Der Microsoft ISA Server 2004

Die Application Layer Firewall

Mit dem Paketfilter kann man nur einzelne Pakete isoliert behandeln - nicht aber die Daten untersuchen, die sich aus den Einzelpaketen tatsächlich ergeben. Um diese Daten zu verarbeiten, muss die Firewall sich mit den Protokollen der Applikationsschicht auskennen.

Ist das der Fall, kann man mit einer Application Layer Firewall tatsächlich einzelne Elemente der Kommunikation blockieren: Statt per Paketfilter den Zugriff auf FTP vollständig zu blockieren, ist es nunmehr möglich, auch einzelne Control-Messages von FTP zu verbieten: "Get" lässt man vielleicht zu, "Put" hingegen nicht.

Mit anderen Worten: Sie können die Kommunikation auf Basis von Strings innerhalb der Kommunikation auf Anwendungsebene kontrollieren - so ist es damit zum Beispiel möglich, unerwünschte Kontrollwörter zu unterbinden und damit die Möglichkeit von Angriffen durch Buffer Overflows zu minimieren: Je weniger Kommandos zugelassen werden, um so geringer ist die Chance, dass ein Angreifer einen Buffer Overflow ausnutzen kann.

Der ISA-Server bietet dabei die Möglichkeit, auf Applikations-, Kommando- und Datenebene zu filtern. Das ermöglicht den Einsatz des Filters für VPN , HTTP , FTP , SMTP , POP3 , DNS , H.323 , RPC und gestreamte Inhalte.