Während Firewalls noch vor wenigen Jahren großen Unternehmen vorbehalten waren, besitzt mittlerweile jeder kleine ISDN- oder DSL-Router diese Funktion. Und wer sich direkt per Modem, sei es analog oder DSL-digital mit dem Internet verbindet, kann auf Software-Firewalls zurückgreifen, die den gleichen Zweck erfüllen. Unterschiede gibt es natürlich trotzdem, auch wenn die allgemeine Funktion mit "ein Gerät, das den Netzwerkverkehr anhand von definierten Regeln filtert und nur erwünschte Pakete an ihr Ziel kommen lässt" simpel und klar beschrieben ist.
Firewalls erreichen dieses Ziel, indem sie Pakete, die durch sie passieren wollen, einer Prüfung unterziehen. Die abgefragten Kriterien können vielfältig sein, die IP-Adresse von Sender und Empfänger zum Beispiel, das verwendete Protokoll oder der Port, den das Paket ansprechen will. Hat der Benutzer eine Regel definiert, die auf das Paket anwendbar ist, greift die Firewall auf das Default-Verhalten zurück. Normalerweise verwirft sie dann das Paket.
 |
| Eine optimal konfigurierte Firewall gibt nur so viele Ports frei wie unbedingt nötig - und blockt kategorisch alle anderen Verbindungen. |
|
Eine komplett geschlossene Firewall für Ein- und Ausgang schützt wirkungsvoll vor Angriffen. Allerdings könnte man den PC dann genauso gut vom Netz trennen, denn Kommunikation ist nicht mehr möglich. Die Regeln, nach denen eine Firewall den Zugang beschränkt oder verwehrt, müssen durchdacht sein. Ein wichtiges Kriterium ist dabei die IP-Adresse. Wer seinen Spieleserver für die Kumpels um die Ecke freigeben will und für sonst niemand, könnte eine Regel erstellen, die die Firewall für deren IP-Adressen öffnet. Leider macht die übliche Praxis der Internet-Service Provider, nur dynamische IPs zu vergeben, das weitgehend unmöglich. Wer es trotzdem versuchen will, muss vor dem Erstellen der Regel mit seinen Freunden telefonieren und deren aktuelle, im Internet sichtbare, IP-Adressen erfragen. Trägt er diese in die Regel ein, funktioniert der Zugriff, bis der Provider neue dynamische IPs verteilt. Mit dynamischen Hostnamen, wie sie beispielsweise DynDNS anbietet, kann fast keine Firewall umgehen.
