Was ist eine Firewall, und was ist der Unterschied zwischen einer zustandslosen und einer zustandsbehafteten?
Kurzantwort
Eine Firewall steuert den Verkehr zwischen Netzwerkzonen, indem sie ihn anhand von Regeln zulässt oder verweigert. Eine zustandslose Firewall bewertet jedes Paket isoliert gegen die Regeln; eine zustandsbehaftete Firewall verfolgt den Zustand von Verbindungen, um Rückverkehr für von ihr erlaubte Sitzungen zuzulassen. Next-Gen-Firewalls ergänzen das Bewusstsein für die Anwendungsschicht.
Eine Firewall ist die vertrauteste Netzwerkmaßnahme, doch Interviewer wollen mehr als „sie blockiert schlechten Verkehr". Die eigentliche Antwort betrifft, wie sie entscheidet und welchen Zustand sie behält.
Was eine Firewall tut
Eine Firewall sitzt zwischen Netzwerkzonen — etwa zwischen dem Internet und Ihrem internen Netzwerk oder zwischen einer DMZ und internen Servern — und setzt einen Regelsatz durch, der Verkehr zulässt oder verweigert. Regeln stützen sich typischerweise auf Quell-/Ziel-IP, Port und Protokoll. Die stärkste Haltung ist Default Deny: alles blockieren und dann explizit nur das Nötige zulassen.
Zustandslos versus zustandsbehaftet
Eine zustandslose Firewall (Paketfilterung) bewertet jedes Paket für sich gegen die Regeln, ohne Erinnerung an frühere Pakete. Sie ist schnell, aber grob — um eine Antwort zuzulassen, müsste man explizit eine Regel für den Rückverkehr öffnen, was fehleranfällig ist.
Eine zustandsbehaftete Firewall führt eine Verbindungstabelle. Wenn sie eine ausgehende Verbindung zulässt, merkt sie sich diese Sitzung und lässt den passenden Rückverkehr automatisch zu, während sie unaufgeforderte eingehende Pakete weiterhin blockiert. Das ist sowohl sicherer als auch einfacher zu verwalten und ist heute der Standard.
Next-Generation-Firewalls
Eine Next-Gen-Firewall (NGFW) ergänzt das Bewusstsein für die Anwendungsschicht: Sie kann die tatsächliche Anwendung identifizieren (nicht nur den Port), Inhalte inspizieren, Threat Intelligence integrieren und bündelt oft IPS und TLS-Inspektion. Das ist wichtig, weil Angreifer durch erlaubte Ports wie 443 tunneln.
Was eine Firewall nicht ist
Eine Firewall steuert Konnektivität; sie ist kein Antivirus, und eine einfache inspiziert Nutzdaten nicht tiefgehend. Sie ist eine Schicht in Defense in Depth.
Warum das wichtig ist
Interviewer beurteilen, ob Sie den Mechanismus verstehen, nicht nur das Schlagwort. Die zustandsbehaftete Inspektion, Default Deny und den Mehrwert von NGFWs zu erklären, zeigt, dass Sie über Netzwerkmaßnahmen nachdenken können, statt eine Definition aufzusagen.
Wahrscheinliche Anschlussfragen
- Was bedeutet eine Default-Deny-Richtlinie und warum wird sie bevorzugt?
- Was kann eine Next-Generation-Firewall, das eine herkömmliche nicht kann?
- Wie unterscheidet sich eine Firewall von einem IPS?