Wie funktioniert eine Firewall?

Was ist eine und wie funktioniert eine Firewall?

In diesem Artikel möchte ich unter anderem mit Hilfe des OSI-Schichten-Modell die Frage „Wie funktioniert eine Firewall“ beantworten. Um Sicherheit in einem Netzwerk zu gewährleisten zu können, ist das Verstehen wie eine Firewall funktioniert, natürlich von größter Wichtigkeit. Daher versuche ich in diesem Beitrag, euch die einzelnen Funktionen einer Firewall hoffentlich verständlich zu erklären. Damit ihr den Datenverkehr optimal auf eure Anforderungen hin steuern könnt.

Wenn wir die Funktionsweise einer Firewall aufzeigen wollen, dann sollten wir uns zunächst einmal das OSI-Schicht-Modell näher ansehen.

OSI-Schicht Modell

Das OSI-Modell ist in sieben Sichten unterteilt, wobei hier zum Thema Firewall nur die Schichten 3, 4 und 7 von Bedeutung sind.

Funktionsweise Firewall - OSI-Modell
OSI-Schichten Modell – Wie funktioniert eine Firewall

OSI-Modell Schicht 3 – Vermittlungsschicht (Network-Layer)

Der Network-Layer beziehungsweise die Vermittlungsschicht ist für das Schalten von Verbindungen (leistungsorientierten Diensten) sowie bei paketorientierten Diensten für die Weitervermittlung von Datenpakete zuständig. Wichtig ist hierbei, dass Pakete nicht in andere Schichten gelangen, sondern von Knoten zu Knoten vermittelt werden. Sind “Sender” und “Empfänger” nicht direkt erreichbar, wird den Paketen immer ein neues Zwischenziel (Knoten) zugewiesen, bis das eigentliche Ziel erreicht wurde.

Die Aufgabe der Vermittlungsschicht ist es, den Paketen eine Adressierung zu geben, Aushandlung und Sicherstellung einer gewissen Dienstgüte, Aktualisierung der Routingtabellen und Aufbau des Routings selbst.

Hardware die in dieser Schicht genutzt werden:

  • Router
  • Layer-3-Switch

Protokolle die in dieser Schicht genutzt werden:

  • IP, IPsec, ICMP, X25 (WAN), CLNP

Unterstütze diesen Blog

mit deiner kleinen Spende!

Werbung ist einfach nicht mein Ding und finde es woanders auch echt nervig!  
Doch entstehen durch Tests und das Hosting auch gewisse Kosten. Daher möchte ich euch darum bitten, diesen Blog mit einer kleinen Spende zu unterstützen.

OSI-Modell Schicht 4 – Transportschicht (Transport-Layer)  

Die Transportschicht ist für die Segmentierung und Stauvermeidung des Datenstroms zuständig. 

Die Segmente werden Service Data Unit genannt und werden auf der vierten Schichtebene transportiert. Zur Adressierung wird dem Datensegment eine vierte Schicht-Adresse zugeteilt, diese Adresse ist dann der Port. Dieses Datensegment wird dann in ein Datenpaket gekapselt und kommt in die dritte Schicht (Vermittlungsschicht). 

Protokolle:

  • TCP, UDP, SCTP, DCCP 

OSI-Modell Schicht 7 – Anwendungsschicht (Application-Layer) 

In der Anwendungsschicht werden Funktionen für Anwendungen (dessen Kommunikation) zur Verfügung gestellt. Hier werden dann die Verbindungen zu den unteren Schichten hergestellt, des Weiteren finden hier auch die Dateneingaben sowie Datenausgaben statt. 

Anwendungen (Apps):

  • E-Mail-Programme, Messaging (z.B. Facebook, Twitter, etc.), Browser 

Was ist eine Firewall

Eine Firewall ist ein Sicherungssystem, das anhand von Regeln einen Netzwerkbereich von unautorisierten Zugriffen schützt. Die Firewall ist selbst nicht in der Lage, Angriffe auf das Netzwerk selbstständig zu erkennen, da die Firewall nur regelbasiert arbeitet. 

