Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Was ist eine Firewall? Typen, Funktionsweise und Best Practices - Firewall-Schutz und Netzwerksicherheit
Informationssicherheit

Was ist eine Firewall? Typen, Funktionsweise und Best Practices

Was ist eine Firewall, wie funktioniert sie und welche Typen gibt es? Paketfilter, Stateful Inspection, NGFW, WAF und Cloud-Firewalls verständlich erklärt - mit Best Practices für Unternehmen.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
14 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Eine Firewall überwacht, filtert und kontrolliert den Datenverkehr zwischen Netzwerken anhand definierter Regeln. Es gibt grundlegend verschiedene Typen: Paketfilter (einfach, ressourcenschonend), Stateful-Inspection-Firewalls (verbindungsbasiert), Next-Generation-Firewalls (NGFW, mit Deep Packet Inspection und IPS) sowie Web Application Firewalls (WAF, schützt auf Anwendungsebene). pfSense ist die meistgenutzte Open-Source-Firewall für KMU und basiert auf FreeBSD. Cloud-Firewalls wie AWS WAF oder Cloudflare WAF schützen Web-Applikationen ohne eigene Infrastruktur. Eine Firewall ist immer nur eine Schicht in einem Defense-in-Depth-Konzept - sie ersetzt weder sichere Entwicklung noch regelmäßige Penetrationstests.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (8 Abschnitte)

Eine Firewall gehört zur technischen Grundausstattung jedes Unternehmens. Doch was genau ist eine Firewall, wie funktioniert sie technisch - und welcher Firewall-Typ ist der richtige für welchen Anwendungsfall? Dieser Guide beantwortet diese Fragen Schritt für Schritt: von der grundlegenden Funktionsweise über die verschiedenen Typen bis hin zu pfSense, Web Application Firewalls und Cloud-Lösungen.

Was ist eine Firewall?

Im grundlegenden Sinne ist eine Firewall ein Werkzeug, das den Datenverkehr, der in ein Netzwerk eintritt oder es verlässt, überwacht, filtert und kontrolliert. Ihre Aufgabe ist es, vertrauenswürdigen Datenverkehr durchzulassen und nicht vertrauenswürdigen Datenverkehr davon abzuhalten, auf das interne Netzwerk zuzugreifen oder es zu verlassen.

Sie schützen alles vor Malware und Hackern, vom einfachen Heimcomputer bis hin zu den Netzwerken großer Regierungen und Unternehmen. Firewall-Architekturen sind sowohl als Software als auch als Hardware erhältlich. Sie können auf Computern, verschiedenen Teilen eines Netzwerks oder in einer Cloud-Umgebung installiert werden.

Funktionsweise im Detail

Firewalls inspizieren eingehenden oder ausgehenden Datenverkehr und sind so programmiert, dass sie bestimmte Arten von Datenpaketen entweder zulassen oder blockieren. Alle Daten, die über ein Netzwerk übertragen werden, tun dies entweder in Form von TCP- (Transmission Control Protocol) oder UDP- (User Datagram Protocol) Datenpaketen. Jedes dieser Pakete enthält Header-Informationen, die mitteilen, woher die Daten kommen und wohin sie gehen. TCP-Pakete enthalten mehr Header-Daten als UDP-Datenpakete, was bedeutet, dass sie normalerweise größer sind.

Durch die Überprüfung des Datenverkehrs können Firewalls verhindern, dass bösartiger Code durch Hacker in ein Netzwerk eindringt, der ansonsten Daten und Systeme gefährden würde. Es gibt auch Firewall-Typen, die auf der Anwendungsebene arbeiten und den Datenverkehr zu und von einer Anwendung oder einem Dienst untersuchen.

Firewall-Typen im Überblick

Es gibt verschiedene Firewall-Architekturen mit unterschiedlichen Stärken und Schwächen. Die Wahl des richtigen Typs hängt vom Anwendungsfall, dem schützenswerten Asset und den verfügbaren Ressourcen ab.

