Zum Inhalt

Firewall

Eine Firewall soll unbefugte Zugriffe auf ein privates, kommerzielles oder staatliches Netz verhindern, obwohl (oder gerade weil) das Netz nach außen mit einem öffentlichen Netz verbunden ist. Ist eine TCP/IP-Verbindung einmal hergestellt, wird grundsätzlich jedes Datenpaket transportiert. Ein Router interessiert sich im Gegensatz zu einer Firewall nicht für den Inhalt der Pakete, die er vermittelt, obwohl die Funktionalität durchaus vergleichbar wäre.

Im Prinzip funktioniert eine Firewall so, dass die Verbindung nach außen abgeschnitten wird und ein Rechner mit zwei Netzwerkschnittstellen dazwischen gesetzt wird. Dieser Computer arbeitet fast wie ein Router. Allerdings schickt er nicht jedes Paket auf die andere Seite, sondern überprüft anhand seiner Regeln, ob das Paket passieren darf, ob es zurückgewiesen oder einfach nur verworfen wird.

Da jedes Paket die IP-Nummer des Senders und des Empfängers enthält und darüber hinaus die Portnummer der beiden, kann der „Firewall“-Rechner erkennen, zu welchem Zweck das Paket versandt wurde. Beispielsweise wird eine Anfrage an einen Webserver im Internet als Empfänger eine IP-Nummer haben, die nicht zum lokalen Netz gehört und z.B. die Portnummer 80 tragen. Der Absender hat eine IP-Nummer aus dem Firmenbereich und als Portnummer eine beliebige Nummer (Dynamischer Port), die nicht zu den well-known Ports gehört. Bei der Antwort des Servers werden Empfänger und Absender umgetauscht. Dagegen würde ein Versuch, den firmeninternen Intranet-Webserver von außen anzugreifen, anders aussehen. Der Empfänger des Pakets hätte eine IP-Nummer des internen Firmennetzes und die Portnummer wäre 80. Es ist also an den Paketadressen erkennbar, wer Client und wer Server ist.

Üblicherweise initialisiert man die Firewall-Regeln, um jedwede unbekannte Kommunikation zu unterbinden. Anschließend werden sukzessive die benötigten und ungefährlichen Kommunikationswege zugelassen. Es muss also der Zugriff vom Webserver über den Port 80 nach außen explizit freigegeben werden, sonst werden je nach Regel die Pakete geblockt oder verworfen.