Die Vernetzung machts möglich: Mitarbeiter im Unternehmen, Aussendienstler und Angestellte im Heimbüro stehen quasi rund um die Uhr mit der Firmenzentrale in Verbindung. Meist pflegen sie zu den Kunden, Lieferanten und natürlich auch zu den Geschäftskollegen einen regen E-Mail- und Datenverkehr. Sie kopieren, verschieben oder tauschen Dokumente sowie Nachrichten aus und ändern auf dem Firmenserver liegende Bestandsdaten der Kunden. Damit avanciert der Netzwerkzugang zum entscheidenden Knotenpunkt eines Unternehmens, ist zugleich aber auch einer der Hauptangriffspunkte jeder Firma. Diesen gilt es gegen Hacker und Schädlinge sowohl von innen als auch gegen aussen zu schützen. Denn ist solch ein Zugang mangelhaft gesichert, droht Gefahr – vom Verlust von Daten bis hin zum Diebstahl des Firmen-Know-hows. Und hier spielt die Firewall als Wächter eine zentrale Rolle.

Lesen Sie auf der nächsten Seite: Firewall als Zugangskontrolle

Wird eine Netzwerkverbindung in einer Firma zum Internet aufgebaut, muss diese unbedingt bewilligt sein. Genauso muss jeder, der auf das Firmennetzwerk zugreift, die entsprechende Erlaubnis haben. Nur durch so eine stringente Zutrittskontrolle ist das Netzwerk geschützt. Das probate Mittel dazu ist eine Firewall. Sie kontrolliert die Zugriffe vom Firmennetzwerk aufs Internet und umgekehrt. Zu ihren weiteren Aufgaben gehört die Kontrolle von Anwendungen, die mit dem Internet kommunizieren, und natürlich die Alarmierung bei verdächtigen Aktivitäten.

Grundsätzlich unterscheidet man zwei Arten von Firewalls: Zwischen Internet und Firma kommt eine eigenständig operierende Hardware-Firewall oder ein Router mit Firewall-Funktion zum Einsatz. Diese werden zwischen Internet und Firmennetz installiert, um das Unternehmensnetzwerk mit allen Rechnern und Peripheriegeräten wirksam zu schützen. Diese Geräte sind eine Art Türsteher, die den Datenverkehr laufend überprüfen. Eine Hardware-Firewall achtet darauf, dass nur erlaubte Datenpakete von aussen nach innen oder in die Gegenrichtung passieren dürfen. Hinzu kommen weitere Technologien, die zum Beispiel den Zustand der Verbindung für die Filterung der Datenpakete berücksichtigen. Im zweiten Fall, wenn zum Beispiel der Aussendienstmitarbeiter auf das Internet zugreift, verrichtet meist nur ein reiner Paketfilter die Arbeit. Es handelt sich hierbei um einen softwarebasierten Filter für Datenpakete, um diese anhand ihrer Merkmale wie Protokollart, Zielport, Zieladresse und Absenderadresse einzuordnen und entsprechend zuvor festgelegtem Regelwerk (= Filter) zu behandeln.

Diese Filter können Pakete durchwinken, abweisen oder sich komplett tarnen, womit die Netzwerkadresse unsichtbar gemacht wird. Ein Beispiel für solch eine Software-Lösung ist die Windows-Firewall, die Microsoft seit Windows XP im Betriebssystem integriert hat. Eine Software-Lösung ist weniger sicher als eine Hardware-Variante. Sie bietet weniger Möglichkeiten und ist leichter angreifbar. Haben Schadprogramme zum Beispiel den PC befallen, könnten diese die installierte Firewall aushebeln. Zudem sind Software-Firewalls für Unerfahrene nicht immer einfach zu handhaben. Probleme könnten dann auftreten, wenn andere Programme wie beispielsweise ein Virenschutz die Zustimmung benötigen, um Produkt-Updates durchzuführen. Hier muss vom Administrator ein entsprechendes Regelwerk und eine Rechtevergabe für den Client-Rechner eingerichtet sein. Denn werden keine Updates ausgeführt, ist der Rechner unsicher. Wir konzentrieren uns im Folgenden auf die Hardware-Systeme, da diese effizienter und sicherer sind, und zeigen die verschiedenen Typen sowie die wichtigsten Technologien.

Hardware-Lösungen unterscheiden sich bezüglich der Kosten, Leistungsfähigkeit und auch punkto Schutzwirkung. Beachten Sie dazu auch unsere Tabelle unten. Sie umfasst Hardware-Firewalls verschiedener Preisklassen.

Wird im Heimbüro gearbeitet, sind aktuelle Router eine gute Lösung. Die Netzwerkknoten beinhalten eine sehr einfach konfigurierbare Firewall und einen Switch mit üblicherweise 4 × 100-Mbit- oder 1-Gbit-Ports. Die Aufgabe des Routers ist es, das Internet vom Heimnetz mit den Techniken NAT (Network Address Translation) und SPI (Stateful Packet Inspection) so abzutrennen, dass kein direkter Zugriff von aussen auf die Geräte im Heimnetz möglich ist und unerwünschter Datenverkehr effizient gefiltert wird. Stateful Packet Inspection heisst zu Deutsch «zustandsorientierte Paketprüfung». Die Datenpakete werden vom Router analysiert und der Verbindungsstatus für die Filterung berücksichtigt.

Dazu ein Beispiel, das die Antwortzeit einbezieht: Schickt ein Client aus dem lokalen Netz eine Anfrage an einen Webserver im Internet, merkt sich die SPI diese Anfrage und untersucht dabei jedes einzelne Paket. Die Firewall erlaubt Antwortpakete von aussen nur für eine bestimmte Zeit. Andernfalls wird nicht angeforderter Verkehr verworfen. Beim Sicherheitsmerkmal NAT handelt es sich um eine Funktion, welche die IP-Adressen der Geräte im Heimnetz durch eine einzige IP-Adresse ersetzen. Dadurch sind die Geräte im Heimnetz gegen aussen quasi unsichtbar, da deren IP nicht nach aussen dringt.

Noch komplexere Firewall-Lösungen werden auf einem eigenständigen Gerät realisiert, welches das ganze Netzwerk schützt. Im Unterschied zu einem Router handelt es sich um eine Komponente, über die der gesamte Datenverkehr des Firmennetzes läuft. Dabei muss die Firewall immun gegen Eindringlinge jeglicher Art sein, denn die Sicherheit der Firewall entscheidet über die des Netzwerks dahinter.

Diese Geräte richten sich an kleine, mittlere und grosse Unternehmen. Sie beinhalten die genannten Sicherheitsmerkmale wie Paketfilter, SPI und NAT, sind aber zusätzlich mit weiteren Sicherheitsmerkmalen ausgestattet. Zudem bieten sie eine erweiterte Kontrolle der Nutzung von Webanwendungen wie Facebook, Google-Apps oder Netflix. Ausserdem werden neben der eigentlichen Firewall auch Anti-Malware-Schutzmechanismen wie Anti-Virus, Anti-Spam, Inhaltsfilter, Intrusion Detection & Prevention (IDP) und Application Intelligence eingesetzt (beachten Sie dazu auch unser Glossar oben auf dieser Seite).

Höherwertige Modelle unterstützen bei der Inhaltsfilterung das sogenannte Geo IP Blocking, das heisst, Administratoren können von bestimmten Ländern Webseiteninhalte via IP-Adressen blockieren. Zusätzlich garantieren die Modelle einen kontinuierlich hohen Datendurchsatz über VPN (Virtual Private Network). Der administrative Aufwand fällt dadurch um einiges höher aus als beim Router. Konfigurieren lassen sich die Firewalls über eine Software-Oberfläche.