Was ist eine statische Firewall?

Stateful Firewall fängt Pakete auf der Netzwerkebene ab und leitet und analysiert dann Daten von allen Kommunikationsebenen, um die Sicherheit zu verbessern. Informationen zum Verbindungsstatus und andere Kontextdaten werden gespeichert und dynamisch aktualisiert. Dies liefert wertvollen Kontext bei der Bewertung zukünftiger Kommunikationsversuche.

Get a Personal Firewall Demo Miercom 2024 NGFW-Sicherheitsbenchmark

Wie funktioniert eine Stateful Firewall?

Computer verwenden klar definierte Protokolle, um über lokale Netzwerke und das Internet zu kommunizieren

Dazu gehören Transportprotokolle niedriger Schichten wie TCP und UDP sowie Protokolle höherer Anwendungsschichten wie HTTP und FTP.

Stateful Firewall überprüft Netzwerkpakete und verfolgt den Status von Verbindungen anhand der bekannten Protokolle, die in der Netzwerkverbindung verwendet werden. TCP ist beispielsweise ein verbindungsorientiertes Protokoll mit Fehlerprüfung, um die Paketzustellung sicherzustellen.

Eine TCP-Verbindung zwischen Client und Server beginnt zunächst mit einem Drei-Wege-Handshake, um die Verbindung herzustellen. Ein Paket wird von einem Client gesendet, wobei im Paket ein SYN-Flag (Synchronisieren) gesetzt ist. Der Server, der das Paket empfängt, versteht, dass es sich hierbei um einen Verbindungsaufbauversuch handelt und antwortet mit einem Paket mit gesetzten SYN- und ACK-Flags (Bestätigung). Wenn der Client dieses Paket empfängt, antwortet er mit einem ACK, um mit der Kommunikation über die Verbindung zu beginnen.

Dies ist der Beginn einer Verbindung, die dann andere Protokolle zur Datenübertragung oder Kommunikation nutzen.

Beispielsweise kann der Browser des Clients die hergestellte TCP-Verbindung verwenden, um das Webprotokoll HTTP GET zu übertragen und den Inhalt einer Webseite abzurufen.

 

Wenn die Verbindung hergestellt ist, gilt der Zustand als hergestellt. Am Ende der Verbindung brechen Client und Server die Verbindung mithilfe von Flags im Protokoll wie FIN (Finish) ab. Wenn sich der Status der Verbindung von „offen“ zu „hergestellt“ ändert, speichert die zustandsbehaftete Firewall die Status- und Kontextinformationen in Tabellen und aktualisiert diese Informationen dynamisch, während die Kommunikation fortschreitet. Die in den Statustabellen gespeicherten Informationen liefern kumulative Daten, die zur Bewertung zukünftiger Verbindungen verwendet werden können.

 

Bei zustandslosen Protokollen wie UDP erstellt und speichert die Stateful Firewall Kontextdaten, die im Protokoll selbst nicht vorhanden sind. Dadurch kann die Firewall eine virtuelle Verbindung zusätzlich zur UDP-Verbindung verfolgen, anstatt jedes Anforderungs- und Antwortpaket zwischen einer Client- und Serveranwendung als einzelne Kommunikation zu behandeln.

FTP-Beispiel

FTP-Sitzungen verwenden mehr als eine Verbindung. Eine davon ist eine Befehlsverbindung und die andere ist eine Datenverbindung, über die die Daten übertragen werden.

Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4

Beim Aufbau der Datenverbindung sollten die in dieser Verbindungstabelle enthaltenen IP-Adressen und Ports verwendet werden. Eine Stateful-Firewall verwendet diese Daten, um zu überprüfen, ob jeder FTP-Datenverbindungsversuch eine Antwort auf eine gültige Anfrage ist. Sobald die Verbindung geschlossen ist, wird der Datensatz aus der Tabelle entfernt und die Ports werden blockiert, um unbefugten Datenverkehr zu verhindern.

