Erfahren Sie die Grundlagen über die verschiedenen Arten von Firewalls, den Unterschied zwischen ihnen und wie jeder Typ Ihr Netzwerk auf unterschiedliche Weise schützen kann.
Eine Firewall ist eine grundlegende, aber wesentliche Sicherheitsebene, die als Barriere zwischen Ihrem privaten Netzwerk und der Außenwelt fungiert. Von zustandslosen Firewalls der ersten Generation bis hin zu Firewalls der nächsten Generation haben sich Firewall-Architekturen in den letzten vier Jahrzehnten enorm weiterentwickelt. Heute können Unternehmen zwischen verschiedenen Arten von Firewalls wählen – einschließlich Gateways auf Anwendungsebene (Proxy-Firewalls), Stateful Inspection—Firewalls und Gateways auf Kreisebene – und sogar mehrere Typen gleichzeitig für eine umfassende Sicherheitslösung auf tiefer Ebene verwenden.
Was ist eine Firewall und wofür wird sie verwendet?
Eine Firewall ist ein Sicherheitstool, das eingehenden und / oder ausgehenden Netzwerkverkehr überwacht, um schädliche Datenpakete basierend auf vordefinierten Regeln zu erkennen und zu blockieren, sodass nur legitimer Datenverkehr in Ihr privates Netzwerk gelangen kann. Firewalls, die als Hardware, Software oder beides implementiert werden, sind in der Regel Ihre erste Verteidigungslinie gegen Malware, Viren und Angreifer, die versuchen, in das interne Netzwerk und die Systeme Ihres Unternehmens einzudringen.
Ähnlich wie eine begehbare Metalldetektortür am Haupteingang eines Gebäudes prüft eine physische oder Hardware-Firewall jedes Datenpaket, bevor es hereingelassen wird. Es prüft die Quell- und Zieladressen und bestimmt anhand vordefinierter Regeln, ob ein Datenpaket durchlaufen werden soll oder nicht. Sobald sich ein Datenpaket im Intranet Ihrer Organisation befindet, kann eine Software-Firewall den Datenverkehr weiter filtern, um den Zugriff auf bestimmte Ports und Anwendungen auf einem Computersystem zuzulassen oder zu blockieren.
Eine Zugriffssteuerungsliste kann bestimmte IP-Adressen (Internet Protocol) definieren, denen nicht vertraut werden kann. Die Firewall löscht alle Datenpakete, die von diesen IPs kommen. Alternativ kann die Zugriffssteuerungsliste vertrauenswürdige Quell-IPs angeben, und die Firewall lässt nur den Datenverkehr zu, der von diesen aufgelisteten IPs kommt. Es gibt verschiedene Techniken zum Einrichten einer Firewall. Der Umfang der von ihnen bereitgestellten Sicherheit hängt im Allgemeinen auch von der Art der Firewall und ihrer Konfiguration ab.
Welche Arten von Firewalls gibt es?
Strukturell können Firewalls Software, Hardware oder eine Kombination aus beidem sein. Software-Firewalls werden auf einzelnen Geräten separat installiert. Sie bieten eine detailliertere Kontrolle, indem sie den Zugriff für eine Anwendung oder Funktion zulassen und andere blockieren können. Sie können jedoch ressourcenintensiv sein, da sie die CPU und den Arbeitsspeicher der Geräte nutzen, auf denen sie installiert sind, und Administratoren müssen sie für jedes Gerät einzeln konfigurieren und verwalten. Darüber hinaus sind möglicherweise nicht alle Geräte in einem Intranet mit einer einzigen Software-Firewall kompatibel, und es sind möglicherweise mehrere verschiedene Firewalls erforderlich.
Hardware-Firewalls hingegen sind physische Geräte mit jeweils eigenen Rechenressourcen. Sie fungieren als Gateways zwischen internen Netzwerken und dem Internet und halten Datenpakete und Verkehrsanforderungen von nicht vertrauenswürdigen Quellen außerhalb des privaten Netzwerks. Physische Firewalls sind für Organisationen mit vielen Geräten im selben Netzwerk sehr praktisch. Während sie bösartigen Datenverkehr blockieren, bevor er einen der Endpunkte erreicht, bieten sie keine Sicherheit gegen Insider-Angriffe. Daher kann eine Kombination aus Software- und Hardware-Firewalls eine optimale Sicherheit für das Netzwerk Ihres Unternehmens bieten.
