Firewalls

Diagnose & Sicherheit

Was ist eine Firewall?

Eine Firewall ist ein Sicherheitssystem, das den Netzwerkverkehr nach festgelegten Regeln kontrolliert und entweder durchlässt oder blockiert. Sie steht typischerweise an der Grenze zwischen einem vertrauenswürdigen Netz (z. B. dein LAN) und einem unsicheren Netz (dem Internet). Die Grundidee: Nur erlaubter Verkehr darf passieren, alles andere wird abgewiesen.

Paketfilter und Regeln

Ein Paketfilter entscheidet anhand von Quell-/Ziel-IP, Quell-/Zielport und Protokoll. Regeln werden in einer Liste der Reihe nach geprüft; die erste passende greift:

# Beispiel-Regelwerk
ALLOW  tcp  any   -> 203.0.113.10:443   (HTTPS)
ALLOW  tcp  LAN   -> any:53            (DNS)
DENY   tcp  any   -> any:23            (Telnet verbieten)
DENY   all  any   -> any               (Default Deny)

Eine bewährte Grundhaltung ist Default Deny: Am Ende steht eine Regel, die alles Nicht-ausdrücklich-Erlaubte verbietet (Whitelist-Prinzip).

Stateless vs. Stateful

Typ	Funktionsweise	Eigenschaft
Stateless	prüft jedes Paket einzeln	schnell, aber „dumm“
Stateful	merkt sich Verbindungszustände	erkennt zusammengehörige Pakete

Eine stateful Firewall führt eine Verbindungstabelle (Connection Tracking). Sie weiß, dass eine Antwort zu einer von innen aufgebauten Verbindung gehört, und lässt sie durch, ohne dass man dafür eine eigene Regel braucht. Eine stateless Firewall betrachtet jedes Paket isoliert und braucht Regeln für beide Richtungen.

Ports im Fokus

Firewall-Regeln drehen sich stark um Ports: Welche Dienste dürfen von außen erreicht werden? Üblich sind 443 (HTTPS) für Webserver oder 22 (SSH) für Administration – alles andere bleibt zu. Welche Portnummer zu welchem Dienst gehört, zeigt die Port-Referenz.

DMZ (kurz)

Eine DMZ (Demilitarized Zone) ist ein abgetrenntes Netzsegment für öffentlich erreichbare Server (Web, Mail). Wird ein Server in der DMZ kompromittiert, kann der Angreifer von dort nicht direkt ins interne Netz, weil eine weitere Firewall dazwischen steht. Das begrenzt den Schaden – ein Beispiel für Segmentierung.

Was kann eine stateful Firewall, was eine stateless nicht kann?

Sicherheitsbezug

Eine Firewall ist eine wichtige, aber nicht die einzige Verteidigungslinie (Defense in Depth). Halte das Regelwerk schlank und nachvollziehbar, überprüfe es regelmäßig und protokolliere abgewiesene Verbindungen. Verschlüsselter Verkehr (HTTPS, VPN) kann von einfachen Paketfiltern nicht inhaltlich geprüft werden – dafür braucht es Anwendungs-Firewalls oder Endpunkt-Schutz.