Stateful vs. Stateless

Eine zustandslose Firewall wertet jedes Paket einzeln aus. Es kann die Quell- und Ziel-IP-Adressen und Ports eines Pakets überprüfen und es basierend auf einfachen Zugriffskontrolllisten (ACL) filtern. Beispielsweise kann eine zustandslose Firewall eine „Standardverweigerungs“-Richtlinie für den Großteil des eingehenden Datenverkehrs implementieren, die nur Verbindungen zu bestimmten Systemen wie Web- und E-Mail-Servern zulässt. Erlauben Sie beispielsweise Verbindungen zu bestimmten IP-Adressen auf den TCP-Ports 80 (HTTP) und 443 (HTTPS) für das Web und TCP-Port 25 (SMTP) für E-Mails.

Stateful Firewall hingegen verfolgt und untersucht eine Verbindung als Ganzes. Sie verfolgen den aktuellen Status von Stateful-Protokollen wie TCP und erstellen ein virtuelles Verbindungs-Overlay für Verbindungen wie UDP.

Stateful Firewall verfügen über die gleichen Fähigkeiten wie zustandslose Firewalls, sind jedoch auch in der Lage, Anwendungskommunikation dynamisch zu erkennen und zuzulassen, was bei zustandslosen Firewalls nicht der Fall wäre. Stateless Firewall sind nicht anwendungsbewusst, d. h. sie können den Kontext einer bestimmten Kommunikation nicht verstehen.

Stateful Firewall mit Check Point

Die Check Point Stateful Firewall ist in den Netzwerkstapel des Betriebssystemkerns integriert. Es befindet sich auf der untersten Softwareschicht zwischen der physischen Netzwerkschnittstellenkarte (Schicht 2) und der untersten Schicht des Netzwerkprotokollstapels, typischerweise IP.

Indem sie sich zwischen die physischen und Softwarekomponenten des Netzwerkstapels eines Systems einfügt, stellt die Check Point Stateful Firewall sicher, dass sie vollständige Sicht auf den gesamten Datenverkehr hat, der in das System ein- und ausgeht. Kein Paket wird von einer der höheren Protokollstapelschichten verarbeitet, bis die Firewall zunächst überprüft, ob das Paket der Sicherheitszugriffskontrollrichtlinie des Netzwerks entspricht.

Die Check Point Stateful Firewall bietet eine Reihe wertvoller Vorteile, darunter:

  • Erweiterbar: Die Stateful-Inspection-Implementierung von Check Point unterstützt Hunderte vordefinierter Anwendungen, Dienste und Protokolle – mehr als jeder andere Firewall-Anbieter.
  • Performance: Das einfache und effektive Design der Check Point-Firewall erzielt optimale Leistung, indem sie im Betriebssystemkern ausgeführt wird. Dies reduziert den Verarbeitungsaufwand und macht einen Kontextwechsel überflüssig. Darüber hinaus werden Caching- und Hash-Tabellen verwendet, um Daten effizient zu speichern und darauf zuzugreifen. Schließlich wird die Firewall-Paketinspektion optimiert, um eine optimale Nutzung moderner Netzwerkschnittstellen, CPU- und OS sicherzustellen.
  • Skalierbar: Unter Hyperscale versteht man kurz gesagt die Fähigkeit einer Technologiearchitektur, sich zu skalieren, wenn dem System mehr Bedarf hinzugefügt wird. Check Point Maestro bringt Agilität, Skalierbarkeit und Elastizität der Cloud vor Ort mit effektivem N+1-Clustering auf Basis der Check Point HyperSync-Technologie, die die Fähigkeiten der vorhandenen Firewall maximiert. Verschiedene Check Point-Firewalls können gestapelt werden, wodurch mit jeder zusätzlichen Firewall, die dem Cluster hinzugefügt wird, nahezu lineare Leistungssteigerungen erzielt werden.

Check Point’s next-generation firewalls (NGFWs) integrieren die Funktionen einer Stateful Firewall mit anderen wichtigen Netzwerksicherheitsfunktionen. Um mehr darüber zu erfahren, worauf Sie bei einer NGFW achten sollten, lesen Sie hier diesen Einkaufsführer. Gerne auch Fordern Sie eine kostenlose Demo an um die NGFWs von Check Point in Aktion zu sehen.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK