Firewall-KonzepteBei den Firewalls unterscheidet man vom Konzept her drei Arten des Zugangs:
die Paket-Filterung,
das Circuit Relay und den Application Gateway.
Darüber hinaus gibt es High-Level-Security-Systeme, die sich aus den
verschiedenen Konzepten zusammensetzen.
Die Datenpaket-Filterung ist die einfachste
Firewall-Konfiguration, bei der die ein- und ausgehenden Datenpakete auf der
Sicherungsschicht, der Netzwerkschicht und der Transportschicht anhand einer
vorhandenen Tabelle analysiert und kontrolliert werden. Ein Packet Filter interpretiert
den Inhalt der Datenpakete und verifiziert, ob die Daten in den entsprechenden
Headern der Kommunikationssteuerungsschicht den definierten Regeln entsprechen.
Die Packet Filter sind transparent in die Leitung eingefügt.
Das Circuit-Relay-Konzept arbeitet mit
einem Subnetz und zwei Routern, einem externen und einem internen Router
und einem Host als Verbindungspartner, über den die Kommunikation abläuft.
Das Circuit-Relay-Konzept ist mit dem Packet Filter vergleichbar, sie
arbeiten allerdings auf einer höheren Ebene des Protokollstacks. Der Rechner,
der eine Verbindung aufbauen will, muss sich beim Host anmelden und eine
Zugriffsberechtigung nachweisen. Dadurch kann ein externer Anwender keine
Rückschlüsse auf die Netzstrukturen schließen.
Die Application Gateway stellt die sicherste,
aber auch aufwändigste Alternative einer Firewall  dar, der hinreichende
Sicherheitsmechanismen über mehrere Schichten realisiert. Er kann die
Netze logisch und physikalisch entkoppeln und erwartet von jedem Benutzer
eine vorherige Identifikation und Authentifikation. Das Application gateway
empfängt die Datenpakete an den entsprechenden Ports. Soll nur ein Dienst
über den Port möglich sein, wird auf dem Application Server eine Software
aktiv, die das Paket von einer Netzwerkseite auf die andere Netzwerkseite
überträgt, ein so genannter Proxy.
Aus Sicht des zugreifenden Benutzers sieht es so aus,
als würde er mit dem eigentlichen Server-Prozess des Dienstes auf einem
Zielrechner kommunizieren. Tatsächlich kommuniziert der Benutzer aber
mit dem Proxy, dem Stellvertreter, der nach beiden Seiten als Vermittler
auftritt, so dass niemals eine Verbindung zwischen Zielrechner und Besucher
zusande kommt. Jeder Proxy auf dem Application gateway kann speziell für
den Dienst, für den er zuständig ist, weitere Sicherheitsdienste anbieten.
Bedingt durch den jeweiligen speziellen Proxy und das Wissen um den Kontext
eines speziellen Dienstes ergeben sich im Application gateway umfangreiche
Sicherungs- und Protokollierungsmöglichkeiten.
Entsprechend der Vielzahl der angebotenen Dienste gibt
es anwendungsspezifische Gateways beispielsweise für Telnet, E-Mail, HTTP
u.a.
Ein High-Level-Firewall-System fasst mehrere Firewall-Konzepte
intelligent zusammen und garantiert so ein Höchstmaß an Sicherheit.
[ Zurück zum Anfang ] |
| FIREWALL TUTORIALS |
Zur Übersicht der Tutorials
Rubrik: Firewall |
|
