Inhaltsverzeichnis
Werbung
Versucht hingegen ein anderer Rechner im Internet, den gerade offenen Port 4322 im LAN zu nutzen, um selbst Daten
von seinem Port 20 auf dem geschützten Client abzulegen, wird dieser Versuch von der Firewall unterbunden, denn die
IP-Adresse des Angreifers passt nicht zur erlaubten Verbindung!
4
Nach der erfolgreichen Datenübertragung verschwinden die Einträge automatisch wieder aus der dynamischen
Tabelle, die Ports werden also wieder geschlossen.
Eine Firewall mit Stateful-Inspection ist zudem meistens in der Lage, die empfangenen Datenpakete zu re-assemblieren,
also einzelne Bestandteile zwischenzuspeichern und wieder zu einem gesamten Paket zusammenzubauen. Dadurch
können bei fragmentierten Paketen nicht nur die einzelnen Teile von der Firewall geprüft werden, sondern auch das
vollständige IP-Paket.
Dieser Pförtner macht seine Aufgabe also schon deutlich besser. Wenn in dieser Firma jemand einen Kurier bestellt, muss
er parallel dazu auch den Pförtner anrufen und mitteilen, das er einen Kurier erwartet, um welche Uhrzeit der da sein
wird und was auf dem Lieferschein des Paketes steht. Nur wenn diese Angaben beim Eintreffen des Kuriers mit dem
Eintrag im Logbuch des Pförtners übereinstimmen, wird er den Kurier durchlassen. Bringt der Kurier nicht nur ein Paket,
sondern gleich zwei, wird nur das mit dem richtigen Lieferschein durchgelassen. Ebenso wird auch ein zweiter Kurier,
der Durchlass zu dem Mitarbeiter verlangt, an der Pforte abgewiesen.
Application Gateway
Die Application Gateways erweitern die Adressprüfung der Paketfilter und die Verbindungsüberwachung der
Stateful-Packet-Inspection um die Prüfung der Inhalte auf Anwendungsebene. Das Application Gateway läuft aufgrund
der hohen Anforderungen an die Hardware-Performance in der Regel auf einem separaten Rechner. Dieser Rechner steht
zwischen dem lokalen Netzwerk und dem Internet. Aus beiden Richtungen gesehen ist dieser Rechner die einzige
Möglichkeit, mit dem jeweils anderen Netzwerk Daten auszutauschen. Es gibt keine direkte Verbindung zwischen den
beiden Netzwerken, sondern immer nur bis zum Application Gateway.
Referenzhandbuch
8 Firewall
477
Werbung
Inhaltsverzeichnis
