🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-themen:grundlagen:netzwerkdienste:firewall-arten

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Ăśberarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:firewall-arten [03.12.2025 16:55] – [Einsatz heute] larsit-themen:grundlagen:netzwerkdienste:firewall-arten [03.12.2025 17:05] (aktuell) – [Zusammenfassung] lars
Zeile 67: Zeile 67:
 ==== Merkmale ==== ==== Merkmale ====
  
-  * Standard in modernen Firewalls  Â +  * Standard in modernen Firewalls 
-  * fĂĽhrt eine **State Table**  Â +  * fĂĽhrt eine **State Table** 
-  * erkennt Session-Start, Session-Ende  +  * erkennt Session-Start, Session-Ende
   * blockiert unerwĂĽnschte Pakete zuverlässig   * blockiert unerwĂĽnschte Pakete zuverlässig
  
Zeile 75: Zeile 75:
  
 <code> <code>
-[Tabelle] 
-192.168.1.10:443 → ESTABLISHED 
-192.168.1.20:22  → NEW 
  
-Firewall prĂĽft Pakete anhand dieser Tabelle.+ [Tabelle] 
 + 192.168.1.10:443 → ESTABLISHED 
 + 192.168.1.20:22  → NEW 
 + 
 + Firewall prĂĽft Pakete anhand dieser Tabelle. 
 + 
 </code> </code>
  
 ==== Vorteile ==== ==== Vorteile ====
  
-  * viel sicherer als stateless  Â +  * viel sicherer als stateless 
-  * erkennt legitime vs. illegitime Pakete  Â +  * erkennt legitime vs. illegitime Pakete 
-  * reduziert Regeln stark → "Allow outbound, block inbound"  Â +  * reduziert Regeln stark → "Allow outbound, block inbound" 
-  * ideal fĂĽr NAT  +  * ideal fĂĽr NAT
  
 ==== Beispiel: typische Geschäftsregel ==== ==== Beispiel: typische Geschäftsregel ====
  
 <code> <code>
-LAN → Internet: erlaubt + 
-Internet → LAN: geblockt (auĂźer etablierte Sessions)+  LAN → Internet: erlaubt 
 +  Internet → LAN: geblockt (auĂźer etablierte Sessions) 
 + 
 </code> </code>
  
 ==== Nachteile ==== ==== Nachteile ====
  
-  * kann ĂĽberlastet werden (State Table Exhaustion)  Â +  * kann ĂĽberlastet werden (State Table Exhaustion) 
-  * keine tiefe Analyse auf Layer 7  +  * keine tiefe Analyse auf Layer 7
  
 ==== Einsatzbereiche ==== ==== Einsatzbereiche ====
  
-  * Heimrouter  Â +  * Heimrouter 
-  * Unternehmensfirewalls  Â +  * Unternehmensfirewalls 
-  * Linux iptables / nftables  Â +  * Linux iptables / nftables 
-  * OPNsense / pfSense / FortiGate / Palo Alto  +  * OPNsense / pfSense / FortiGate / Palo Alto 
  
 --- ---
Zeile 112: Zeile 119:
 ===== 3. Next-Generation Firewall (NGFW) ====== ===== 3. Next-Generation Firewall (NGFW) ======
  
-NGFWs sind moderne Firewalls mit erweiterten Sicherheitsfunktionen.  +NGFWs sind moderne Firewalls mit erweiterten Sicherheitsfunktionen.
 Sie arbeiten nicht nur auf Layer 3/4, sondern analysieren auch **Layer 7** (Anwendungen). Sie arbeiten nicht nur auf Layer 3/4, sondern analysieren auch **Layer 7** (Anwendungen).
  
 Bekannte Hersteller: Bekannte Hersteller:
-  * Palo Alto  Â +  * Palo Alto 
-  * FortiGate  Â +  * FortiGate 
-  * Sophos  Â +  * Sophos 
-  * Check Point  +  * Check Point
  
 ==== Merkmale einer NGFW ==== ==== Merkmale einer NGFW ====
  
-  * Stateful Inspection  Â +  * Stateful Inspection 
-  * Deep Packet Inspection (DPI)  Â +  * Deep Packet Inspection (DPI) 
-  * Applikationskontrolle (z. B. Facebook, Netflix, Teams erkennen)  Â +  * Applikationskontrolle (z. B. Facebook, Netflix, Teams erkennen) 
-  * Benutzerbasierte Regeln (via LDAP/AD)  Â +  * Benutzerbasierte Regeln (via LDAP/AD) 
-  * TLS Inspection (Decrypt/Inspect)  Â +  * TLS Inspection (Decrypt/Inspect) 
-  * integrierter Antivirus / AntiMalware  Â +  * integrierter Antivirus / AntiMalware 
-  * integrierter IDS/IPS  Â +  * integrierter IDS/IPS 
-  * Webfilter (URL Filtering)  Â +  * Webfilter (URL Filtering) 
-  * Sandboxing  Â +  * Sandboxing 
-  * Threat Intelligence Feeds  +  * Threat Intelligence Feeds
  
-ASCII: 
  
-<code>+<a2s>
 Traffic → Firewall → IDS/IPS → App-ID → User-ID → Policies → Entscheidung Traffic → Firewall → IDS/IPS → App-ID → User-ID → Policies → Entscheidung
-</code>+</a2s>
  
