Firewall-Grundlagen
Paketfilterungs-Router
Ein Paketfilterungs-Router entscheidet bei jedem Datenpaket anhand festgelegter Filterregeln, ob er es weiterleitet oder nicht. Überprüft werden Header-Informationen wie:
IP-Ursprungsadresse
IP-Zieladresse
das eingebettete Protokoll (TCP, UDP, ICMP, oder IP Tunnel)
TCP/UDP-Absender-Port
TCP/UDP-Ziel-Port
ICMP message type
Eingangsnetzwerkschnittstelle (Ethernetkarte, Modem, etc.)
Ausgangsnetzwerkschnittstelle
Falls das Datenpaket die Filter passiert sorgt der Router für die Weiterleitung des Pakets, andernfalls verwirft er es. Wenn keine Regel greift, verfährt der Paketfilterungs-Router nach den Default-Einstellungen.
Anhand der Filterregeln kann ein Router auch eine reine Service-Filterung durchführen. Auch hier muss der Systemadministrator die Filterregeln vorher definieren. Service-Prozesse benutzen bestimmte Ports (Well Known Ports), wie zum Beispiel FTP den Port 21 oder SMTP den Port 25. Um beispielsweise den SMTP-Service abzublocken, sondert der Router alle Pakete aus, die im Header den Ziel-Port 25 eingetragen haben oder die nicht die Ziel-IP-Adresse eines zugelassenen Hosts besitzen.
Einige typische Filterrestriktionen sind:
Nach außen gehende Telnet-Verbindungen sind nicht erlaubt.
Telnet-Verbindungen sind nur zu einem bestimmten internen Host erlaubt.
Nach außen gehende FTP-Verbindungen sind nicht erlaubt.
Pakete von bestimmten externen Netzwerken sind nicht erlaubt.