Firewall schützen heutzutage so gut wie jedes IT-System mit direkter oder indirekter Internetanbindung. Dabei handelt es sich um IT-Systeme, die ein- und ausgehenden Datenverkehr untersuchen – und ihn nach bestimmten Regeln entweder erlauben oder verbieten. Sie sind gewissermaßen das Herzstück der IT-Sicherheit (nicht nur) in Unternehmen.
49 Prozent der deutschen Unternehmen wurden laut einer Befragung von Forrester Research im Jahr 2022 Opfer einer oder mehrerer Cyber-Attacken. Dass diese in den meisten Fällen glimpflich ausgehen, ist nicht zuletzt gut funktionierenden Firewall-Systemen zu verdanken. Sie sorgen dafür, dass „böser” Datenverkehr von „gutem” unterschieden wird. Schließlich sollen Rechner und Firmennetzwerke im beruflichen Alltag genau das machen, was sie sollen – ohne dabei plötzlich von Fremden gekapert oder ausspioniert zu werden.
Doch wie funktioniert eine Firewall eigentlich und warum ist es bei Systemen ohne einen solchen Schutz nur eine Frage der Zeit, bis es zu einem erfolgreichen Angriff kommt? Das und noch einiges mehr rund um die digitalen „Brandmauern” im Internet erfahren Sie in diesem Beitrag.
Was ist eine Firewall und warum ist sie für Unternehmen so wichtig?
Der Begriff der Firewall an sich ist schnell erklärt. Es handelt sich um eine Analogie aus dem Englischen, die übersetzt so viel wie „Brandmauer” oder „Brandschutzwand” bedeutet. Dabei liegt der Definition von Firewalls die Idee zugrunde, dass im öffentlichen Internet nicht nur „harmloser” Datenverkehr stattfindet, sondern es auch Kriminelle für ihre Zwecke missbrauchen. Ohne funktionierende Brandmauer („Firewall”) greifen Unbefugte schnell auf ungesicherte Rechner zu und erbeuten dort wertvolle Daten oder nutzen die gekaperten Rechner für weitere Angriffe.
Das Schlimme hieran ist: Selbst, wenn niemand aktiv Daten aus dem Internet abruft, prüfen Kriminelle mithilfe sogenannter Port-Scanner fortlaufend zufällig ausgewählte IP-Adressen und die zugehörigen, gängigen oder auch alle Ports auf Verwundbarkeit. Es reicht also, dass ein Rechner – oder ein Rechnerverbund – „ungeschützt“ eingeschaltet und mit dem Internet verbunden ist. Der Besuch durch ungebetene Gäste ist dann nur eine Frage der Zeit.
Bei Firewall-Systemen gibt es die grundsätzliche Unterscheidung zwischen „Personal Firewalls“ für einzelne Rechner und „Hardware Firewalls“ für ganze Netzwerke und externen Datenverkehr. Ihnen gemein ist: Sie beurteilen anhand bestimmter Regeln, ob ein Datenpaket als vertrauenswürdig gilt oder nicht. Bei modernen Firewall-Systemen können Sie diese Regeln dynamisch anpassen bzw. die Firewall lernt fortlaufend dazu, um bessere Entscheidungen zu treffen.
Dementsprechend sind Firewalls wesentlicher Bestandteil eines jeden IT-Sicherheitskonzepts. Sie sollten sie jedoch nicht allein einsetzen; um Systeme zu schützen. Stattdessen ist immer eine ganzheitliche IT-Sicherheitsstrategie notwendig.
Wie funktioniert eine Firewall aus technischer Sicht?
Um zu verstehen, wie eine Firewall funktioniert, ist es zunächst wichtig, die Funktionsweise der Datenübertragung im Internet zu kennen. Sämtlicher Datenverkehr wird im Grunde stets in Form sogenannter Pakete abgewickelt. Hierbei handelt es sich um Informationseinheiten fester Größe, die je nach verwendetem Übertragungsstandard (Protokoll) unterschiedlich festgelegt ist. Ein solches Paket besteht in aller Regel sowohl aus den eigentlichen Daten, als auch aus Informationen zu Absender und Empfänger. Des Weiteren erfolgt die Kommunikation je nach Übertragungsprotokoll über sogenannte Ports – bei Webseiten meistens Port 80 (unverschlüsselt) oder Port 443 (verschlüsselt).
