Ratgeber Sicherheit

Das können Next Generation Firewalls

Bestimmung der Firewall-Position

Eine entscheidende Rolle beim Einsatz einer Firewall-Lösung ist die Position in der Netzwerktopologie. Geht man in chronologischer Reihenfolge an die Konfiguration der Firewalls heran, so wird der erste Schritt immer die Bestimmung des Netzwerkdesigns sein. Bei kleineren Unternehmen mag dieses allein aus dem internen Netzwerk mit allen Server und Clients sowie dem Internet bestehen.

Mit der Unternehmensgröße wächst jedoch auch die Komplexität der IT-Infrastruktur. Die Segmentierung des Netzwerks mit DMZ (Demilitarisierte Zone) und verschiedenen weiteren Zonen wird dabei unumgänglich. Um die verschiedenartigen Anforderungen abzudecken, platziert man die Firewall daher an unterschiedlichen Stellen im Netzwerk. Unterschieden wird dabei nach Egde Firewall, Front Firewall, Back Firewall und dem Schutz einzelner Netzwerkadapter.

Netzwerkregeln bestimmen den sicheren Kommunikationsfluss

Ist das grundlegende Layout des Netzwerkes festgelegt, so müssen die Netzwerkregeln für den Datenverkehr bestimmt werden. Hierzu bieten die Produkte zur Konfigurationsunterstützung oftmals Assistenten an.

Die Netzwerkregeln sind allerdings nur als Basisdefinition zu verstehen. Sie bestimmen Transfer-Quelle und -Senke zum Beispiel von intern nach extern oder die Adressumsetzung mittels NAT. Die Regeln können beliebig definiert und auch geschachtelt werden. Kommen mehrere Regeln zur Anwendung, so muss auf die Reihenfolge ihrer Abarbeitung geachtet werden.

In der Terminologie der Firewall-Regeln handelt es sich bei einer Regel immer um eine Kommunikation von einer Quelle zu einem Ziel. Als Kommunikationstechnik kommt ein bestimmtes Protokoll zum Einsatz. Neben diesen grundlegenden Aspekten weisen die Firewall-Regeln natürlich noch weitere Parameter, wie die Zeit oder Angaben zur Protokollierung auf. Im Kern beruhen sie aber auf dem Quelle-Ziel-Prinzip.

Microsoft Forefront TMG: Regelwerk und Filter bilden das Grundgerüst der Firewalls. Dieses gilt auch für die nachkommende Generation der Sicherheitssysteme.
Microsoft Forefront TMG: Regelwerk und Filter bilden das Grundgerüst der Firewalls. Dieses gilt auch für die nachkommende Generation der Sicherheitssysteme.

Grundlegend geht es also immer darum, welcher Benutzer oder Dienst über welches Protokoll mit wem kommunizieren darf. Durch Richtlinien wird die Überwachung weiter spezifiziert. Dazu gehört die Auswahl der zulässigen Protokolle, der Kommunikations-Ports oder der Eingrenzung des Transfers auf bestimmte Systemdienste und Ähnliches. Zu den überwachten Netzwerkprotokollen zählen meist alle gängigen Protokolle wie etwa HTTP, SMTP, SSL, RPC oder FTP. Durch die Gruppierung der Protokolle, etwa in Infrastruktur, Authentifizierung, E-Mail-Kommunikation, Instant Messaging, Filetransfer oder Streaming, wollen die Hersteller die Definition der Regeln zusätzlich vereinfachen.