Eine Firewall lässt nur Verbindungen passieren, die explizit erlaubt sind. Alle anderen werden zurück gewiesen. Eine herkömliche Firewall kontrolliert die Verbindungen (Paketfilter) zwischen der IP-Absender- und der IP-Empfänger-Adresse und einem oder mehreren Services (z.Bsp. Web-, und E-Mail-Server). Dies bedeute, dass über die erlaubten Verbindungen trotzdem Viren, Würmer, Trojaner und Hacker ins interne Netzwerk und in die dort angeschlossenen Computer eindringen können.

Auf jeden Fall kein ADSL-Modem verwenden. Ein ADSL-Modem enthält keine Firewall und es muss eine "Desktop-Firewall" installiert werden. Sollen mehrere Computer eine Verbindungn ins Internet haben, dann muss der Computer, an dem das ADSL-Moden angeschlossen ist, immer eingeschaltet und mit IP-Routing konfiguriert sein.

Für den Internet-Anschluss mit ADSL ist ein Router mit integrierter Firewall einzusetzen. Mit einem ADSL-Router können mehrere Computer gleichzeitig mit einem einfachen Netzwerk-Switch am Internet angeschlossen werden. Die meisten ADSL-Router haben bereits eingebaute Switches.

Für einen Cabel-TV Internet-Anschluss wird vom Provider (in der Schweiz Cablecom) nur das Cable-Modem geliefert. Dieses hat keine Firewall und keine Filter. Ihre Computer sind völlig ungeschützt den Angriffen aus dem Internet ausgesetzt. In diese Fall muss eine Firewall zwischen das Cable-Modem und dem internen Netzwerk, resp. den Computern geschaltet werden.

Wenn Sie auf dem Internet Services, wie zum Beispiel einen Web- oder E-Mail-Server anbieten, ist unbedingt ein zusätzlicher Schutz mit mindestens IDS/IPS notwendig. Eine Firewall mit IPS, Anti-Virus und Anti-Spam Technik erhöht die Sicherheit auf einen sehr hohen Level. Eine explizite Firewall mit zusätzlich integrierten Schutzfunktionen ermöglicht zudem den Betrieb eines mehrschichtigen Schutzes mit einer "two vendor" Strategie. Die meisten Firewalls für den Heim und SOHO Bereich sind ebenfalls mit eingebauten Switches ausgerüstet.

Fortinet's mehrfach ausgezeichnete ASIC-beschleunigte FortiGate Antivirus Firewalls definieren eine neue Generation von Real-Time Security Gateways. Die Geräte erkennen und entfernen die meisten schädlichen Inhalte wie Viruse, Würmer, Intrusion-Versuche, unerwünschten WebContent und mehr aus dem Email- und Web-Verkehr ohne die Netzwerk-Performance zu verringern. Zusätzlich zum Application Level Schutz, bieten die FortiGate Systeme die ganze Palette von Network Level Diensten Firewall, VPN, Intrusion Detection und Traffic Shaping.

Bisher gab es keine Firewalls, die in der Lage waren, mit genug Leistungsreserven den gesamten Inhalt des Netzwerkverkehrs auf Applikationsebene in jeder erforderlichen Geschwindigkeit zu scannen, auf Viren und Würmer zu prüfen oder Attacken und andere ungewollte Daten abzuwehren. Um dieses Problem zu lösen, hat Fortinet die neue Produktelinie 'FortiGate' entwickelt. Diese sogenannten Network Protection Gateways (NPGs) sind in der Lage, Netzwerk-Verkehr mit bis zu 2Gbps zu scannen. Diese Geschwindigkeit wird erreicht durch den Einsatz eines oder mehrerer ASIC Prozessoren. FortiGate-Geräte bieten

* Firewall
* Intrusion Detection (IDS) und Prevention (IPS)
* Anti-Virus/Wurm Schutz für Email- und Webverkehr
* Web Content Filtering basierend auf Keywörtern und URLs
* VPN

Fortinet's Network Protection Gateways (NPGs) sind dedizierte Hardware/Software Appliances, die im Bereich Content Processing die Leistungsgrenzen neu definieren. Dies bedeutet Virenscanning und Scanning des gesamten Netzwerkverkehrs am Eingang zum Firmennetzwerk, und dies in einer Geschwindigkeit, an die bisher nicht zu denken war. Dazu bieten die Geräte auch VPN, Firewall, Intrusion Detection und Traffic Shaping. Der Durchsatz geht beim grössten Gerät bis auf mehrere Gigabit pro Sekunde.

Die ZyWALL Firewall von ZyXEL

Eine Firewall ist ein Computer, der den Datenverkehr zwischen einem lokalen Netz (z.B. ein Verbund von Computern in einem Unternehmen) und externen Netzwerken (z.B. Internet) regelt. Die Firewall schützt hauptsächlich das lokale Netz vor dem unbefugten Herstellen von Verbindungen von aussen. In Netzwerken können Verbindungen in beiden Richtungen gesperrt oder geöffnet werden: zum einen kann aus dem Internet eine Verbindung in eine DMZ oder ins lokale Netz, zum andern aus dem lokalen Netz eine Verbindung ins Internet erlaubt werden. Im Interesse der Unternehmenssicherheit (IT-Scurity Policy) sollten grundsätzlich nur gschäfts relevante Verbindungen vom internen Netz nach aussen erlaubt werden.