Ist nun einen Rechner ohne jeglichen Firewall-Schutz an das öffentliche Internet angeschlossen, ist dessen Netzwerkkarte im Grunde sämtlichem Internet-Datenverkehr ausgesetzt. Diese prüft lediglich anhand der weltweit eindeutigen IP-Adresse des Zielrechners, ob Pakete für diesen Rechner dabei sind oder nicht. Ist dies der Fall, öffnet der Rechner die Pakete und zeigt deren Inhalt auf dem Bildschirm der Anwender:innen an, beispielsweise eine Webseite. Es liegt auf der Hand, dass auf diese Weise relativ problemlos auch Schadcode auf den Rechner gelangen kann.
In der Praxis ist für die Verbindung eines einzelnen Rechners mit dem Internet ein Router erforderlich, der meist bereits über einen eingebauten, mehr oder weniger rudimentären Firewall-Schutz verfügt. Auch Windows verfügt über eine eingebaute Software-Firewall, die dubiose Datenpakete herausfiltert.
Das ist insbesondere, aber nicht nur dann der Fall, wenn die Kommunikation mit dem Zielrechner auf einem anderen geöffneten Port erfolgt. Hierin liegt auch der wesentliche, mehr oder weniger passive Schutz einer Firewall: Sie schließt im Grunde sämtliche Ports für den externen (und häufig auch internen) Datenverkehr, die Sie nicht benötigen. Will nun eine bestimmte Software auf einen solchen Port zugreifen, muss die Firewall diesen explizit und nur für dieses Programm freigeben.
Im Idealfall sind auf einem Rechner also immer nur diejenigen Ports geöffnet, die für die Netzwerkkommunikation zwingend erforderlich sind. Eingehende Datenpakete an andere Ports blockiert die Firewall. Ähnliches gilt für den ausgehenden Datenverkehr. Auf diese Weise kann die Firewall Cyberangriffe zwar nicht grundsätzlich verhindern, aber zumindest deutlich erschweren.
Diese Arten von Firewalls gibt es
Wie bereits erwähnt, unterscheidet man Firewalls zunächst einmal nach dem Ort ihrer Verwendung. „Personal Firewalls“ kommen auf einem bestimmten Rechner zum Einsatz. Dabei kann es sich auch um ein Smartphone oder Tablet handeln. „Hardware Firewalls“ hingegen laufen eingebettet in technische Systeme wie beispielsweise Router oder auch als Server-Komponenten.
Ein weiteres Unterscheidungskriterium ist die Funktionsweise. Während klassische Firewalls vor allem nicht benötigte Ports (siehe Infokasten) schließen, gehen moderne Firewalls (auch in Mischformen) deutlich weiter. Die wichtigsten Firewall-Arten nach ihrer Funktionsweise sind derzeit:
- Port-Firewall: klassischer Ansatz
- Proxy-Firewall: Analyse von Paketinhalten
- Stateful-Firewall: kontextbezogene Datenanalyse
- Next-Generation-Firewall: NGFW, mit erweiterten Funktionen
- Unified Threat Management: UTM, häufig als Dienstleistung angeboten
- Web-Application-Firewall: WAF, zum Schutz von Web-Angeboten
- Firewall-as-a-Service: Die Firewall als Cloud-Dienstleistung
Was hinter diesen einzelnen Firewall-Arten steckt und wie diese funktionieren, erfahren Sie in den nachfolgenden Abschnitten.
