Firewalls sind zentrale Sicherheitskomponenten, die den Netzwerkverkehr überwachen, filtern und kontrollieren. Es gibt verschiedene Firewall-Typen mit unterschiedlichen Fähigkeiten.

Die drei wichtigsten sind:

• Stateless Packet Filtering
• Stateful Inspection
• Next-Generation Firewalls (NGFW)

Eine stateless Firewall prüft jedes Paket einzeln, ohne sich an vorherige Pakete zu erinnern.
Sie kennt keine Verbindungen und keine Zustände.

• arbeitet auf Layer 3 (IP) und Layer 4 (Ports)
• jedes Paket wird unabhängig beurteilt
• sehr schnell und einfach
• weniger sicher als stateful Firewalls

ASCII:

 [Packet 1] → Entscheidung
 [Packet 2] → Entscheidung
 [Packet 3] → Entscheidung

 Erlaube TCP Port 80 →
 Blockiere alles andere

• keine Erkennung, ob Paket zu einer bestehenden Verbindung gehört
• kann leicht umgangen werden (z. B. ACK-Floods)
• keine tiefere Analyse

• einfache ACLs auf Routern
• sehr alte Firewalls
• selten im Produktionsnetz

Eine stateful Firewall merkt sich Zustände von Verbindungen.
Sie weiß, ob ein Paket zu einer gültigen, bestehenden Session gehört.

• Standard in modernen Firewalls
• führt eine State Table
• erkennt Session-Start, Session-Ende
• blockiert unerwünschte Pakete zuverlässig

ASCII:

 [Tabelle]
 192.168.1.10:443 → ESTABLISHED
 192.168.1.20:22  → NEW

 Firewall prüft Pakete anhand dieser Tabelle.

• viel sicherer als stateless
• erkennt legitime vs. illegitime Pakete
• reduziert Regeln stark → „Allow outbound, block inbound“
• ideal für NAT

  LAN → Internet: erlaubt
  Internet → LAN: geblockt (außer etablierte Sessions)

• kann überlastet werden (State Table Exhaustion)
• keine tiefe Analyse auf Layer 7

• Heimrouter
• Unternehmensfirewalls
• Linux iptables / nftables
• OPNsense / pfSense / FortiGate / Palo Alto

NGFWs sind moderne Firewalls mit erweiterten Sicherheitsfunktionen. Sie arbeiten nicht nur auf Layer 3/4, sondern analysieren auch Layer 7 (Anwendungen).

Bekannte Hersteller:

• Palo Alto
• FortiGate
• Sophos
• Check Point

• Stateful Inspection
• Deep Packet Inspection (DPI)
• Applikationskontrolle (z. B. Facebook, Netflix, Teams erkennen)
• Benutzerbasierte Regeln (via LDAP/AD)
• TLS Inspection (Decrypt/Inspect)
• integrierter Antivirus / AntiMalware
• integrierter IDS/IPS
• Webfilter (URL Filtering)
• Sandboxing
• Threat Intelligence Feeds

• extrem hohe Sicherheit
• erkennt Anwendungen, nicht nur Ports
• blockiert Malware, C2-Kommunikation, Exploits
• perfekt für Unternehmen

• deutlich teurer

  • Einrichtung komplexer
    * TLS-Inspection kann Datenschutzrelevant sein
    

  —

Linux-Firewall mit Session-Tracking:

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Regel:

Erlaube: Usergruppe "IT", App "GitHub", VLAN 10 → Internet
Blockiere: Social Media für alle außer GF

• stateful Firewall
  * Suricata (IDS/IPS) integriert
  * URL-Filter per Plugin möglich
  

—

Früher:

• Port 80 = HTTP
  * Port 443 = HTTPS
  * Port 21 = FTP
  

Heute:

• HTTP/HTTPS tunneln ALLES
  * Anwendungen sind nicht mehr portgebunden
  * Beispiel:
  1. Teams
  2. Zoom
  3. Netflix
  4. Discord

NGFW erkennt die Anwendung → nicht nur den Port.

Firewalls erzeugen typische Logs:

• Allowed / Denied

  • Blocked inbound attempts
    * Portscans
    * IDS/IPS alerts
    * TLS handshake metadata
    * App-ID Erkennung
    * Benutzerzuordnung (User-ID)
    

  —

• Stateless Firewalls filtern rein nach Ports/IP – kaum noch genutzt

  • Stateful Firewalls sind Standard, sie verstehen Sitzungen
    * NGFWs gehen darüber hinaus:
    1. Deep Packet Inspection
       

         - IDS/IPS  
         - Anwendungsfilter  
         - Benutzerbasierte Kontrolle  
         - Threat Intelligence  

       * Moderne Unternehmensnetze nutzen fast immer NGFWs