Firewall-Systeme

Unabhängig vom individuellen Konzept arbeiten Firewall-Systeme auf den Appliances generell auf den Ebenen 2 bis 7 des OSI-Referenzmodells. Funktional ist zwischen Paket-Filtern, Stateful-Inspection-Firewalls und Application-Gateways zu unterscheiden.

Paket-Filter-Systeme lesen die ein- und ausgehenden Datenpakete auf den Ebenen 2 bis 4 und gleichen sie mit einer Tabelle ab. Unerwünschte Daten werden so herausgefiltert.

Stateful-Inspection-Firewalls sind im Vergleich zu einfachen Paketfiltern »intelligenter« und arbeiten als zustandsabhängige Paket- Filter, die auch die Status- und Kontextinformationen der Kommunikationsverbindungen analysieren und protokollieren.

Application-Level-Gateways oder -Proxys stellen aufwändige Sicherheitsmechanismen über mehrere Schichten hinweg zur Verfügung. Sie entkoppeln die Netzwerke physikalisch wie logisch und können beispielsweise von jedem User eine Authentifizierung verlangen.

Mehrere Techniken in einem Gerät

Komplexere Firewall-Systeme kombinieren in der Praxis häufig verschiedene Firewall-Konzepte in einer Lösung. Application-Level-Gateways oder -Proxys analysieren den Inhalt der Datenströme, und nicht nur die Header der Datenpakete, wie das Paket-Filter- und Stateful-Inspection-Firewalls tun. Das hat zur Folge, dass ihr Rechenaufwand deutlich größer ist und das Mehr an Sicherheit zu Lasten der Performance gehen kann.

Das bedeutet, dass für die gleiche Performance – beispielsweise Gigabit-Ethernet-Leitungsgeschwindigkeit – eine deutlich leistungsfähigere Hardware erforderlich ist.

Um die Tests von UTM-Systemen trotzdem fair und vergleichbar zu halten, hat Network Computing an alle Geräte, die zum Vergleichstest antraten, die gleichen Anforderungen gestellt und ein Standard-Rule-Set definiert. Dieses mussten die Hersteller zunächst konfigurieren.

Universelle Sicherheitssysteme auf dem Vormarsch

Firewalls bestehen aus Hard- und Softwarekomponenten, die häufig von unterschiedlichen Herstellern stammen und individuell kombiniert werden. Bei den Security-Appliances, die unter anderem Firewall- und VPN-Funktionen bieten, handelt es sich um Komplettlösungen. Sie werden in diversen Leistungsklassen angeboten und sind für unterschiedliche Einsatzszenarien konzipiert.

Neben der Firewall integrieren die Hersteller weitere Eigenschaften in ihre Boxen. Deshalb werden immer mehr universelle Security-Appliances angeboten, die neben der Firewall Virtual-Private-Networks, Intrusion-Detection/Prevention und andere Security- und Kommunikationsfunktionen enthalten.

Andererseits statten die Hersteller von »klassischen« aktiven Komponenten wie Switches oder Routern diese zunehmend mit Firewall-und anderen Security-Funktionen aus. Das hat zur Folge, dass derzeit ein heterogenes Feld von Systemen auf dem Markt ist.

Diverse Klassen von Security-Systemen

Die Hersteller teilen Security-Appliances in Leistungsklassen ein, die für die entsprechenden Anwendungsszenarien entwickelt werden und sich deutlich in Leistungsvermögen und Preis unterscheiden. Die preisgünstigsten Geräte bilden die Gruppe der Small-Office/Home-Office-Systeme. Dann folgt das breite und heterogene Feld der Mittelklasse, häufig Medium-Business genannt.

Die leistungsfähigen High-End-Systeme bilden dann die Enterprise- und Carrier-Klasse. Durch den Preisverfall der Gigabit- Ethernet-Adapter sind inzwischen fast alle aktuellen Systeme unabhängig von der Leistungsklasse mit Gigabit-Ethernet-Adaptern ausgestattet. Eine Unterscheidung zwischen Fast- und Gigabit-Ethernet-Geräte ist daher nicht mehr sinnvoll.

VPN inklusive

Neben der klassischen Firewall gehört der Aufbau von VPNs zur Standardfunktion von Security-Appliances. Virtuelle private Netzwerke (Virtual-Private-Networks oder kurz VPNs), sollen einer geschlossenen Gruppe von Rechnern eine geschützte Kommunikation über ein potenziell unsicheres Netz hinweg erlauben.

Die logisch geschlossene Verbindung, auch VPN-Tunnel genannt, wird durch kryptografische Algorithmen ermöglicht. Diese verschlüsseln die zu schützenden Datenströme und entschlüsseln sie wieder an der Gegenstelle.

Für diese Verschlüsselung gibt es eine ganze Reihe von Standards wie DES, 3DES oder AES. Über die Sicherheit solcher Verbindungen entscheidet wie bei anderen kryptografischen Verfahren nicht zuletzt die Länge der eingesetzten Schlüssel. Mechanismen wie Authentifizierung und Autorisierung sorgen zusätzlich dafür, dass keine unerwünschten User in das private Netz eindringen.

Technisch bauen Unternehmen ein solches VPN auf, indem sie an den Übergangsstellen zwischen sicherem und unsicherem Netzwerk ein VPN-System installieren. Die wesentliche Verschlüsselungsfunktion ist zumeist in Software abgebildet. Das bedeutet, dass die Funktionalität sehr rechenintensiv ist und eine gute Performance eine entsprechend leistungsfähige Hardware voraussetzt.

Es gibt aber auch VPN-Lösungen, die Hardware-näher realisiert sind und dann entsprechend leistungsfähiger sein können.

---

1. Welche Funktionen Unified-Threat-Management-Systeme bieten
2. Firewall-Systeme

---