Proxy-Firewall
Eine Proxy-Firewall, die man auch als Gateway-Firewall bezeichnet, analysiert bei eingehenden Datenpaketen nicht nur den adressierten Port, sondern auch den Paketinhalt. Um das zu erreichen, kommen sogenannte Application-Gateways oder Application-Gateway-Firewalls zum Einsatz. Sie liegen in der Regel auf separaten Servern, da die Anforderungen an die Hardware-Performance für diese zusätzliche Prüfung nicht unerheblich sind. Durch dieses zusätzliche Konstrukt ist die Proxy-Firewall in der Lage, auch auf Anwendungsebene schädlichen von nicht schädlichem Traffic zu unterscheiden – sofern sie korrekt konfiguriert ist.
Der Begriff Proxy („Stellvertreter”) wiederum resultiert daher, dass die Proxy-Firewall insgesamt als „dazwischen geschaltete Ebene” fungiert. Sie fängt eingehende Anfragen ab, prüft diese im Application-Level-Gateway und leitet sie weiter oder blockiert sie. Da die Proxy-Firewall im Gegensatz zur klassischen Firewall als eigenständiger Kommunikationspartner auftritt, „kennt” sie auch die Anwendungsebene und die dort verwendeten Protokollsysteme. Sie handelt somit nicht stur nach festgelegten Regeln für jeden Port, sondern bezieht auch die kommunizierende Anwendung mit ein. Außerdem ist sie in der Lage, Anomalien bei der Verwendung der gängigen Übertragungsprotokolle wie https, smtp oder DNS zu erkennen.
Im bekannten ISO-/OSI-Schichtenmodell setzt die Proxy-Firewall somit ganz oben in der Anwendungsebene an. Sie arbeitet somit zwar gegebenenfalls langsamer, aber auch deutlich zielgerichteter und zuverlässiger als eine klassische Port-Firewall, die sich auf die Ebenen Drei und Vier beschränkt.
In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.
Zu den Vorteilen der Proxy-Firewall gehören:
- erhöhte Sicherheit
- detailliertere Analysemöglichkeiten
- eine weitreichende Abschottung der zu schützenden Netzwerkarchitektur vom öffentlichen Internet
Außerdem verfügen Proxy-Firewalls meist über umfangreiche Logging-Funktionen. Anhand dieser lassen sich Angriffe gut auswerten und schnell identifizieren.
Wesentliche Nachteile der Proxy-Firewall hingegen liegen darin, dass die Firewall nicht immer jede Anwendung und deren Protokolle optimal „versteht“. Hinzu kommt, dass für jede zu schützende Anwendung eine eigene Proxy-Instanz notwendig ist. Das kann zu erheblichem Wartungsaufwand und hohen Anforderungen an die benötigte Rechenleistung führen. Auch der Einsatz von VPN-Verbindungen über proxybasierte Firewalls ist häufig nicht oder nur über Umwege möglich. Fällt die Proxy-Firewall einmal aus, liegt außerdem zumeist die gesamte Kommunikation brach.
Stateful-Firewall
Das Prinzip der zustandsorientierten („stateful”) Firewall basiert auf der Idee, dass in vertrauenswürdigen Umgebungen keine fortlaufende, detaillierte Prüfung der ein- und ausgehenden Datenpakete durchgeführt werden muss. Voraussetzung hierfür ist jedoch, dass die Kommunikation mit der „Gegenstelle” als vertrauenswürdig eingestuft wurde. Das spart in der Praxis Ressourcen und beschleunigt die Kommunikation zwischen Endpunkten. Kann die Firewall ein- oder ausgehende Datenpakete hingegen keiner gültigen Anwendung zuordnen oder entsprechen sie schlicht nicht den Kriterien für eine sichere Verbindung, blockiert die zustandsorientierte Firewall sie ebenso wie andere Firewall-Arten.
Die zugrundeliegende Paketfiltertechnik ist als „Stateful Packet Inspection (SPI)“ bekannt. Die Analyse der Datenpaket-Segmente erfolgt im ISO-/OSI-Schichtenmodell auf Ebene Drei. Die entsprechenden Zustände speichert die Firewall in Tabellen und hält sie für eine gewisse Zeit aufrecht. Findet länger keine Kommunikation zwischen den Endpunkten statt, schließt sie die Verbindung (Session). Anwender:innen müssen sie dann neu herstellen. Alternativ bleibt sie mit Hilfe sogenannter „Keep Alive”-Pakete, die zwischen den Teilnehmer:innen hin und her geschickt werden, aktiv.
