Firewall
Mit Firewall wird im weiteren Sinne die Gesamtheit der Maßnahmen zur Abschirmung eines lokalen Netzwerks gegen Zugriffe von außen umschrieben. Meist werden Firewalls auch zur Überwachung des Datenverkehrs aus dem lokalen in das externe Netz eingesetzt. Der Begriff wird heute insbesondere für Schutzmaßnahmen in einem Intranet gegen möglicherweise gefährliche Datenübertragung aus dem Internet (z. B. Zugriffe von Hackern oder Übertragungen von Viren) verwendet.
Firewalls lassen sich aus Hard- oder Software-Komponenten (oder durch eine Kombination aus beiden) realisieren, die je nach Benutzeranforderung an die Dienste und die Sicherheit individuell konfiguriert werden. Bei der Konzeption einer Firewall sind zwei konkurrierende Forderungen zu vereinen: Einerseits soll sich die Sicherheit im internen Netz erhöhen, andererseits soll die Kommunikation nach außen möglichst wenig behindert werden.
Bewährt haben sich die Beschränkung von extern nutzbaren Diensten, die Beschränkung auf eine begrenzte Zahl von Kommunikationsrechnern, die Authentifizierung und Identifikation sowie die Datenverschlüsselung. Dabei wird die Firewall als einziger Zugang des eigenen Netzes zum öffentlichen Netzwerk konfiguriert, weil sich die nötigen Überwachungs- und Kontrollfunktionen so wesentlich vereinfachen lassen.
Prinzipiell unterscheidet man drei Arten des Zugangs: die Paketfilterung, das Circuit Relay und den Applikation Gateway. Hochsicherheitssysteme nutzen auch mehrere Zugangsarten gleichzeitig.
Die Datenpaketfilterung ist die einfachste Konfiguration; hier werden die ein- und ausgehenden Datenpakete auf der Sicherungsschicht, der Netzwerkschicht und der Transportschicht anhand einer vorhandenen Tabelle analysiert und kontrolliert (OSI-Schichtenmodell). Ein Filter interpretiert den Inhalt der Datenpakete und verifiziert, ob die Daten in den entsprechenden Headern der Kommunikationssteuerungsschicht den definierten Regeln entsprechen. Schutz vor Spoofing ist jedoch nicht gewährleistet.
Das Circuit-Relay-Konzept (dt. »Kreis-Relais-Konzept«) arbeitet mit einem Subnetz und zwei Routern (einem externen und einem internen) und einem Host als Verbindungspartner, über den die Kommunikation abläuft. Dadurch sind von außen keine Rückschlüsse auf die Netzstrukturen möglich. Der Rechner, der eine Verbindung aufbauen will, muss sich beim Host anmelden und eine Zugangsberechtigung nachweisen. Die übertragenen Daten werden nicht mehr überwacht.
Die sicherste, aber auch aufwendigste Realisierung einer Firewall ist das Applikation Gateway, das die Netze logisch und physikalisch entkoppelt und von jedem Benutzer eine vorherige Identifikation und Authentifikation erwartet. Bei dieser anwendungsspezifischen Filterung werden die Datenpakete auf einem Proxy-Server empfangen. Eine spezielle Software (»Proxy«) überträgt dann das Paket von einer Netzwerkseite auf die andere. Es kommt also keine direkte Verbindung zwischen Zielrechner und Besucher zustande. Entsprechend der Vielzahl der angebotenen Dienste gibt es anwendungsspezifische Gateways beispielsweise für Telnet, E-Mail, HTTP usw. Durch die Beschränkung eines Applikation-Gateways auf einen speziellen Dienst ergeben sich zusätzliche Sicherungs- und Protokollierungsmöglichkeiten.