Grundfunktionen einer Firewall 

Als Grundfunktion nutzt die Firewall sogenannte Paketfilter. Dieser Paketfilter arbeitet nach statischen Regeln und überprüft jedes Datenpaket einzeln, kann aber keine Verbindungen zu vorherigen Paketen herstellen. 

Eine erweiterte Form der Paketfilterung ist die sogenannte Stateful Inspection. Bei dieser Paketfilterung werden einzelne Beziehungen zu den überwachten Datenpaketen erkannt und überprüft. 

Funktionsweise der Paketfilterung 

Bei der Paketfilterung werden die Datenpakete anhand einer Netzwerkadresse identifiziert und wird ihren Zielen entweder zugeführt oder geblockt. Um diese Richtlinien umzusetzen werden bei den einzelnen Datenpaketen die Header-Informationen ausgewertet und nach diesen Informationen regelbasiert behandelt. Die Paketfilterung arbeitet somit in den Schichten Transport-Layer (Schicht 4, Port), Network-Layer (Schicht 3, IP-Adresse) sowie bei manchen Stateful-Firewalls noch die Schicht Application-Layer (Schicht 7, hier die Nutzerdaten) des OSI-Modells. 

Wie funktioniert eine Firewall anhand des OSI-Modell erklärt
Überwachung der einzelnen OSI-Schichten durch eine Firewall

Funktionsweise der Stateful Inspection Paketfilterung 

Stateful Inspection ist eine dynamische Art der Paketfilterung. Hierbei wird jede Verbindungsanfrage genauer konkretisiert. Beziehungen zu angefragten Datenpaketen und abgegebenen Datenpaketen werden hierbei untersucht und somit kann eine genauere Zuordnung der erlaubten Datenpakete getroffen werden. Hierdurch wird sichergestellt, dass nur beteiligte Kommunikationspartner auf die Verbindung zugreifen können. 

Wie funktioniert eine Firewall – Arten von Firewall

Personal Firewall

Die Personal Firewall oder auch Desktop Firewall genannt, ist eine Sicherheits-Software, die die Kommunikation eines einzelnen Computers überwacht. Die Personal Firewall ist einzeln oder in vielen Antiviren-Sicherheitslösungen der bekannten Hersteller enthalten. Ob diese Art von Sicherheitslösung aus der Sicht der Sicherheit eures Computers empfehlenswert ist, bleibt mal dahingestellt. Hierzu habe ich vor einiger Zeit auch mal einen Beitrag geschrieben. In dem

Externe Firewall

Eine externe Firewall auch Hardware Firewall genannt, überwacht die Kommunikation je nach Ausstattung der Hardware, entweder ein internes Netzwerk (LAN, zum Beispiel Firmennetzwerk) oder mehrere Subnetze gegenüber anderen Netzwerksegmente (WAN, zum Beispiel Internet) gegen unberechtigte Zugriffe.

Wobei zu Verständlichkeit der Begriff Hardware Firewall hier ein wenig irreführend. Denn eine Firewall basiert immer auf eine Software. Hardware Firewall beschreibt nur die Tatsache, dass diese Sicherheits-Software auf einer separaten Hardware untergebracht ist.