DMZ ist die Abkürzung für Demilitarized Zone (deutsch: entmilitarisierte Zone) und bezeichnet einen geschützten Rechnerverbund in einem Teilnetz, das sich zwischen zwei anderen Netzwerken, zum Beispiel dem lokalen und externen Netzwerk, befindet. Verbindungen sollten neimals direkt von aussen ins loakle Netz erlaubt werden. WEB-, E-Mail und andere Server müssen immer in einer DMZ stehen.

Die Daten werden in einem Netzwerk von dem sendenden Computer in Datenpakete verpackt und ins Netz geschickt. Jedes Paket, das den Paketfilter passieren will, wird untersucht. Anhand der in jedem Paket vorhanden Daten, wie IP-Absender-, IP-Empfänger-Adresse und Port (z.Bsp. Port 80 für einen Web-Server), entscheidet der Paketfilter aufgrund von Filterregeln (Rule) was mit diesem Paket geschieht. Ein Paket das einer Regel entspricht wird weitergeleitet (FORWARD). Ein unzulässiges Paket, welches keiner Regel entspricht, kann entweder ignoriert (im Fachjargon DENY oder DROP genannt), oder mit dem Hinweis, dass der Zugriff unzulässig ist (REJECT) an den Absender zurückgeschickt werden.

Stateful inspection umschreibt eine Technik der zustandsabhängigen Analyse und Reaktion bei der überwachung aller ein- und ausgehenden Verbindungen. Anders als simple Paketfilter kann ein "stateful inspection" Firewall den Informationsfluss in Echtzeit sowohl bezüglich der Sessioninformation wie auch der awendungsspezifischen Information analysieren. Möglich wird das, indem der Zustand (state) und die dadurch ausgelösten Reaktionen sämtlicher Verbindungen und sämtlichen Protokollen verfolgt werden.

NAT (Network Address Translation) ist in Computernetzwerken ein Verfahren, bei dem private IP-Adressen auf öffentliche IP-Adressen abgebildet werden. Werden auch die Port-Nummern umgeschrieben spricht man dabei von Masquerading (Maskieren ) oder PAT (Port Address Translation). NAT wird aus verschiedenen Gründen verwendet. Hauptsächlich ist NAT notwendig, weil öffentliche IP-Adressen immer knapper werden und man deshalb private IP-Adressen einsetzen muss. Zum Anderen kann es der Datensicherheit dienen, weil die interne Struktur des Netzwerks nach aussen hin verborgen bleibt (Security through Obscurity).

Eine "persönliche Firewall" oder auch "Desktop-Firewall" genannt, bietet einen ungenügenden Schutz. Eine effektiv sichere Konfiguration kann ohne genaue Kenntnisse über Netzwerk- und Systemtechnik nicht aufgebaut werden. Eine "Desktop-Firewall" bindet in ihre Regeln Ausführungsrechte für Anwedungsprogramme wie Browser und E-Mail Client mit ein. Dadurch wird die Konfiguration bald einmal komplex und unübersichtlich und es schleichen sich Sicherheitslöcher ein, wo man eigentlich keine haben will. Man läuft auch Gefahr, das System zu blockieren. Ohne ein Konzept, was vor wem geschützt werden soll, ist ein Firewall-System für den Betreiber gefährlich. In den meisten Fällen fehlt ihm das tiefgreifende Verständnis zur Ausarbeitung eines Konzepts.

Die "Desktop-Firewall" ist immer der Anfangs- oder End-Punkt einer Verbindung. Dadurch lässt man einen Angreifer netzwerk-technisch bis auf den eigene Computer vordringen, also dort hin wo man ihn ja gar nicht haben will. Sind in einem Netz mehrere Computer angeschlossen, muss auf jedem eine "Desktop-Firewall" installiert werden. Der Rechnerverbund im internen Netz ist immer so gut geschützt, wie das schwächste Glied in ihm. Es exisitieren Viren, die die Regeln der gängigen Desktop-Firewalls modifizieren.

Eine echte Firewall unterscheidet sich zur "Desktop-Firewall" unteren anderem darin, dass sie den Verkehr zwischen 2 oder mehr Netzwerken (internes, externes, DMZ) kontrolliert, die an unterschiedlichen Netzwerkkarten angeschlossen sind. Eine "desktop-Firewall" beherrscht diese Fähigkeit nicht. Sie kann nur zusammen mit einer echten Firewall eine sinnvolle Ergänzung sein. Oder dann, wenn man seinen Computer vor allzu neuigierigen Nachbarn im lokalen Netzwerk schützen will.