1. Paketfilter-Firewall

Als die einfachste und älteste Art der Firewall-Architektur schaffen Paketfilter-Firewalls einen Kontrollpunkt an einem Verkehrsrouter oder Switch. Die Firewall führt eine einfache Überprüfung der Datenpakete durch - sie prüft Informationen wie die Ziel- und Absender-IP-Adresse, den Pakettyp und die Portnummer auf der Oberflächenebene, ohne das Paket zu öffnen, um seinen Inhalt zu untersuchen. Wenn das Informationspaket die Prüfung nicht besteht, wird es verworfen.

Stärken: Geringe Ressourcenanforderungen, kein großer Einfluss auf die Systemleistung, einfache Implementierung.

Schwächen: Im Vergleich zu Firewall-Architekturen mit robusteren Inspektionsfunktionen relativ leicht zu umgehen.

Ein bekanntes Beispiel für einen Linux-basierten Paketfilter ist Netfilter, der im Linux-Kernel integriert ist und über Tools wie iptables oder nftables konfiguriert wird. UFw (Uncomplicated Firewall) und CSF (ConfigServer Security & Firewall) sind Konfigurationswerkzeuge, die Netfilter vereinfacht nutzbar machen.

2. Circuit-Level-Gateway

Als ein weiterer einfacher Firewall-Typ arbeiten Gateways auf Leitungsebene, indem sie den TCP-Handshake überprüfen. Dieser Check soll sicherstellen, dass die Sitzung, von der das Paket stammt, legitim ist.

Stärken: Ressourceneffizient, schnell.

Schwächen: Das Paket selbst wird nicht überprüft. Enthält ein Paket Malware, aber hat den richtigen TCP-Handshake, würde es durchgehen. Circuit-Level-Gateways allein reichen daher nicht aus.

3. Stateful-Inspection-Firewall

Diese Firewall-Typen kombinieren sowohl die Technologie der Paketinspektion als auch die Überprüfung des TCP-Handshakes, um ein höheres Schutzniveau zu erreichen, als es eine der vorherigen Architekturen allein bieten könnte. Die Firewall pflegt eine Zustandstabelle aktiver Verbindungen und kann Pakete im Kontext einer laufenden Session beurteilen.

Stärken: Deutlich höheres Schutzniveau als reine Paketfilter.

Schwächen: Höhere Ressourcenanforderungen können die Übertragung von legitimen Paketen verlangsamen.

4. Proxy-Firewall (Application-Level-Gateway)

Proxy-Firewalls arbeiten auf der Anwendungsebene, um den eingehenden Datenverkehr zwischen dem Netzwerk und der Datenquelle zu filtern. Anstatt den Datenverkehr direkt durchzulassen, stellt die Proxy-Firewall zunächst eine Verbindung zur Quelle des Datenverkehrs her und prüft die eingehenden Datenpakete. Proxy-Firewalls können auch Deep-Layer-Paketinspektionen durchführen, bei denen der tatsächliche Inhalt des Informationspakets überprüft wird.

Stärken: Höchstes Schutzniveau, zusätzliche Trennung zwischen Client und Netzwerk.

Schwächen: Aufgrund der zusätzlichen Schritte bei der Übertragung kann eine erhebliche Verlangsamung auftreten.

5. Next-Generation-Firewalls (NGFW)

Viele der kürzlich auf den Markt gebrachten Firewall-Produkte werden als Next-Generation-Architekturen bezeichnet. Es gibt keinen einheitlichen Standard dafür, was eine Firewall zur Next-Generation-Firewall macht. Gängige Merkmale sind Deep-Packet-Inspection (Überprüfung des tatsächlichen Inhalts des Datenpakets), TCP-Handshake-Checks, Surface-Level-Packet-Inspection sowie Intrusion-Prevention-Systeme (IPS), die Angriffe automatisch stoppen.