AngebotBestseller Nr. 1
TP-LINK ER605 5 Port Dual/Multiple WAN VPN Router(bis zu 4 Gigabit WAN Ports, hochsicheres, Omada SDN, zentrales Management, intelligente...
  • Integriert in Omada SDN Zentralisiertes Cloud-Management und intelligente Überwachung
  • Zentralisierte Verwaltung Cloud-Zugang und Omada-App für höchsten Komfort und einfaches Management
  • Fünf Gigabit-Anschlüsse Kabelgebundene Hochgeschwindigkeits-Konnektivität
  • Bis zu 4 WAN-Anschlüsse 1 Gigabit-WAN-Port und 3 Gigabit-WAN/LAN-Ports mit Lastausgleich erhöhen...
  • Hochsicheres VPN Unterstützt bis zu 20× LAN-to-LAN IPsec, 16× OpenVPN*, 16× L2TP und 16× PPTP...
Bestseller Nr. 2
Glovary Firewall Mini PC Quad Core N100, DDR5 8GB RAM 128GB NVMe SSD, 6 x 2.5GbE i226V LAN Fanless Ethernet Computer, Micro Router Appliance, AES-NI,...
  • GLOVARY fanless firewall micro with Alder Lake-N 12th Gen N100, 4C/4T, Up to 3.4 GHz. 1*SO-DIMM DDR5...
  • OPNsense firewall with 6* i226-V network card chip full UDE2.5G with filter connector. Pre-installed...
  • Mini PC 6 lan with 2*M.2 NVMe slot + 1*SATA 3.0 slot for 2.5" SSD/HDD. Tap "Delete" key to enter...
  • Fanless design mini pc firewall with aluminium alloy material, quiet running without noise. Support...
  • GLOVARY N100 Ouad Core firewall with TF card holder supports data storage or system boot. Supports...
Bestseller Nr. 3
Micro Firewall Appliance, Mini PC, VPN, Router PC, Intel Alder Lake-N 12th Gen N100, HUNSN RJ42, 4 x 2.5GbE I226-V, 2 x HDMI, DP, TF, Type-C,...
  • HUNSN RJ42 equipped with intel gen 12th alder lake-n n100 processor, compatible with many freebsd...
  • Please note, this is a barebone only. A system memory, a storage drive and an operating system are...
  • Compact aluminum, 12v3a power supply, with power cord, make sure to use a big brand memory and...
  • RJ42 designed with power on/off, 5 x usb2.0, usb3.0, dp1.4, tf slot for data storage / system boot,...
  • Quiet, fanless design silent 100%, 0.00db noise makes an ideal deployment in small offices

Pihole in 2024 sicher installieren mit PHP 8.3

Pihole mit PHP 8.3 auf dem Raspberry Pi OS installieren Pihole mit PHP 8.3 auf dem Raspberry Pi OS installierenHintergrund von diesem TutorialVideo zum Thema ‚Pihole installieren in 2024’Installation von Pihole auf einem Raspberry PiRaspberry Pi Imager installierenRaspberry Pi OS auf die SD-Karte schreibenNach Fertigstellung des Image-Schreibens von Raspberry Pi OSVerbinden mit dem Raspberry Pi…

Weiterlesen

Pihole VPN jetzt mit Wireguard im Jahr 2024 nutzen

Pihole VPN – Keine Werbung auf dem Smartphone Pihole VPN – Keine Werbung auf dem SmartphoneVoraussetzungen für dieses TutorialVideo-Tutorial zum Thema ‚pihole VPN mit Wireguard‘.Befehle zum Einrichten von Pi-hole, PiVPN und WireGuardPihole VPN – Installation der UFW-FirewallPihole VPN – Installation und Einrichtung von PiVPN auf dem Raspberry PiPiVPN WireGuard – BefehlslisteZusätzliche Informationen zum Thema ‚Pi-hole…

Weiterlesen

Jetzt Linux Server absichern (debian-basiert) von A-Z | 2024

Inhalt von diesem BeitragLinux Server absichern und sicher betreibenVideo-Tutorial zum Thema Linux Server absichern Verwendete Befehle und Anmerkungen in den entsprechenden Videos Voraussetzungen:HinweisSchritt 1 Linux Server absichern | Anmelden per SSH und System aktualisieren:Schritt 2 Linux Server absichern | Ändern Root-User-PasswortÄndern des Passworts des Root-User in ein sicheres Passwort. Schritt 3 Linux Server absichern |…