Firewalls werden auch nach ihrer Funktionsweise kategorisiert, und jeder Typ kann entweder als Software oder als physisches Gerät eingerichtet werden. Basierend auf ihrer Funktionsweise gibt es vier verschiedene Arten von Firewalls.
Paketfilter-Firewalls
Paketfilter-Firewalls sind die älteste und grundlegendste Art von Firewalls. Sie arbeiten auf der Netzwerkschicht und überprüfen einfach ein Datenpaket auf seine Quell-IP und Ziel-IP, das Protokoll, den Quell-Port und den Ziel-Port anhand vordefinierter Regeln, um zu bestimmen, ob das Paket übergeben oder verworfen werden soll. Paketfilterfirewalls sind im Wesentlichen zustandslos und überwachen jedes Paket unabhängig, ohne die hergestellte Verbindung oder die Pakete, die diese Verbindung zuvor durchlaufen haben, zu verfolgen. Dadurch sind diese Firewalls in ihrer Fähigkeit zum Schutz vor fortgeschrittenen Bedrohungen und Angriffen sehr eingeschränkt.
Paketfilter-Firewalls sind schnell, kostengünstig und effektiv. Aber die Sicherheit, die sie bieten, ist sehr einfach. Da diese Firewalls den Inhalt der Datenpakete nicht untersuchen können, sind sie nicht in der Lage, vor böswilligen Datenpaketen zu schützen, die von vertrauenswürdigen Quell-IPs stammen. Da sie zustandslos sind, sind sie auch anfällig für Source-Routing-Angriffe und Tiny-Fragment-Angriffe. Trotz ihrer minimalen Funktionalität ebneten Paketfilterfirewalls den Weg für moderne Firewalls, die eine stärkere und tiefere Sicherheit bieten.
Circuit-Level-Gateways
Circuit-Level-Gateways überprüfen auf Sitzungsebene etablierte TCP-Verbindungen (Transmission Control Protocol) und verfolgen die aktiven Sitzungen. Sie sind Firewalls zur Paketfilterung insofern sehr ähnlich, als sie eine einzige Überprüfung durchführen und nur minimale Ressourcen verbrauchen. Sie funktionieren jedoch auf einer höheren Ebene des OSI-Modells (Open Systems Interconnection). In erster Linie bestimmen sie die Sicherheit einer hergestellten Verbindung. Wenn ein internes Gerät eine Verbindung mit einem Remote-Host initiiert, stellen Gateways auf Schaltungsebene eine virtuelle Verbindung im Namen des internen Geräts her, um die Identität und IP-Adresse des internen Benutzers verborgen zu halten.
Circuit-Level-Gateways sind kostengünstig, einfach und haben kaum Auswirkungen auf die Leistung eines Netzwerks. Ihre Unfähigkeit, den Inhalt von Datenpaketen zu überprüfen, macht sie jedoch zu einer unvollständigen Sicherheitslösung. Ein Datenpaket, das Malware enthält, kann ein Gateway auf Circuit-Ebene problemlos umgehen, wenn es über einen legitimen TCP-Handshake verfügt. Aus diesem Grund wird häufig eine andere Art von Firewall über Gateways auf Schaltungsebene konfiguriert, um zusätzlichen Schutz zu bieten.
Stateful Inspection Firewalls
Stateful Inspection Firewalls sind Gateways auf Circuit-Ebene einen Schritt voraus und führen neben der Überprüfung und Verfolgung etablierter Verbindungen auch eine Paketprüfung durch, um eine bessere und umfassendere Sicherheit zu gewährleisten. Sie erstellen eine Statustabelle mit Quell-IP, Ziel-IP, Quell-Port und Ziel-Port, sobald eine Verbindung hergestellt ist. Sie erstellen dynamisch ihre eigenen Regeln, um den erwarteten eingehenden Netzwerkverkehr zuzulassen, anstatt sich auf einen fest codierten Regelsatz zu verlassen, der auf diesen Informationen basiert. Sie löschen bequem Datenpakete, die nicht zu einer verifizierten aktiven Verbindung gehören.
