Der Zweck einer Firewall besteht darin, die Arten von Datenverkehr zu verwalten, die in ein geschütztes Netzwerk gelangen und dieses verlassen können. Die Firewall sitzt an der Netzwerkgrenze und prüft den gesamten eingehenden und ausgehenden Datenverkehr, der versucht, diese Grenze zu überschreiten. Basierend auf ihrem definierten Regelsatz lässt oder blockiert die Firewall den Datenverkehr, der diese Grenze überschreitet.
Firewall gibt es in verschiedenen Formen und können auf unterschiedliche Weise klassifiziert werden. Obwohl es wichtig ist, den Unterschied zwischen einer Firewall für kleine Unternehmen und einer Firewall für Unternehmen zu kennen, gibt es noch grundlegendere Unterscheidungsmerkmale, beispielsweise ob eine Firewall zustandsbehaftet oder zustandslos ist.
Eine Stateful-Firewall ist eine Firewall, die einen „Zustand“ aufrechterhält oder Informationen über aktive Netzwerkverbindungen speichert. Wenn eine Verbindung geöffnet wird, beginnt die Firewall mit der Verfolgung und aktualisiert ihren internen Status, wenn neue Pakete von der Firewall überprüft und verarbeitet werden.
Die Fähigkeit, den Status beizubehalten, ermöglicht es der Firewall, scheinbar legitime Pakete zu identifizieren, die in der falschen Reihenfolge eintreffen und ungültig sind. Beispielsweise erlauben die meisten Organisationen eingehenden DNS-Verkehr, da Computer innerhalb der Organisation DNS-Anfragen ausführen müssen, um die mit verschiedenen Websites verknüpfte IP-Adresse zu ermitteln. Eine Stateful-Firewall, die den Header eines eingehenden DNS- Antwortpakets überprüft, stellt fest, dass sie die Portnummer 53 hat. Dies ist eine Portnummer, die gemäß den definierten Regeln für eingehenden Datenverkehr zulässig ist.
Ein DNS-Antwortpaket ist jedoch nur dann gültig, wenn es als Antwort auf eine entsprechende Anfrage kommt. Eine Stateful-Firewall verfügt über eine Aufzeichnung der vom Zielsystem gestellten DNS-Anfragen, auf die keine Antwort erfolgt. Wenn eine Stateful-Firewall eine DNS-Antwort ohne entsprechende Anfrage erkennt, weiß sie, dass sie diese bösartige Antwort blockieren muss.
Eine zustandslose Firewall unterscheidet sich von einer zustandsorientierten Firewall dadurch, dass sie keinen internen Status von einem Paket zum anderen aufrechterhält. Stattdessen wird jedes Paket anhand der Daten bewertet, die es in seinem Header enthält.
Dadurch kann die Firewall eine grundlegende Filterung ein- und ausgehender Verbindungen durchführen. Durch die Überprüfung der IP-Adresse eines Pakets kann festgestellt werden, ob es von der Richtlinie zugelassen wird oder nicht. Ebenso blockiert eine zustandslose Firewall Pakete, die Netzwerkprotokolle verwenden, die das geschützte Netzwerk nicht betreten oder verlassen dürfen.
Zustandsbehaftete und zustandslose Firewall unterscheiden sich größtenteils darin, dass ein Typ den Status zwischen Paketen verfolgt, der andere jedoch nicht. Ansonsten funktionieren beide Arten von Firewall auf die gleiche Weise: Sie prüfen Paket-Header und nutzen die darin enthaltenen Informationen, um anhand vordefinierter Regeln zu bestimmen, ob der Datenverkehr gültig ist oder nicht. Der von der Stateful Firewall verwaltete Status ermöglicht es ihr, verschiedene Bedrohungen zu identifizieren, die die Stateless Firewall nicht erkennen kann.
Einige Arten von Angriffen nutzen und missbrauchen legitime Pakete, um ihre Ziele zu erreichen, darunter die folgenden:
In beiden Fällen ist jedes einzelne Paket legitim, d. h. eine zustandslose Firewall lässt es durch. Um den Angriff zu identifizieren, ist ein Kontext erforderlich, den nur eine Stateful-Firewall hätte.
Eine Stateful-Firewall kann alles, was eine Stateless-Firewall kann, aber das Gegenteil ist nicht der Fall. Bestimmte Angriffe können nur im Kontext erkannt werden, den das State Tracking liefert. Daher sollten Unternehmen immer eine Stateful-Firewall einer Stateless-Firewall vorziehen.
Bei der Auswahl einer Firewall müssen jedoch auch andere Faktoren berücksichtigt werden. Beispielsweise prüfen sowohl zustandsbehaftete als auch zustandslose Firewall in der Regel nur die Header von Paketen, wenn sie ihre Entscheidungen treffen. Dadurch können sie für Angriffe, bei denen bösartige Inhalte in der Paketnutzlast enthalten sind, blind sein. In der modernen Cyber-Bedrohungslandschaft fallen die meisten Cyberangriffe in diese Kategorie.
Daher ist eine Firewall der nächsten Generation (NGFW), die den Inhalt von Paketen überprüfen kann und weitere Sicherheitsfunktionen wie ein Intrusion Prevention System (IPS) integriert, die richtige Wahl für Unternehmen, die sich vor modernen Cyberangriffen schützen möchten Bedrohungen.
Es gibt verschiedene Arten von Firewalls, und die Auswahl der richtigen Firewall für Ihr Unternehmen ist für eine effektive Cybersicherheit von entscheidender Bedeutung. Während eine NGFW zum Schutz vor modernen Bedrohungen unerlässlich ist, ist es wichtig zu wissen, worauf Sie achten müssen und wie Sie Ihre Optionen bewerten. Erfahren Sie mehr in diesem Käuferleitfaden zu NGFWs.
Das NGFW-Sortiment von Check Point bietet für jedes Unternehmen eine Lösung. Um mehr darüber zu erfahren, wie ein Check Point NGFW die Cybersicherheit Ihres Unternehmens verbessern kann, und Hilfe bei der Auswahl des richtigen NGFW für Ihre Anwendungsfälle zu erhalten, melden Sie sich noch heute für eine kostenlose Demo an.