Weiterlesen

Tutorial | Jetzt Linux SSH absichern / hardening in 2024

InhaltsverzeichnisLinux SSH Zugang richtig absichernVideo-Tutorial zum Thema ‚Linux SSH absichern’Weitere Videos zum Thema Linux Server absichernHowTo – Linux SSH-Zugang richtig absichernSchritt 1 Linux SSH absichern – Standard-Port des SSH-Diensts ändernWichtig! Firewall-Regeln anpassen!Überprüfung der Möglichkeit einer SSH-Anmeldung auf dem neuen PortGeänderter SSH-Port nicht erreichbarSchritt 2 Linux SSH absichern – SSH-Schlüsselpaar erzeugenWichtiger Hinweis!SSH-Schlüsselpaar unter Linux und macOS…

Weiterlesen

Pi-hole Unbound jetzt richtig installieren in 2023

Pi-hole Unbound und DNS-Verschlüsselung – Für mehr Sicherheit im Netzwerk Im heutigem Video-Tutorial ‚Pi-hole Unbound‘ möchte ich euch gerne zeigen, wie ihr mithilfe von dem zusätzlichen Tool ‚Unbound‘, für mehr Sicherheit bei euren DNS-Anfragen im Netzwerk sorgen könnt. Weiterhin findet ihr alle Befehle die ihr für die Installation und Konfiguration von Unbound neben Pi-hole braucht….

Weiterlesen

Pi-hole Backup mit Teleporter

Pi-hole sichern und wiederherstellen In diesem Video-Tutorial ‚Pi-hole Backup – Pi-hole Sichern und Wiederherstellen‘, zeige ich euch, wie ihr mit der Hilfe von dem Tool ‚Teleporter‘ ein Backup von eurer Pi-hole-Installation durchführen könnt und dieses Backup auf einer anderen Pi-hole Instanz, wiederherstellen könnt. Video-Tutorial Pi-hole Backup https://youtu.be/JPVtLvRtQE0 Video-Tutorial zum Thema Pi-hole Sichern und Wiederherstellen Genutzte…

Weiterlesen

Letzte Aktualisierung am 15.03.2024 / Affiliate Links / Bilder von der Amazon Product Advertising API

Jede Unterstützung ist Willkommen…

Gerne würde ich euch noch mehr kostenfreie und vor allem werbefreie Inhalte hier sowie auf anderen Kanälen bereitstellen, doch ist der Aufwand für die Erstellung dieser Inhalte schon sehr zeitintensiv und vor allem langsam auch sehr kostenintensiv geworden (Kosten für Hosting, Equipment, Software und Arbeitszeit) und daher wird euch hier auf diesem Blog momentan noch Werbung angezeigt.

Daher möchte ich euch darum bitten, mich vielleicht durch eine kleine Spende zu Unterstützen.

Vielen Dank und lieben Gruß

Marcel

Patreon Spendenbild_250_114_transparent

Hi mein Name ist Marcel und ich bin der Herausgeber von diesem Blog ‚SecureBits‘. Ich selbst bin schon ewig mit der IT verbunden und interessiere mich hauptsächlich für die Themen IT-Sicherheit, Programmierung und Gesellschaft und betreibe diesen Blog aus Leidenschaft. Gerne setze ich mich mit meinen Beiträgen für eine sichere IT-Landschaft ein, um so das Recht auf Privatsphäre auch mit kleinen Mitteln zu schützen. Freue mich immer über Kommentare von euch und wenn es mir möglich ist, helfe ich gerne und kostenlos (im privaten Bereich, ansonsten bitte mir eine Anfrage schicken) weiter. Meine Idee ist es, Interessierten der Informationstechnik, einfache Schritt- für Schritt-Anleitungen hier im Blog sowie auf meine noch jungen YouTube-Kanal zur Verfügung zu stellen, damit ihr diese Anleitungen für eure Projekte nutzen könnt. Viel Spaß beim Lesen. Gruß Marcel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Click to access the login or register cheese