Was in der Praxis einfach und logisch klingt, erfordert softwareseitig durchaus Aufwand. Denn immerhin müssen Firewalls je nach verwendetem Übertragungsprotokoll verschiedene mögliche Zustände in der Datenkommunikation berücksichtigen. Ein Beispiel für eine clientseitige Stateful-Firewall ist die Firewall-Komponente des Windows Defenders.
Zu den Vorteilen der Stateful-Firewall gehören:
- gute Performance im Alltag
- eine intelligente und präzise Arbeitsweise bei der Paketfilterung
- Vorteile bei der Abwehr bekannter Schadensquellen
Ein Nachteil ist eine mögliche falsch-positive Identifikation von Datenverkehr, also das fälschliche Einstufen einer Kommunikation als vertrauenswürdig. Ist dies der Fall, leitet die Statefull-Firewall die nachfolgenden Datenpakete einfach durch. Das macht die sie vergleichsweise anfällig für DDoS-Angriffe, da sie jedes eingehende, nicht vertrauenswürdige Paket zunächst ausführlich prüft. Eine stets aktuelle und korrekte Konfiguration der Stateful-Firewall ist also grundlegend dafür, dass sie optimal arbeiten kann. Das macht sie vergleichsweise teuer im Betrieb, wenn es um die Absicherung von Rechnerverbünden geht. Abhilfe können hier jedoch ein Application-Layer-Gateway auf separater Hardware oder eine cloudbasierte Firewall schaffen.
NGFW: Firewall der nächsten Generation
Wie der Name bereits andeutet, ist eine Next-Generation-Firewall (NGFW)“ eine wesentliche Weiterentwicklung klassischer Firewall-Typen. Ihre Funktionsweise geht deutlich über die Analyse von Datenpaketen auf Protokoll- und Port-Ebene hinaus. Ebenso wie Proxy- und Stateful-Firewalls analysiert ein NGFW ein- und ausgehende Daten auf Anwendungsebene. Allerdings sind die zugrundeliegenden Regelsätze nicht mehr statisch, sondern dynamisch. Sie unterliegen also einer fortlaufenden Anpassung.
Ein wichtiger Grund, die bisherige Idee hinter dem Firewall-Prinzip kontinuierlich weiterzuentwickeln, ist die Tatsache, dass ein Großteil des Internet-Datenverkehrs inzwischen über den https-Port 443 für sichere Webseiten abläuft – und somit über einen einzigen Port. Das liegt vor allem daran, dass früher separat laufende Dienste wie ftp (Dateitransfer) oder smtp (E-Mails) inzwischen häufig Bestandteil von Webangeboten sind und vollständig in der Cloud laufen. Gibt man nun in einer klassischen Firewall den Port 443 ohne weitere Prüfmechanismen frei, lässt man bei fehlenden, weiteren Prüfmechanismen im Zweifel auch eintreffende Datenpakete mit schädlichem Inhalt durch, was unbedingt zu verhindern ist.
Trotzdem überprüft eine Next-Generation-Firewall sowohl das im Datenverkehr verwendete Protokoll als auch den eingesetzten Port. Gleichzeitig überwacht das NGFW-System das Verhalten der beteiligten Nutzer:innen und entscheidet anhand weiterer Kriterien (Policies), was als verdächtig gilt und was nicht.
Außerdem beinhalten viele „bedrohungsorientierte” Next-Generation-Firewalls sowohl einen Virenschutz als auch Mechanismen gegen Spam, anstößige Inhalte und einiges mehr. Zu den optionalen Funktionen einer NGFW zählen außerdem VPN-Lösungen, sowohl auf IPSec- als auch auf SSL-Basis. In der Summe lösen Firewalls der „nächsten Generation“ also sukzessive bislang einzeln aufgesetzte Lösungen wie Intrusion-Protection-Systeme (IPS) zum Schutz vor Eindringlingen, Proxies und Ähnliches ab.
Gängige (weitere) Funktionen von NGFW sind:
- Deep Packet Inspection (DPI): Dieser Mechanismus prüft nicht nur Datenpakete über dessen Header hinaus, sondern bietet auch die Möglichkeit, Bandbreiteneinschränkungen auf Anwendungsbasis zu konfigurieren.
- SSL/TLS-Termination: Insbesondere verschlüsselte Kommunikation lässt sich nur schwerlich auf schädlichen Inhalt hin überprüfen, wie es bei SSL- und TLS-Übertragungen der Fall ist. Einige NGFW sind so konfiguriert, dass sie auch diese Inhalte lesen und mithilfe einer neuen Verschlüsselung dann weiterleiten können. Datenschutzrechtlich bleiben hier allerdings offene Fragen. Das liegt daran, dass nicht der eigentliche Empfänger, sondern die Firewall die Daten ausliest. Und zu dieser gibt es immer auch mindestens einen, meist jedoch mehrere Administrator:innen. Diese könnten absichtlich oder unabsichtlich vertrauliche Kommunikation mitlesen.
- Sandboxing: Ob ein bestimmter Code, ein E-Mail-Anhang oder andere Daten schädlich sind, lässt sich häufig erst durch Ausführen ermitteln. Hierzu bieten einige NGFWs eine sogenannte Sandbox-Umgebung, in der die Firewall möglichen Schadcode gefahrlos ausführt und so auf mögliche Malware untersucht. Entsprechend großzügige Hardware-Ressourcen sind hier allerdings Voraussetzung, um den Datenverkehr nicht erheblich zu verzögern. Denn ein solches System kann eine Menge Rechenleistung beanspruchen.
Der NGFW-Ansatz entwickelt sich fortlaufend weiter. Derzeit passen Entwickler:innen ihn vor allem in Richtung Kontextsensitivität, Cloud-Unterstützung sowie virtuelle Umgebungen an. Immerhin sind herkömmliche Firewalls in der Vergangenheit nicht selten durch falsch-positive Filterung von Datenverkehr aufgefallen. Solche Situationen sind zwar nicht so schlimm wie nicht erkannte Angriffe, können aber im Arbeitsalltag durchaus zu Frustration führen.
Damit eine Firewall präzise und zuverlässig arbeitet, ist es also offensichtlich notwendig, auf Bedrohungen intelligent zu reagieren und sich von statischen Regeln weitgehend zu verabschieden. Eine wesentliche, aktuelle Bedrohung stellen dabei sogenannte APT-Angriffe („Advanced Persistent Threats“) dar. Bei dieser Angriffsform investieren einzelne Hacker:innen oder ganze Gruppen erheblichen, teils manuellen Aufwand, um bestehende Firewall-Systeme zu umgehen. Derartige Angriffe zuverlässig und dauerhaft abzuwehren, bleibt eine wesentliche Herausforderung auch für NGFWs.
Zu den Vorteilen der NGFW gehört vor allem, dass sie die wichtigen Eigenschaften klassischer Firewall-Ansätze mit modernen Sicherheitsmechanismen vereint. Die Firewall-Anbieter erweitern sie außerdem fortlaufend, da sich die Bedrohungslage ständig verändert.
Zu den Nachteilen der NGFW zählt, dass diese nicht immer einfach zu konfigurieren, zu administrieren und aktuell zu halten sind. Eine Ausnahme sind Managed-Services, also solche unter „fremder“ Verwaltung. Solche Systeme sind auch als UTM-Lösungen bekannt.
UTM-Firewall: Ist Unified Threat Management eine Alternative zur NGFW?
Einen etwas anderen Ansatz zum umfassenden Schutz von Netzwerksystemen stellt das sogenannte Unified Threat Management (UTM) dar. Es basiert ebenso wie die NGFW auf der Annahme, dass eine wirksame Abwehr von Bedrohungen nur über ein ganzheitliches System gelingen kann. Allerdings arbeitet eine UTM-Firewall sozusagen top-down und stellt eine umfassende Lösung auf Enterprise-Niveau ohne zusätzlichen Management-Aufwand bereit. Diese können Sie dann individuell anpassen, indem Sie beispielsweise einzelne Aspekte aus Relevanz- oder Kostengründen streichen.
Ein großer Vorteil des UTM-Ansatzes ist dessen einfache und schnelle Umsetzung: Kommerzielle Expert:innen kümmern sich sowohl um die Implementierung als auch die Aktualisierung der entsprechenden Lösung.
Nachteilig sind die meist vergleichsweise hohen Kosten. Hier sollten Sie genau darauf achten, was Sie tatsächlich benötigen und was nicht.
In der Praxis nähern sich NGFW-Lösungen den UTM-Komplettlösungen immer mehr an. Die Entscheidung für den einen oder anderen Ansatz ist somit häufig eine Frage der vorhandenen IT-Expertise und der entsprechenden personellen Ressourcen im Unternehmen.
Firewall-as-a-Service: Die Firewall als Cloud-Dienstleistung
Das Prinzip der Firewall-as-a-Service (“Firewall als Dienstleistung“) verlagert die Firewall dorthin, wo heute der größte Teil der unternehmenseigenen Daten und Anwendungen verortet ist: In die Cloud. Auf Basis einer Cloud-Firewall stellt das Prinzip erweiterte NGFW-Funktionen für alle angebundenen Rechner zur Verfügung.
Diese recht neue Prinzip ist spätestens seit der vermehrten Nutzung von Remote Work und hybriden Arbeitsmodellen nötig geworden, in dessen Zuge sich Geschäftsprozesse aus dem Unternehmensnetzwerk in die Cloud verlagert haben. Ursprüngliche Next-Generation-Firewalls sind auf Unternehmensservern installiert und weisen häufig keine ausreichende Skalierbarkeit in Bezug auf cloudnative Anwendungen auf. Zudem können sie das hohe Verbindungsvolumen in der Cloud aus dem Rechenzentrum des Unternehmens heraus nur schwer bewältigen. Hohe Latenzzeiten sind die Folge.
Wollte man herkömmliche Sicherheitsansätze auf die veränderten Arbeitsmodelle übertragen, müssten diese an jedem einzelnen Standort beziehungsweise genutzten Gerät vorhanden sein. Dies würde Homeoffice-Arbeitsplätze und Mobilgeräte einschließen und wäre weder vom Aufwand noch von der Logistik her zu rechtfertigen.
Stattdessen ermöglichen es FWaaS-Lösungen, Sicherheitsfunktionen auf allen sieben Schichten als Cloud-Service bereitzustellen und speziell auf die Anwendungen und Nutzer:innen eines Unternehmens zuzuschneiden.
Weitere Vorteile von Firewall-as-a-Service sind zudem eine effektive SSL-Überprüfung – in Zeiten des zunehmenden verschlüsselten Datenverkehrs ein immer wichtigerer Aspekt – sowie verzögerungsfreie Übertragungen auch bei hohen Zugriffszahlen auf die Cloud.
Nachteile bestehen in einem Mietmodell, das sich nur auf die Cloud erstreckt, so dass Sie unter Umständen eine separate Firewall-Lösung für Ihre On-Premises-Anwendungen und das Unternehmensnetzwerk benötigen.
Web Application Firewall (WAF): So sichern Sie Ihre Web-Anwendungen sinnvoll ab
Wie bereits erwähnt, findet ein Großteil des derzeitigen Internet-Datenverkehrs auf Basis von Web-Anwendungen statt. Dazu zählen neben E-Mail-Clients auch und vor allem Shop-Systeme, Self-Service-Administration-Toolkits und Web-Oberflächen bekannter Messenger-Dienste wie Teams, Slack und Co.
Kaum verwunderlich also, dass Hacker:innen inzwischen auch Web-Anwendungen ins Visier nehmen. Zu den typischen Bedrohungen, gegen die eine Web Application Firewall (WAF) Schutz bieten soll, zählen beispielsweise Injection-Angriffe (LDAP, SQL), Cross-Site-Scripting (XSS), Parameter-Veränderungen, Cookie-Manipulationen und Pufferüberlaufangriffe. Bei einer WAF handelt es sich um eine Firewall auf Anwendungsebene, die insbesondere bei Betreiber:innen großer Webseiten zu den kaum verzichtbaren Lösungen zählt.