Da es keine einheitliche Definition einer Next-Generation-Firewall gibt, ist es wichtig, sich vor der Investition zu vergewissern, welche spezifischen Funktionen eine konkrete NGFW tatsächlich mitbringt.

pfSense: Die meistgenutzte Open-Source-Firewall für KMU

pfSense ist eine der am häufigsten eingesetzten Open-Source-Firewalls, insbesondere bei kleinen und mittelständischen Unternehmen mit eigener IT-Abteilung.

Technische Grundlage

pfSense basiert auf dem Open-Source-Betriebssystem FreeBSD und setzt den Paketfilter »pf« ein. Zur Verwaltung steht eine übersichtliche Weboberfläche bereit, die über https://<IP-ADRESSE> erreichbar ist, sobald die Software im Netzwerk korrekt eingerichtet ist.

pfSense ist als Hardware-Appliance, als virtuelle Appliance und als herunterladbare Binärdatei (Community Edition) verfügbar. Kostenlos ist nur die Community Edition. Die Hardware-Appliance und die virtuelle Variante besitzen einen kommerziellen Funktionsumfang.

Neben der Funktion als Firewall kann pfSense auch als VPN genutzt werden. pfSense steht neben klassischen Servern auch für Cloud-Plattformen wie Amazon AWS oder Microsoft Azure zur Verfügung.

Hardwareanforderungen

Für den Betrieb von pfSense wird ein System mit mindestens einer CPU mit 2 Kernen und 2 GB Arbeitsspeicher empfohlen. Für ausreichend Speicherplatz wird eine Festplatte mit mindestens 20 GB empfohlen. Die Installation kann auf echter Hardware oder auf einer virtuellen Maschine erfolgen.

Sicherheitshinweis: Standard-Passwörter

Da die gesamte Software von pfSense öffentlich ist, kennen auch potenzielle Angreifer die Standard-Zugangsdaten: Nutzername admin, Passwort pfSense. Nutzer werden ausdrücklich darauf hingewiesen, dieses Passwort unmittelbar nach der Ersteinrichtung zu ändern. Die Vergangenheit hat gezeigt, dass viele Nutzer solche Standard-Passwörter nicht ändern.

Vergleich: pfSense vs. OPNsense

OPNsense ist ein Fork von pfSense und m0n0wall und setzt ebenfalls auf den Paketfilter »pf«. Der wesentliche Unterschied liegt im Unterbau: Während pfSense auf FreeBSD basiert, verwendet OPNsense ein gehärtetes BSD (HardenedBSD). OPNsense bietet zudem einen breiteren Funktionsumfang - Webfilter, Proxy, VPN, DHCP- und DNS-Server - und hat den Single Point of Failure stärker berücksichtigt: Fällt die Hard- oder Software aus, schalten sich zahlreiche Funktionalitäten ebenfalls ab.

Eine vollständige Übersicht über zwölf Open-Source-Firewalls - darunter pfSense, OPNsense, IPFire, UFw, CSF und weitere - bietet der Artikel Die 12 besten Open Source Firewalls.

Web Application Firewalls (WAF): Schutz auf Anwendungsebene

Eine Web Application Firewall ist eine spezialisierte Firewall, die nicht das Netzwerk als Ganzes schützt, sondern gezielt Web-Anwendungen und APIs absichert.

Was ist eine WAF?

Die Web Application Firewall untersucht alle eingehenden Anfragen und oft auch die entsprechenden Antworten eines Servers. Sobald etwas nach den Regeln der WAF verdächtig erscheint, wird der Zugriff blockiert. Auf diese Weise können verdächtige oder schädliche Bots geblockt werden, ebenso wie der Zugriff auf typische Verzeichnisse oder URLs verhindert werden kann.

Wovor schützt eine WAF?

Eine WAF schützt vorwiegend vor Cross-Site-Scripting (XSS) und SQL-Injections - also den typischen Angriffen auf Websites und ihre Strukturen. Ebenso lassen sich mit einer WAF bestimmte Verzeichnisse sperren und Bots blockieren, die lediglich Daten sammeln. Das gelingt, weil die meisten Angriffe automatisiert vollzogen werden: Hacker suchen systematisch nach typischen Verzeichnissen und bekannten Schwachstellen, etwa in WordPress-Plugins und -Themes.

