Firewall-Systeme

Unter einer "Firewall" verstehen Viele nur ein Produkt, das gekauft und installiert wird.
Eine Firewall für ein Netzwerk muß jedoch viel mehr sein.

Natürlich ist mit einem guten Firewall-Produkt wie Watchguard-Systeme, Cisco-PIX, einer Firewall-1 oder einer Raptor-Firewall ein hohes Maß an Stabilität und Sicherheit Ihres Internetzugangs zu erreichen. Voraussetzung ist jedoch, daß das Produkt konzeptionell richtig eingesetzt wird und Wartung sowie eine zyklische Überprüfung des Systems eingeplant werden.

Watchguard FireboxAbb: Watchguard "Firebox"

Eine Firewall ermöglicht - je nach Ausführung - ein Regelwerk, das bestimmt, wer wann mit welchen Diensten von wo auf welche Systeme zugreifen darf. Damit wird das Hausnetzwerk so an das Internet angekoppelt, daß Sie die gewünschten Internetdienste nutzen können, gleichzeitig jedoch werden Zugriffe von Extern, die nicht explizit erlaubt sind, blockiert.

Für kleinere Firmennetzwerke können die wichtigsten rudimentären Mechanismen zur Trennung des Hausnetzwerks vom Internet bereits mit einem ISDN- oder DSL-Router eingerichtet werden. Der Router koppelt das Hausnetzwerk via NAT ("network address translation") so an das Internet, daß Verbindungen im Wesentlichen nur von hausintern nach Extern aufgebaut werden können. So kann z.B. jeder PC Ihres Netzwerkes ins Internet, gleichzeitig ist Ihre Infrastruktur jedoch vor einfachen Angriffen gut geschützt.
Der Router kann in der Regel auch als 'Portfilter' (Filterung nach Netzwerkdiensten) oder 'Portforwarder' (Weiterleitung bestimmter Anfragen, z.B. eingehender Emails an den Mailserver) arbeiten und erlaubt einfache Regelwerke. Selbst ein Email- oder Webserver kann auf diesem Weg im Hausnetz betrieben werden; da bei einer einfachen Routerlösung nur Verbindungen kontrolliert werden und nicht, was darüber übertragen wird, stehen diese Server direkt mit den externen Kommunikationspartnern in Kontakt.

Für mehr Sicherheitsbedürfnis kann eine Anwendungs-Firewall eingesetzt werden. Sie überwacht und filtert die Kommunikation nicht nur auf Port-Ebene (z.B. Email = smtp = Port #25), sondern überwacht auch, wie Informationen auf dieser Anbindung ausgetauscht werden. Konzeptionell kann darüber hinaus z.B. ein Mailserver in der DMZ ("demilitarisierte Zone", auch "Perimeter-Netzwerk" oder "screened subnet") eingerichtet werden, der sämtliche Emails vom und ins Internet durchreicht. Damit schützen Sie Ihren hausinternen Mailserver vor potentiellen Angriffen. Bei einem Angriff wird Ihr hausinterner Netzwerkbetrieb kaum mehr beeinflusst.

Ein Proxy-Server kann zusätzlich neben dem Zwischenspeichern und Beschleunigen des Internetsurfens auch als Schutzmechanismus eingesetzt werden. Ein System wie Microsoft's ISA Server erlaubt es Ihnen, basierend auf den Benutzern im Hausnetzwerk Zugriffe gezielt zu erlauben oder zu verweigern. Gleichzeitig läßt sich damit ein OWA-System ("Outlook Web Access"; das Webmail-Frontend für Exchange Server) effektiv für den gewünschten Zugriff vom Internet aus absichern.

Diese Methoden lassen sich natürlich miteinander kombinieren, um einen höheren Schutz zu erreichen. Sie können fast beliebig viel Aufwand in Ihre Firewall-Lösung stecken. Wichtig ist, daß Sie ein gutes Mittel zwischen Aufwand und Nutzen finden. Lassen Sie sich beraten.

Eine Kontaktaufnahme ist für Sie kostenlos
- aber sicher nicht umsonst!