Die Funktionsweise ähnelt dem üblichen Firewall-Prinzip: Eine WAF untersucht im Hintergrund fortlaufend sämtliche Anfragen an und Antworten des Web-Servers, den sie schützen soll. Verdächtige Inhalte oder Anfragen wehrt die WAF im Idealfall umgehend ab. Um jedoch zuverlässig arbeiten zu können, muss die webbasierte Firewall zunächst eine „Lernphase“ durchlaufen.
Dabei wird mithilfe eines Anwendungs-Sicherheitsscanners (Application Security Scanner) analysiert, welche Aktionen als typisch gelten können und welche nicht. Im laufenden Betrieb wiederum analysieren interne oder externe Administrator:innen fortlaufend die Logdateien des Systems, um verdächtige Aktivitäten und Schwachstellen in der eigenen Konfiguration zu erkennen und zeitnah zu reagieren.
Zu den Vorteilen der Web Application Firewall zählt, dass sie einen zusätzlichen Schutz vor gängigen Bedrohungen im Web bietet. Dieser Schutz gilt auch für Systeme, die selbst keine Updates mehr erfahren, aber im Hintergrund einer Webseite weiterhin aktiv sind.
Zu den Nachteilen gehört, dass WAFs in Unternehmen mitunter für eine trügerische Sicherheit sorgen. Außerdem führen Unterschiede in der Bearbeitung von eingehenden Anfragen zu möglichen neuen Sicherheitsrisiken, die Hacker:innen ausnutzen könnten. Nicht zuletzt muss auch eine WAF fortlaufend aktuell bleiben, was in der Praxis Aufwand und Kosten verursacht – oder eben Sicherheitslücken eröffnet.
Das Wichtigste zum Thema Firewalls in Kürze
Eine Firewall sichert Ihr internes Firmennetzwerk gegen Angriffe von außen ab und ist demnach ein wesentlicher Bestandteil jedes IT-Sicherheitskonzepts. Anbieter sowie Standardisierungsgremien haben Firewalls über die Jahre fortlaufend technologisch weiterentwickelt und an die veränderte Bedrohungslage im Internet angepasst. Dabei unterscheiden sich Firewall-Systeme hinsichtlich ihrer Entwicklungsstufen, Einsatzgebiete sowie ihres Leistungsumfangs:
- Eine reine Port-Firewall sichert ein- und ausgehende Verbindungen auf rudimentäre Art, indem sie bestimmte Ports auf einem Rechner oder innerhalb eines Rechnerverbunds je nach dessen Aufgabe(n) blockiert oder freischaltet.
- Eine Proxy- oder Gateway-Firewall fungiert als zwischengeschaltetes Stellvertreter-System und ist in der Lage, Datenpakete auch auf Anwendungsebene zu untersuchen.
- Eine Stateful-Firewall sichert die ein- und ausgehende Kommunikation zusätzlich auf der Basis von geprüften Sitzungen und vertrauenswürdigem Datenverkehr ab.
- Die Next-Generation-Firewall (NGFW) ist in der Lage, noch mehr Aspekte des Datenverkehrs zu überwachen, wie beispielsweise das typische Nutzungsverhalten. Sie kann gegebenenfalls sogar verschlüsselte Kommunikation auslesen.
- Mithilfe von Unified Threat Management (UTM) sichern sich Unternehmen mit einer ganzheitlichen, verwalteten Sicherheitslösung gegen Bedrohungen von außen ab. NGFW und UTM sind dabei eng verwandt.
- Eine Web Application Firewall wiederum kennt typische Nutzungs- und Bedrohungsszenarien in webbasierten Systemen und schützt somit Webanwendungen gezielt vor Bedrohungen.
Quelle:
https://www.vodafone.de/business/featured/technologie/firewalls-einfach-erklaert-definition-arten-und-einsatzzwecke-im-ueberblick/