Komplexere Kontrolle

Verwirrende Funktionsvielfalt

Durchgesetzt haben sich inzwischen Application-Layer-Firewalls oder Proxys, die nicht nur einzelne Pakete auf korrekte Header und Inhalte untersuchen, sondern auch HTTP-Messages rekonstruieren, die mehrere Pakete lang sein können. Diese Systeme können zum Beispiel prüfen, ob RFC-Standards eingehalten werden, Unicode verwendet wird, URL-Längen stimmen, oder ob ein Befehl enthalten ist, der ein Root-Skript ausführen soll. Setzen Unternehmen Firewalls ein, die sowohl Paketfilterung als auch Application-Layer-Funktionalität aufweisen, haben sie somit auch einen zusätzlichen Schutz gegen Würmer zur Verfügung.

Auf die Käufer der Produkte, die bisher vor allem zwischen grundlegenden Konzepten wie Paketfilter und Application-Layer-Firewall, zwischen dem Marktführer und seinen Konkurrenten und zwischen verschiedenen Ansätzen zur Hochverfügbarkeit zu wählen hatten, kommen aber auch völlig neue Auswahlkriterien zu, die sich nicht allein auf technische Leistungskriterien für die Firewall-Kernfunktionen beschränken:

- Eine Reihe von Firewalls steht wahlweise als Softwareprodukt oder als Appliance zur Verfügung, also als gekapselter, meist via Web-Interface gesteuerter Rechner mit eigenem Betriebssystem und Software, der ohne lange Installation einfach ins Netz eingeschleift wird. Die Hürde der korrekten Firewall-Installation bleibt trotzdem bestehen, aber die meisten Appliances lassen sich auch von Dienstleistern oder zentralen Administrationszentren aus bequem fernwarten.

- Manche Produkte enthalten zusätzlich ein Intrusion-Detection-System, das typische Verläufe von Hackerangriffen kennt und Alarm schlägt, wenn es ähnliche Vorgänge im Netz entdeckt.

- Andere Firewalls bieten Content-Security-Funktionen, bei denen die Kommunikation noch eingehender als bei der Application-Layer-Firewall auch auf Dateiebene überwacht wird. Auf diese Weise ist es möglich, zum Beispiel tendenziell gefährliche Makro- und Skriptbefehle abzufangen, die vom Virenscanner nicht entdeckt werden.

- Wer die Verantwortung für einen freien Webzugriff im Unternehmen scheut oder seinen Mitarbeitern zutraut, dass sie Web und E-Mail für private oder gar strafbare Zwecke missbrauchen, kann Firewalls mit Website-, Text- und Bildblockern einsetzen.

- Schließlich gibt es all dies - vor allem für kleinere Netzwerke - auch in fast beliebiger Mehrfachkombination.

Auf den ersten Blick erscheint die neue Funktionsvielfalt als reine Bereicherung für den Kunden. Tatsächlich kann jedes der genannten Kombiprodukte sinnvoll sein, aber ebenso gut ist es möglich, dass es im Unternehmen für den Aufbau eines maßgeschneiderten Sicherheitskonzeptes hinderlich ist. Im Idealfall nämlich bestimmt ein Anwender vor der Entscheidung für ein bestimmtes System, welchen Bedarf er in welchem Bereich wirklich hat. Seine spezifische Netzstruktur und die in seinem Betrieb laufenden Anwendungen können es beispielsweise erfordern, dass er zwar mit einer preiswerten Firewall auskommt, aber ein besonders leistungsstarkes Content-Security-System benötigt, weil er häufig mit externen Mitarbeitern Office-Dokumente und -Formulare austauscht. Anderswo wiederum mag Intrusion Detection von besonderer Bedeutung sein, weil eine bestimmte Server- und Anwendungskombination das Netz zum begehrten Ziel für Zombie-Programme macht, die Hacker für Distributed-Denial-of-Service-Attacken machen.