Stateful Inspection Firewalls prüfen auf legitime Verbindungen sowie Quell- und Ziel-IPs, um festzustellen, welche Datenpakete passieren können. Obwohl diese zusätzlichen Überprüfungen erweiterte Sicherheit bieten, verbrauchen sie viele Systemressourcen und können den Datenverkehr erheblich verlangsamen. Daher sind sie anfällig für DDoS (Distributed Denial-of-Service-Angriffe).
Gateways auf Anwendungsebene (Proxy-Firewalls)
Gateways auf Anwendungsebene, auch Proxy-Firewalls genannt, werden auf Anwendungsebene über ein Proxy-Gerät implementiert. Anstatt dass ein Außenstehender direkt auf Ihr internes Netzwerk zugreift, wird die Verbindung über die Proxy-Firewall hergestellt. Der externe Client sendet eine Anforderung an die Proxy-Firewall. Nachdem die Authentizität der Anforderung überprüft wurde, leitet die Proxy-Firewall sie im Namen des Clients an eines der internen Geräte oder Server weiter. Alternativ kann ein internes Gerät den Zugriff auf eine Webseite anfordern, und das Proxy-Gerät leitet die Anforderung weiter, während die Identität und der Standort der internen Geräte und des Netzwerks ausgeblendet werden.
Im Gegensatz zu Paketfilterfirewalls führen Proxy-Firewalls Stateful und Deep Packet Inspection durch, um den Kontext und den Inhalt von Datenpaketen anhand einer Reihe benutzerdefinierter Regeln zu analysieren. Je nach Ergebnis erlauben oder verwerfen sie ein Paket. Sie schützen die Identität und den Standort Ihrer sensiblen Ressourcen, indem sie eine direkte Verbindung zwischen internen Systemen und externen Netzwerken verhindern. Die Konfiguration für einen optimalen Netzwerkschutz kann jedoch etwas schwierig sein. Sie müssen auch den Kompromiss berücksichtigen – eine Proxy-Firewall ist im Wesentlichen eine zusätzliche Barriere zwischen dem Host und dem Client, was zu erheblichen Verlangsamungen führt.
Was ist eine Firewall der nächsten Generation?
Next-Generation-Firewalls (NGFWs) sollen die Einschränkungen herkömmlicher Firewalls überwinden und gleichzeitig einige zusätzliche Sicherheitsfunktionen bieten. Trotz flexibler Funktionen und Architekturen ist das, was eine Firewall wirklich zur nächsten Generation macht, ihre Fähigkeit, neben der Port- / Protokoll- und Oberflächenpaketprüfung auch eine Deep Packet Inspection durchzuführen. Obwohl es keine konkrete, vereinbarte Definition gibt, ist eine Firewall der nächsten Generation laut Gartner „eine Deep-Packet-Inspection-Firewall, die über die Port- / Protokollinspektion und -blockierung hinausgeht, um Inspektion auf Anwendungsebene, Intrusion Prevention und Intelligenz von außerhalb der Firewall hinzuzufügen.“
Eine Firewall der nächsten Generation kombiniert die Funktionen anderer Firewalltypen in einer einzigen Lösung, ohne die Netzwerkleistung zu beeinträchtigen. Sie sind robuster und bieten größere und tiefere Sicherheit als alle ihre Vorgänger. NGFWs führen nicht nur Deep Packet Inspection durch, um Anomalien und Malware zu erkennen, sondern verfügen auch über eine Application Awareness-Funktion für intelligente Verkehrs- und Ressourcenanalysen. Diese Firewalls können DDoS-Angriffe vollständig blockieren. Sie verfügen über SSL-Entschlüsselungsfunktionen (Secure Sockets Layer), um einen vollständigen Überblick über alle Anwendungen zu erhalten, sodass sie Versuche von Datenverletzungen auch von verschlüsselten Anwendungen aus identifizieren und blockieren können.
Firewalls der nächsten Generation können Benutzer und Benutzerrollen identifizieren, aber ihre Vorgänger stützten sich hauptsächlich auf die IP-Adressen von Systemen. Diese bahnbrechende Funktion ermöglicht es Benutzern, drahtlose, tragbare Geräte zu nutzen und gleichzeitig ein breites Sicherheitsspektrum für flexible Arbeitsumgebungen und BYOD-Richtlinien (Bring your Own Device) bereitzustellen. Sie können auch andere Technologien wie Antiviren- und Intrusion-Prevention-Systeme (IPS) integrieren, um einen umfassenderen Sicherheitsansatz zu bieten.
