Meine Firewall

Die Firewall erlaubt in kleinen Netzen den gesamten Verkehr von drinnen nach draußen; von draußen nach drinnen sind nur die Pakete erlaubt, die als Antwortpaket auf eine Anforderung von drinnen (z.B. von einem Webbrowser) wiederkommen. Die Firewall kann auch andere Funktionen übernehmen:

Zugriffsbeschränkungen von drinnen, da nicht alle PC oder Internetnutzer alles dürfen. Alle DSL-Router sind auch einfach ste Firewalls, die immer mindestens über geringe Blockierfunktionen verfügen. Eine Firewall ist in der Regel eine kleine Box mit einem Netzanschluss für drinnen (vertrauenswürdige Seite) und exakt einer für draußen (nicht vertrauenswürdige Seite), was im Ernstfall auch dem Laie die Möglichkeit geben würde, die Internetverbindung leicht zu unterbrechen oder wenigstens das gute Feeling zu vermitteln, dies tun zu können.

Dabei ist es unerheblich, ob diese Box einen speziellen Rechner (Appliance) oder einen Rechner mit einer Linux-Firewall enthält; dabei ist es von Bedeutung, dass die Funktionsweise und das Konfigurationsmerkmal dieser Black Box nur über einen kennwortgeschützten Zugriff geändert werden kann. Die Firewall kann auch als Software-Paket auf dem eigenen Rechner oder einem Dateiserver eingesetzt werden.

Die bekanntesten Repräsentanten sind der Bereich Alarme und die Microsoft-Firewall, die in Windows XP ab Servicepack 2 enthalten ist. Zu den Vorteilen einer softwarebasierten Firewall gehören: Diese Technologie wird von der Windows XP SP2-Firewall verwendet. Technisch gesehen können softwarebasierte Brandmauern genauso leistungsstark sein wie hardwarebasierte Anlagen. Für den Laie ist die Vielschichtigkeit der Sache nicht verständlich, so dass das im Lauf der Zeit erzielbare Maß an Sicherheit größtenteils zufällig sein kann, da der Anwender die gutgemeinten Fragen der Firewall-Software zur Ermöglichung gewisser Leistungsumfänge nicht übersehen und bewerten kann.

Die Software-Firewall auf dem eigenen Rechner oder Dateiserver ist nur unbedeutend vor Malware oder Angriffen von außen gesichert. Wenn der Anwender die Firewall ausschalten kann, wird er dies von Zeit zu Zeit tun, auch wenn nur um zu prüfen, ob das xy-Programm endlich ausgeführt wird. Nicht nur wegen Bedienungsfehlern, sondern auch, weil sich die Umwelt ständig verändert: Neue Updates und neue Software werden eingebaut und die vom Anwender gewählten Programmkombinationen sind nicht vorhersagbar.

Auch eine Firewall ist gegen solche Unsicherheiten nicht immun: Ihre Funktionsweise kann nicht besser sein als die zugrunde liegende Hardware. Da große Hersteller wie Symantec und McAfee ihre Virenscanner-Suiten um Firewall-Funktionen erweitern, erleben immer mehr private PCs ungewollte, simultane Installation mehrerer Firewall-Versionen, die nicht nur die Ausfallsicherheit und Schnelligkeit mindern, sondern auch den Rechner in seiner Interaktion in seiner Gesamtheit lahm legen können.

Ungeachtet dieser beträchtlichen Einschränkungen einer Software-Firewall gibt es kaum eine brauchbare Lösung für ein Laptop, das über ein Funkmodem oder eine ISDN-Karte mit dem Netz vernetzt ist. Grössere Brandmauern haben eine weitere Verbindung, die sogenannte Demilitarisierte Zone (DMZ). Dies ist ein physikalisch getrennter Raum, in dem halbstaatliche Endgeräte wie Webserver, E-Mail- oder FTP-Server eingerichtet werden, die zwar vor dem Internetsurfen und -schützen müssen, aber dennoch außerhalb des gesicherten Intranet sind.