Bevor wir uns konkrete Firewall-Designs ansehen, sollten Sie sich mit einigen grundlegenden Begriffen vertraut machen:
- Gateway – Ein Gateway ist üblicherweise ein Computer, der als Verbindung zwischen einem privaten Netzwerk und einem anderen Netzwerk, normalerweise dem Internet oder einer WAN-Verbindung, dient. Ein Firewall-Gateway kann Daten zwischen dem internen Netzwerk und dem Internet übertragen und außerdem festlegen, was durchgelassen wird und was nicht.
- Network Address Translation (NAT) – NAT verbirgt interne Adressen vor externen Netzen (Internet) bzw. der Außenwelt. Wenn Ihre Firewall NAT verwendet, werden alle internen Adressen, sobald sie das interne Netzwerk verlassen, in öffentliche IP-Adressen übersetzt und damit ihre Herkunft verborgen.
- Proxy-Server – Ein Proxy-Server ersetzt die IP-Adresse eines Netzes und versteckt somit die IP-Adresse vor dem Rest des Internets. Beispiele für Proxy-Server sind Web-Proxys, Circuit Level Gateways und Application Level Gateways.
- Paketfilternde Firewall – Dies ist eine einfache Firewall-Lösung, wie sie normalerweise von Routern eingesetzt wird, um Pakete zu filtern. Es werden die Header von Netzwerkpaketen untersucht, wenn sie die Firewall passieren. Entsprechend Ihrer Vorgaben wird das Paket entweder akzeptiert oder zurückgewiesen. Da die meisten Router Pakete filtern können, ist dies eine einfache Möglichkeit der Konfiguration von Firewall-Regeln bezüglich der Akzeptanz bzw. Zurückweisung von Paketen. Dennoch bleibt es für die Paketfilter-Firewall schwierig, zwischen einem ungefährlichen und einem gefährlichen Paket zu unterscheiden.
- Screening Router – Dies ist ein paketfilternder Router mit zwei Netzwerkkarten. Ein solcher Router verbindet zwei Netzwerke und führt zur Kontrolle des Verkehrs zwischen ihnen eine Paketfilterung durch. Sicherheitsadministratoren erstellen Regeln, die festlegen, wie die Paketfilterung erfolgt. Diese Art Router ist auch als Outside-Router oder Grenzrouter bekannt.
- Application Level Gateway – Diese Art Gateway auf Anwendungsebene ermöglicht den Administratoren die Aufstellung komplexerer Regeln als der Paketfilter-Router. Es verwendet für jede Art Anwendung oder Dienst, die durch die Firewall müssen, ein spezialisiertes Programm.
- Bastion- Host – Ein Bastion-Host ein gesicherter Computer, der einem unzuverlässigen Netzwerk (wie dem Internet) den Zugriff auf ein zuverlässiges Netzwerk (Ihr internes Netzwerk) gestattet. Er ist typischerweise zwischen den beiden Netzwerken platziert und wird oft auch als Application Level Gateway bezeichnet.
- Demilitarisierte Zone (DMZ) – Eine DMZ liegt zwischen Ihrem internen Netz und der Außenwelt und ist der beste Ort für Ihre öffentlichen Server. Beispiele für derartige Systeme sind Webserver und FTP-Server.
Nachdem wir nun einige Grundlagen durchgegangen sind, ist es an der Zeit, uns gängige Firewall-Designs anzuschauen.