Eine WAF schützt nicht vor: Application-Logic-Fehlern (IDOR, Broken Access Control), Authentifizierungsproblemen, Datenlecks in der Anwendung oder Insider-Threats.

WAF-Deployment-Modi

Es gibt drei grundlegende Deployment-Optionen:

1. Cloud-WAF (Reverse Proxy / CDN-integriert) Anbieter wie Cloudflare, AWS WAF und Azure WAF leiten den Traffic über ihre Infrastruktur. Der Traffic fließt durch den Anbieter, bevor er den Origin-Server erreicht. Vorteile: kein eigener Server notwendig, DDoS-Schutz inklusive, einfaches Deployment per DNS-Änderung. Wichtig: Die echte Origin-Server-IP muss verborgen bleiben, sonst ist die WAF umgehbar.

2. Hardware/VM-WAF (On-Premise) Anbieter wie F5 BIG-IP, Imperva, Barracuda oder Fortinet FortiWeb werden als Reverse Proxy vor dem Web-Server betrieben. Vorteile: vollständige Datenkontrolle, detailliertere Konfiguration. Nachteile: eigenständiger Betrieb erforderlich, Single Point of Failure (High Availability erforderlich).

3. Integrierte WAF (Web-Server-Modul) ModSecurity (für NGINX/Apache) oder NAXSI sind direkt als Modul im Web-Server integriert. Vorteile: keine separate Infrastruktur, kostengünstig. Nachteile: kein DDoS-Schutz, Performance-Impact auf dem Web-Server.

WAF-Modi: Detection vor Prevention

Beim Rollout einer WAF empfiehlt sich folgendes Vorgehen:

  1. Detection Mode (zwei Wochen): Nur Logging, keine Blockierungen. Alle WAF-Events sammeln und False Positives identifizieren.
  2. Whitelist-Phase: False Positives als Ausnahmen konfigurieren.
  3. Prevention Mode: Erst nach ausreichendem Tuning aktivieren.

Eine WAF, die sofort auf Block geschaltet wird, blockiert häufig legitime Nutzer - etwa wenn ein Suchfeld SQL-ähnliche Inhalte enthält oder ein Rich-Text-Editor HTML-Code sendet.

WAF ist eine Schicht, kein vollständiger Schutz

Eine WAF schützt vor bekannten Angriffsmustern, Script-Kiddies und automatisierten Scans. Erfahrene Angreifer kennen jedoch WAF-Bypass-Techniken: Encoding-Varianten für XSS, SQL-Injection-Bypässe über MySQL-Version-Comments oder Hex-Encoding, HTTP-Request-Smuggling oder Large-Payload-Bypässe. Eine WAF ist daher eine wichtige Schicht in einem Defense-in-Depth-Konzept, aber kein Ersatz für sichere Entwicklungspraktiken.

Cloud-Firewalls: AWS WAF, Azure WAF und Cloudflare im Vergleich

Cloud-native WAF-Lösungen haben den Vorteil, dass keine eigene Infrastruktur betrieben werden muss und neue Bedrohungsregeln sofort auf alle Instanzen verteilt werden.

AWS WAF

AWS WAF bindet über WebACLs an CloudFront, Application Load Balancer, API Gateway oder App Runner an. Vorkonfigurierte Managed Rule Groups - wie das AWSManagedRulesCommonRuleSet (OWASP Top 10) oder das AWSManagedRulesKnownBadInputsRuleSet (Log4Shell, Spring4Shell) - erleichtern den Einstieg. Rate-Based Rules ermöglichen es, Brute-Force-Angriffe auf Login-Endpunkte zu begrenzen. Die WAF ist besonders geeignet für Dienste, die bereits auf der AWS-Infrastruktur betrieben werden.

