Inhaltsverzeichnis
Werbung
10 Firewall
10.1 Einführung
Eine Firewall sichert einzelne Netzwerksegmente gegeneinander
ab. Die Firewall kontrolliert, welche Verbindungen zwischen den
einzelnen Netzen zulässig sind, und lehnt verbotene Verbindungen
ab.
Die einfachste Form einer Firewall ist der Paketfilter. Dieser ent-
scheidet bei jedem IP-Paket anhand der Quell- und Zieladressen
und der jeweiligen Ports, ob das Paket passieren darf oder nicht.
Ein solcher Paketfilter muss in jedem der Netze, die er voneinander
trennen soll, eine Netzwerkschnittstelle haben. Sind mehrere Netze
auf einem Switch zusammengelegt, kann die Firewall leicht umgan-
gen werden.
Im Collax Server ist eine leistungsfähige Firewall enthalten, die
„Stateful Inspection" (zustandsgesteuerte Filterung) unterstützt. Bei
dieser Technik wird im Unterschied zu einem reinen Paketfilter für
jede Verbindung im Speicher ein Eintrag erzeugt. So ist für jede
aktive Verbindung der Status bekannt, und IP-Pakete können einer
laufenden Verbindung zugeordnet bzw. fehlerhafte und gefälschte
Pakete erkannt werden.
Ein weiterer Vorteil von Stateful Inspection ist die Unterstützung
komplexer Protokolle, die mit getrennten Kontroll- und Datenverbin-
dungen arbeiten, wie etwa FTP oder SIP. Die Firewall ist hier in der
Lage, anhand des Kontrollkanals eine neu eröffnete Datenverbindung
einer Verbindung zuzuordnen und passieren zu lassen.
In einer Firewall lassen sich Berechtigungen bis auf die Ebene
eines einzelnen Hosts setzen. Meist werden jedoch zusammenhän-
307
Werbung
Inhaltsverzeichnis
