routern flankierten Host, also ein eigenes Subnetz, erstellt. Der Host fungiert als Verbindungspartner, über den die Kommunikation abläuft, an dem sich jeder Rechner, der eine Verbindung aufbauen will, anmelden und entsprechende Berechtigungen nachweisen muss. Rückschlüsse auf die internen Netzstrukturen sind von außen nicht mehr möglich.
der Application Gateway ist die aufwendigste und sicherste Methode. Die Netze können logisch und physikalisch entkoppelt werden, jedem Benutzer kann eine Identifikation und Authentifikation abverlangt werden. Datenpakete werden an den entsprechenden Ports empfangen, geprüft und per Software auf die andere Netzwerkseite übertragen. Von außen unbemerkt erfolgt die Kommunikation niemals mit dem Zielrechner, sondern immer nur mit einem Stellvertreter (Proxy). Jeder Proxy auf dem Application Gateway kann speziell für den Dienst, für den er zuständig ist, weitere Sicherheitsdienste anbieten und bietet darüber hinaus umfangreiche Sicherungs- und Protokollierungsmöglichkeiten. Selbstverständlich ist auch beidseitig das Abschalten von Diensten oder das Sperren von Ports möglich.
Da bei einem Proxy alle Zugriffe nach außen über eine Instanz laufen, kann man den Proxy gleichzeitig als Pufferspeicher (Cache) für alle erhaltenen WWW-Seiten oder FTP-Downloads benutzen. Das hat den Vorteil, dass bei einem erneuten Zugriff - egal, ob vom selben oder einem anderen Anwender - keine Verbindung nach außen aufgebaut werden muss. Auch ein automatisches Update der zwischengespeicherten Daten ist möglich.