Begriff
Firewall
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Eine Firewall ist der Türsteher zwischen deinem sicheren Haus (Heimnetzwerk) und der gefährlichen Straße (Internet). Sie kontrolliert jedes Datenpaket, das rein oder raus will.
- "Du kommst hier nicht rein!" (Blockieren von Angriffen).
- "Du darfst raus." (Erlauben von E-Mails).
Ohne Firewall wäre dein Computer wie ein Haus mit offener Haustür – jeder könnte einfach hereinspazieren und sich bedienen.
Merksatz: Ein Sicherheits-System, das den Datenverkehr überwacht und unerlaubte Verbindungen blockiert.
Es gibt zwei Arten:
- Hardware-Firewall: Sitzt meist in deinem Router (FritzBox). Sie schützt alle Geräte in deinem WLAN gleichzeitig.
- Software-Firewall: Ein Programm auf deinem PC (z. B. Windows Defender Firewall). Sie schützt nur diesen einen PC (falls der Hacker schon im WLAN ist).
Regeln sind oft einfach:
- Inbound (Eingehend): Alles verbieten! (Außer du hast es bestellt, wie eine Webseite).
- Outbound (Ausgehend): Alles erlauben! (Außer bekannte Viren, die "nach Hause telefonieren" wollen).
1. Packet Filtering vs. Stateful Inspection
- Stateless (Dumm): Der Türsteher schaut nur auf den Ausweis. "IP 1.2.3.4 darf rein." Er weiß nicht, ob IP 1.2.3.4 schon gestern da war oder Stress gemacht hat.
- Stateful (Schlau): Der Türsteher erinnert sich. "IP 1.2.3.4 schickt eine Antwort? Moment, hast du überhaupt gefragt? Nein? Dann kommst du nicht rein!" (Erkennt Zusammenhänge von Verbindungen).
2. Next-Generation Firewall (NGFW)
Moderne Firmen-Firewalls (Palo Alto, Fortinet) schauen nicht nur auf IPs ("Wer?"), sondern in den Inhalt ("Was?"). Sie öffnen das Paket (Deep Packet Inspection) und sehen: "Das kommt zwar von Facebook (erlaubt), aber da ist ein Virus drin (verboten)!" oder "Das ist keine Arbeit, das ist Farmville!".
1. iptables und netfilter (Linux)
In der Linux-Welt ist die Firewall tief in den Kernel des Betriebssystem (OS) eingebaut, konkret heißt das Modul netfilter.
Tools wie iptables oder das modernere nftables sind nur User-Space-Programme, um Regeln in diesen Kernel-Filter zu schreiben.
Ein Datenpaket durchläuft verschiedene "Chains" (Ketten): PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING.
iptables -A INPUT -p tcp --dport 22 -j DROP
Ein DROP wirft das Paket weg, als wäre es nie angekommen (Der Absender wartet bis zum Timeout). Ein REJECT schickt freundlich ein "Zugriff verweigert" zurück.
2. WAF (Web Application Firewall)
Eine klassische Firewall versteht nur IPs und Ports (Layer 3 und 4 im OSI-Modell).
Aber was, wenn der Angreifer auf Port 443 (HTTPS) angreift, der ja zwingend offen sein muss?
Hier kommt die WAF (Layer 7) ins Spiel. Sie analysiert echte HTTP-Requests und schützt vor Angriffen wie SQL-Injection oder Cross-Site-Scripting (XSS).
Sie sucht im HTTP-Body nach gefährlichen Mustern wie SELECT * FROM users.
3. IDS vs. IPS
Oft wird die Firewall mit Intrusion Detection/Prevention kombiniert:
- IDS (Detection): Ein stiller Alarm. Die Software (z.B. Snort) liest den Traffic mit (Promiscuous Mode) und schreibt Logs, greift aber nicht ein.
- IPS (Prevention): Sitzt inline im Traffic. Wenn die Software ein bekanntes Angriffs-Muster erkennt (Signatur), blockiert sie das Paket aktiv und ändert dynamisch die Firewall-Regeln.
Quick-Check
Warum brauche ich eine Firewall, wenn ich einen Antivirus habe?
Der Antivirus fängt den Einbrecher, wenn er schon im Haus ist. Die Firewall sorgt dafür, dass er gar nicht erst reinkommt. Doppelte Sicherheit.Schützt eine Firewall vor Viren auf USB-Sticks?
Nein. Sie überwacht nur den Netzwerkverkehr. Wenn du den Virus physisch "rein trägst", ist die Firewall blind.Was ist eine "DmZ" (Demilitarized Zone)?
Ein spezieller Bereich im Netzwerk für Server, die aus dem Internet erreichbar sein müssen (Webserver). Sie stehen "vor" der inneren Firewall, damit Hacker bei einem Einbruch nicht sofort Zugriff auf die sensiblen internen Daten haben.