NAT
/ Packet-Filtering / Stateful Inspection / Proxy - Firewalls
NAT
/ Packet-Filtering:
Paket Filtering Firewalls arbeiten auf der Netzwerkebene des OSI-Modells und auf der IP-Ebene von TCP/IP. In der Regel findet man sie in Routern oder bilden das untere Ende von SOHO-Firewalls. Erklärungen zum OSI-Modell unter dem Menü-Punkt: Allgemeines.
Ein Router ist ein Gerät, das Pakete von einem Netzwerk empfängt und an ein anderes Netzwerk weiterleitet (mehr dazu unter dem Menü-Punkt: Router).
In einer Packet Filtering Firewall wird jedes Paket vor seiner Weiterleitung mit einem Satz von Kriterien (Regeln) verglichen. Abhängig vom jeweiligen Paket und der Regel kann die Firewall das Paket weiterleiten, verwerfen oder eine Meldung an den ursprünglichen Absender zurücksenden.
Die Regeln können folgendes berücksichtigen: Quell- und Zieladresse, Quell- uns Zielport und das verwendete Protokoll.
Die Vorteile von Paket Filtering Firewalls liegen in der Anschaffung (geringer Preis) und geringe Auswirkungen auf die Netzwerkleistung. Paket Filtering wird von der Mehrzahl der handelsüblichen Routern unterstützt. Selbst bei Verwendung anderer Firewalls bietet die Implementierung von Paket Filtering auf der Netzwerkebene ein Grundmaß an Sicherheit auf niedrigster Netzwerkebene.
NAT Firewalls (NAT = Network
Address Translation) bieten dieselben Vorteile wie Paket Filtering Firewalls, können
jedoch zusätzlich die IP-Adressen von Computern hinter der Firewall verbergen.
Ein weiterer Vorteil ist das nach außen nur eine IP-Adresse sichtbar wird.
Stateful
Inspection Firewalls:
Stateful Inspection Firewalls vereinen die Aspekte von den oben genannten Firewalls. Sie filtern Pakete auf der Netzwerkebene, bestimmen die Legitimität und die Zugehörigkeit zu internen Anforderungen von Sitzungspaketen und werten Paketinhalte auf der Anwendungsebene aus.
Sie erlauben die direkte Verbindung von Client und Host und reduzieren den problematischen Mangel an Transparenz von Gateways, die auf der Anwendungseben arbeiten (mehr dazu unter dem Menü-Punkt: LAN-Elemente).
Der Begriff „Stateful Inspection” basiert auf der Idee, dass eine Firewall Sitzungen so überwacht, das nur “zugelassene” Pakete zum LAN erhalten, die erstens von den Paketfiltern akzeptiert wurden und zweitens in Beantwortung spezifischer LAN-interner Sitzungen und Anforderungen eintreffen. Eine Regel sollte deshalb so lauten: „Du kannst nur mit mir sprechen, wenn ich dich zuerst angesprochen habe!“, also der Verbindungsaufbau nur von innen nach außen.
Diese Art von Firewall stützt sich auf Algorithmen zur Erkennung und Verarbeitung von Daten der Anwendungsebene statt auf den Einsatz von Proxys auf der Anwendungsebene und bietet somit etwas weniger Sicherheit als eine vollwertige Proxy-Firewall, resultiert jedoch in einer wesentlich geringeren Beeinträchtigung der Netzwerkleistung.
Stateful Inspection Firewalls
bieten ein hohes Maß an Sicherheit, gute Leistungswerte sowie Transparenz für
den Endbenutzer, aber nur, wenn kompetentes Personal (Administratoren) die
Einstellungen vornehmen.
Zusammenfassung:
In Umgebungen mit geringen Sicherheitsanforderungen stellen NAT und Paket Filtering eine hinlängliche Lösung dar. Auch die erforderlichen Kosten bleiben in einem überschaubaren Rahmen.
Falls Ihr LAN jedoch über wertvolle Informationen jeglicher Art enthält und sei es nur am Internet (eigener WWW-Server) angeschlossen ist, empfehlen wir von www.datahelp.de nachdrücklich den Einsatz von Proxy-Firewalls bzw. mind. von Stateful Inspection Firewalls.
Letzte Bearbeitung: 09 / 2002
Copyright © www.datahelp.de
Modifizierung oder Weitergabe an Dritte nur mit Einverständnis des Autors gestattet !