Firewalls: Wie die Netzwerkhüter Angriffe aus dem Web abwehren

Jeder Anwender steht am Anfang vor der Frage, welche Art von Firewall für ihn die richtige ist. Die Auswahl an Herstellern ist groß, dennoch lassen sich die Produkte in drei grobe Kategorien einteilen:

• Hardware-basierte Firewalls
• Appliances
• reine Softwarelösungen (siehe Downloads)

Bei einer Hardware-basierten Firewall liegen die Regeln in einem ASIC (Application Specific Integrated Circuit) (externer Link),also fest in den Prozessor integriert. Das klingt sehr inflexibel, hat aber den Vorteil, dass diese Prozessoren auf hohe Netzwerklasten optimiert sind, und damit lange höhere Datendurchsatzraten ermöglichen als herkömmliche Prozessoren mit Firewall-Software. Netscreens Juniper und Watchguards Vclass nutzen die ASIC-Technologie für hohe Netzwerklasten, Fortinet kombiniert seinen ASIC gleich noch mit Antiviren-Technologie. Der Nachteil von ASICs liegt auf der Hand: Wenn neue Angriffe auftauchen, können sie nicht einfach per Software-Update in die Firewall eingebaut werden, sondern es braucht ein neues System. ASIC-basierte Systeme waren in ihren Anfängen sehr spartanisch ausgestattet, aber das hat sich längst geändert und sie können es vom Funktionsumfang mit Software-Firewalls heute aufnehmen. Sie bringen eigene, proprietäre Betriebssysteme mit, zum Beispiel das ScreenOS von Juniper.

Eine reine Software-Firewall wird auf ein bestehendes System installiert. Es ist die scheinbar einfachste Variante, sie braucht aber am meisten Pflege, denn wenn das System, auf dem die Firewall läuft, nicht sicher ist, dann nützt auch die Firewall nichts. Ein nicht auf den aktuellsten Stand gebrachtes Windows kann trotz perfekt konfigurierter Firewall Eindringlingen das Tor ins Netzwerk öffnen. Daher laufen Software-Firewalls im Idealfall auf „gehärteten“ Betriebssystemen. Hier sind alle Funktionen ausgeschaltet, die nicht unbedingt gebraucht werden oder gefährlich sein können, zum Beispiel Netzwerkfunktionen.

Der Mittelweg zwischen ASIC und Softwarelösungen ist die mittlerweile sehr populäre Appliance. Einer der Vorreiter war hier die Firma Astaro mit ihrer Linux-basierten Gateway-Lösung. Weitere Anbieter sind die deutsche Gate Protect, Sonicwall, aber auch die großen wie Cisco, Symantec und Checkpoint gemeinsam mit Nokia und Phion bieten solche Lösungen an. Hier hat sich der Hersteller bereits die Mühe gemacht, eine Software-Firewall gemeinsam mit einem bereits gehärteten und auf die Firewall abgestimmten Betriebssystem auf eine Hardware zu installieren. Der Vorteil: Das Betriebssystem ist bereits abgesichert, dennoch können Patches im Nachhinein eingespielt werden, falls sich neue Bedrohungen ergeben.

Für welches System man sich entscheidet, hängt vor allem davon ab, was geschützt werden soll und wie viel Zeit der Administrator investieren kann. Während die meisten Privatanwender zu den günstigen Software-Firewalls greifen, empfehlen sich Appliances für kleinere Büros oder Firmen, weil sie mit diesen Systemen viel Sicherheit mit wenig administrativem Aufwand bekommen. Große Firmen oder leidenschaftliche Administratoren brauchen unter Umständen die Möglichkeit, am Betriebssystem unter ihrer Firewall-Software bestimmte Dinge zu automatisieren und sollten daher auf reine Software und selbst konfigurierbare Betriebssysteme zurückgreifen. Bei hohem Netzwerkdurchsatz empfiehlt sich ein Test ASIC-basierter Systeme, auch wenn jeder versichert, seine Appliances seien mittlerweile ebenso schnell.