Firewalls sind Sicherheitssysteme mit Routing Funktionalität, die den Daten- oder Netzwerkverkehr kontrollieren, protokollieren, sperren oder zulassen können. Sie sind ein wichtiges Element in einem Netzwerk und werden verwendet, um den Zugang zu Systemen oder zu deren Diensten einzuschränken.
Sie besteht aus Hard- und Softwarekomponenten. Die Hardwarekomponenten einer Firewall sind Systeme oder Rechner mit Netzwerkschnittstellen wie Router, Server oder Hosts. Die Softwarekomponenten sind beispielsweise Paketfilter oder Proxyserver.
Man unterscheidet im Allgemeinen noch zwischen host- und netzwerkbasierten Firewalls. Hostbasierte Firewalls werden auf Hostcomputern ausgeführt und kontrollieren den Netzwerkverkehr zu und von diesen Computern. Netzwerkfirewalls filtern den Datenverkehr zwischen zwei oder mehreren Netzwerken, zum Beispiel durch eine VPN-Verbindung.
Eine Firewall arbeitet klassischerweise auf der Vermittlungsschicht (Layer 3) und der Transportschicht (Layer 4) des OSI-Referenzmodells. Aus diesem Grund werden Firewalls auch Paketfilter genannt. Zur Filterung der Pakete nutzt die Firewall einen festgelegten Regelsatz. Die Regeln werden von einem Firewall-Administrator erstellt und gepflegt. Jedes neue Paket wird im Normalfall gegen alle Regeln geprüft. In der Reihenfolge von oben nach unten. Sollte keine der bestehenden Regeln auf das Paket angewendet werden können, greift die sogenannte „Default Policy“.
Diese hat zwei mögliche Konfigurationen, „Alles erlauben“ oder „Alles sperren“. Letztere ist zu empfehlen, da sie die Grundsicherheit erhöht und nur Netzwerkverkehr zugelassen wird für den eine Regel existiert. Die Firewall oder der Paketfilter ist in der Lage, Netzwerkpakete, basierend auf verschiedenen Merkmalen, wie beispielsweise IP-Absenderadressen, IP-Zieladressen, Protokoll oder Portnummern zu filtern oder zu manipulieren. Die Paketmanipulation kommt beispielsweise bei der Network Adress Translation (NAT) zum Einsatz.
Des Weiteren unterscheidet man zwischen einer Stateful Packet Inspection und Stateless Packet Inspection. Eine Firewall kann mit Stateful Packet Inspection den Verbindungszustand des Netzwerkverkehrs interpretieren und so erkennen, ob es sich um eine neue oder bestehende Verbindung handelt. Dies hat den Vorteil, dass nicht jedes einzelne Paket von bestehenden Verbindungen gegen den gesamten Regelsatz geprüft werden muss. Aus Performance und Geschwindigkeitsgründen arbeiten Firewalls in der Regel immer mit Stateful Packet Inspection.
Der weit verbreitetste Paketfilter ist der Linux „netfilter“, welcher ein Teil des Linux-Kernels ist. Dieser kommt in Produkten von namenhaften Herstellern zum Einsatz und kann mit dem bekannten Programm „iptables“ bedient werden.
Eine klassische Firewall oder ein Paketfilter hat keine Möglichkeit, Deep-Packet-Inspection zu betreiben. Funktionen, wie IDS (Intrusion Detection System), IPS (Intrusion Prevention System) oder WAF (Web application Firewall) sind in der Regel Teil einer Next Generation Firewall (NGFW) oder Letzteres ein Teil eines Application Layer Gateways.