Firewalls der nächsten Generation eignen sich für Unternehmen, die die Vorschriften des Health Insurance Portability and Accountability Act (HIPAA) oder der Payment Card Industry (PCI) einhalten müssen, oder für Unternehmen, die mehrere Sicherheitsfunktionen in eine einzige Lösung integrieren möchten. Aber sie kommen zu einem höheren Preis als andere Arten von Firewalls, und abhängig von der Firewall, die Sie wählen, muss Ihr Administrator sie möglicherweise mit anderen Sicherheitssystemen konfigurieren.
Welche Art von Firewall passt am besten zu meiner Organisation?
Es gibt keine einheitliche Lösung, die die einzigartigen Sicherheitsanforderungen jedes einzelnen Unternehmens erfüllen kann. Tatsächlich hat jede der verschiedenen Arten von Firewalls ihre eigenen Vorteile und Einschränkungen. Paketfilterfirewalls sind simpel, bieten jedoch nur begrenzte Sicherheit, während Stateful Inspection- und Proxy-Firewalls die Netzwerkleistung beeinträchtigen können. Firewalls der nächsten Generation scheinen ein komplettes Paket zu sein, aber nicht alle Organisationen verfügen über das Budget oder die Ressourcen, um sie erfolgreich zu konfigurieren und zu verwalten.
Da Angriffe immer ausgefeilter werden, muss die Sicherheitsabwehr Ihres Unternehmens aufholen. Eine einzige Firewall, die den Umfang Ihres internen Netzwerks vor externen Bedrohungen schützt, reicht nicht aus. Jedes Asset innerhalb des privaten Netzwerks benötigt auch seinen eigenen individuellen Schutz. Es ist am besten, einen mehrschichtigen Sicherheitsansatz zu verfolgen, anstatt sich auf die Funktionalität einer einzelnen Firewall zu verlassen. Und warum sollten Sie sich überhaupt für eine entscheiden, wenn Sie die Vorteile mehrerer Firewalls in einer Architektur nutzen können, die speziell für die Sicherheitsanforderungen Ihres Unternehmens optimiert ist.
Verwenden von Parallels RAS zum Schutz des Zugriffs auf Ihre Daten
Die Erkennung und Abwehr von Cyberangriffen in einer sich ständig weiterentwickelnden Bedrohungslandschaft ist ebenso entmutigend wie entscheidend. Unabhängig davon, wie ausgeklügelt sie sind, Firewalls allein können keinen ausreichenden Schutz bieten. Da flexible Arbeitsumgebungen und Work-from-Home-Geschäftsmodelle zum Mainstream werden, müssen Arbeitgeber und Arbeitnehmer drohende Bedrohungen ernst nehmen. Mitarbeiter, die versuchen, remote auf interne Ressourcen zuzugreifen, müssen dies über ein virtuelles privates Netzwerk (VPN) tun und Geräte verwenden, die den Richtlinien des Unternehmens entsprechen.
Parallels® Remote Application Server (RAS) bietet eine breite Palette von Tools und Funktionen zur Überwachung und Sicherung von Anwendungen und Daten in einer Multi-Cloud-Umgebung. Es bietet erweiterte Zugriffssteuerung und detaillierte Clientrichtlinien, um den Zugriff basierend auf Gateway, MAC-Adresse (Media Access Control), Clienttyp, IP-Adresse, spezifischem Benutzer oder Benutzerrolle zuzulassen oder einzuschränken.
Parallels RAS Enhanced Data Security schützt auch sensible Daten und verhindert unbefugten Zugriff durch Verschlüsselung und Multi-Faktor-Authentifizierung sowie hochgranulare Berechtigungsrichtlinien. Mit Parallels RAS können Ihre Mitarbeiter von jedem Standort aus zwischen Geräten wechseln und auf lokale Daten und Anwendungen zugreifen, während Ihre Ressourcen sicher im internen Netzwerk verbleiben.
Möchten Sie mehr darüber erfahren, wie Parallels RAS Enhanced Data Security Ihre Unternehmensdaten schützen kann? Laden Sie noch heute unsere 30-Tage-Testversion herunter!