 ==== Vorteile ==== ==== Vorteile ====
  
-  * extrem hohe Sicherheit  Â +  * extrem hohe Sicherheit 
-  * erkennt Anwendungen, nicht nur Ports  Â +  * erkennt Anwendungen, nicht nur Ports 
-  * blockiert Malware, C2-Kommunikation, Exploits  Â +  * blockiert Malware, C2-Kommunikation, Exploits 
-  * perfekt fĂĽr Unternehmen  +  * perfekt fĂĽr Unternehmen
  
 ==== Nachteile ==== ==== Nachteile ====
  
-  * deutlich teurer  Â +  * deutlich teurer 
-  * Einrichtung komplexer  Â +  * Einrichtung komplexer 
-  * TLS-Inspection kann Datenschutzrelevant sein  +  * TLS-Inspection kann Datenschutzrelevant sein 
  
 --- ---
Zeile 157: Zeile 164:
 ===== Vergleichstabelle ====== ===== Vergleichstabelle ======
  
-Typ Erinnerung an Sessions Tiefe Analyse Sicherheit Komplexität Einsatz | +Typ Erinnerung an Sessions Tiefe Analyse Sicherheit Komplexität Einsatz ^
-|------|-------------------------|---------------|------------|-------------|---------|+
 | Stateless | ❌ nein | ❌ nur Ports | niedrig | sehr gering | Router-ACLs | | Stateless | ❌ nein | ❌ nur Ports | niedrig | sehr gering | Router-ACLs |
 | Stateful | âś” ja | ❌ keine L7 | gut | mittel | Heim, Unternehmen | | Stateful | âś” ja | ❌ keine L7 | gut | mittel | Heim, Unternehmen |
 | NGFW | âś” ja | âś” Layer 7, IPS | sehr hoch | hoch | Unternehmen, SOC | | NGFW | âś” ja | âś” Layer 7, IPS | sehr hoch | hoch | Unternehmen, SOC |
 +
  
 --- ---
Zeile 171: Zeile 178:
  
 <code> <code>
--A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT+ 
 + -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
 + 
 </code> </code>
  
Zeile 177: Zeile 187:
 Regel: Regel:
 <code> <code>
-Erlaube: Usergruppe "IT", App "GitHub", VLAN 10 → Internet + 
-Blockiere: Social Media fĂĽr alle auĂźer GF+ Erlaube: Usergruppe "IT", App "GitHub", VLAN 10 → Internet 
 + Blockiere: Social Media fĂĽr alle auĂźer GF 
 + 
 </code> </code>
  
 ==== OPNsense / pfSense ==== ==== OPNsense / pfSense ====
-  * stateful Firewall  Â +  * stateful Firewall 
-  * Suricata (IDS/IPS) integriert  Â +  * Suricata (IDS/IPS) integriert 
-  * URL-Filter per Plugin möglich  +  * URL-Filter per Plugin möglich 
  
 --- ---
Zeile 191: Zeile 205:
  
 FrĂĽher: FrĂĽher:
-  * Port 80 = HTTP  Â +  * Port 80 = HTTP 
-  * Port 443 = HTTPS  Â +  * Port 443 = HTTPS 
-  * Port 21 = FTP  +  * Port 21 = FTP
  
 Heute: Heute:
-  * HTTP/HTTPS tunneln ALLES  Â +  * HTTP/HTTPS tunneln ALLES 
-  * Anwendungen sind nicht mehr portgebunden  +  * Anwendungen sind nicht mehr portgebunden
   * Beispiel:   * Beispiel:
     - Teams     - Teams
Zeile 205: Zeile 219:
  
 NGFW erkennt die Anwendung → nicht nur den Port. NGFW erkennt die Anwendung → nicht nur den Port.
 +
  
 --- ---
Zeile 212: Zeile 227:
 Firewalls erzeugen typische Logs: Firewalls erzeugen typische Logs:
  
-  * Allowed / Denied  Â +  * Allowed / Denied 
-  * Blocked inbound attempts  Â +  * Blocked inbound attempts 
-  * Portscans  Â +  * Portscans 
-  * IDS/IPS alerts  Â +  * IDS/IPS alerts 
-  * TLS handshake metadata  Â +  * TLS handshake metadata 
-  * App-ID Erkennung  Â +  * App-ID Erkennung 
-  * Benutzerzuordnung (User-ID)  +  * Benutzerzuordnung (User-ID) 
  
 --- ---
Zeile 224: Zeile 240:
 ===== Zusammenfassung ====== ===== Zusammenfassung ======
  
-  * Stateless Firewalls filtern rein nach Ports/IP – kaum noch genutzt  Â +  * Stateless Firewalls filtern rein nach Ports/IP – kaum noch genutzt 
-  * Stateful Firewalls sind Standard, sie verstehen Sitzungen  +  * Stateful Firewalls sind Standard, sie verstehen Sitzungen
   * NGFWs gehen darĂĽber hinaus:   * NGFWs gehen darĂĽber hinaus:
-      - Deep Packet Inspection  Â +      - Deep Packet Inspection 
-      - IDS/IPS  Â +      - IDS/IPS 
-      - Anwendungsfilter  Â +      - Anwendungsfilter 
-      - Benutzerbasierte Kontrolle  Â +      - Benutzerbasierte Kontrolle 
-      - Threat Intelligence  Â +      - Threat Intelligence 
-  * Moderne Unternehmensnetze nutzen fast immer NGFWs  +  * Moderne Unternehmensnetze nutzen fast immer NGFWs
it-themen/grundlagen/netzwerkdienste/firewall-arten.1764777334.txt.gz · Zuletzt geändert: von lars