Azure WAF

Azure WAF bietet zwei Deployment-Optionen: Application Gateway WAF v2 für regionale Deployments (mit OWASP 3.2 Managed Ruleset) und Azure Front Door WAF (Premium) für globale Edge-Deployments mit Microsoft Managed Rules (DRS 2.1). Für globale Anwendungen ist Front Door die empfohlene Option.

Cloudflare WAF

Cloudflare verfügt über mehr als 300 Edge-Standorte und eine Anycast-Architektur. Der freie Plan bietet DDoS-Schutz, einen begrenzten Managed Ruleset und fünf Custom Rules. Im Pro- und Business-Plan stehen vollständige OWASP-Rulesets, granulares Rate Limiting und Firewall Analytics zur Verfügung. Cloudflare Workers ermöglichen darüber hinaus erweiterte WAF-Logik am Edge, etwa Geolocation-Blocking oder JWT-Validierung.

Best Practices für Firewalls im Unternehmenseinsatz

1. Keine Firewall ohne Überwachung

Eine korrekt konfigurierte Firewall ist der erste Schritt. Der beste Zaun bringt nichts, wenn ihn niemand überwacht. Angreifer werden Wege finden, Regeln auszutesten oder zu umgehen - ohne Monitoring bleibt das unbemerkt.

2. Defense in Depth: Firewall ist eine Schicht

Eine Firewall allein schützt nicht ausreichend. Sie sollte in Kombination mit einem Virenscanner, sicherer Entwicklung, regelmäßigen Updates und Penetrationstests betrieben werden.

3. Open Source vs. kommerziell: Ehrliche Abwägung

Open-Source-Firewalls wie pfSense oder OPNsense ersetzen kommerzielle Lösungen ohne Lizenzkosten - setzen jedoch eigene IT-Expertise voraus, da herstellerseitiger Support vollständig entfällt. Wer bereits frühzeitig Zweifel daran hegt, auftauchende Probleme selbst lösen zu können, ist mit einem kostenpflichtigen Angebot besser beraten.

4. Aktuell halten

Die Dauer des möglichen Einsatzes einer Firewall hängt von der Verfügbarkeit von Updates ab. Sobald eine Firewall keine Updates mehr erhält, sollte zügig nach einer Alternative gesucht werden. Bei kritischen Sicherheitslücken ist ein sofortiger Austausch notwendig.

5. Standard-Passwörter sofort ändern

Gerade bei Open-Source-Firewalls wie pfSense sind die Standard-Zugangsdaten öffentlich bekannt. Das Ändern dieser Passwörter unmittelbar nach der Ersteinrichtung ist keine Option, sondern eine Pflicht.

6. Firewall-Konfiguration durch Penetrationstest validieren

Durch einen Penetrationstest ist es möglich, die Konfiguration einer Firewall-Architektur umfassend zu testen. Ein proaktiver statt reaktiver Ansatz verhindert potenzielle Sicherheitsvorfälle und eliminiert die hohen Kosten, die mit dem Wiederherstellungsprozess nach einem Vorfall verbunden sind.

Häufig gestellte Fragen (FAQ)

Genügt eine gute Firewall als Schutz vor Schadsoftware?

Eine Firewall ist immer nur eine von mehreren technischen Maßnahmen zum Schutz vor Schadsoftware. Es wird empfohlen, die Firewall im Zusammenspiel mit einem Virenscanner und anderen Schutzmaßnahmen einzusetzen.

Was ist der Unterschied zwischen einer Netzwerk-Firewall und einer WAF?

Eine Netzwerk-Firewall filtert Datenverkehr auf Netzwerk- und Transportebene (IP-Adressen, Ports, Protokolle). Eine Web Application Firewall (WAF) arbeitet auf der Anwendungsebene und versteht HTTP/HTTPS-Protokolle im Detail - sie kann SQL-Injections, XSS und andere applikationsspezifische Angriffe erkennen und blockieren, die eine klassische Netzwerk-Firewall nicht sieht.

Sind Open-Source-Firewalls schlechter als kommerzielle Produkte?

Eine pauschale Antwort lässt sich hier nicht geben. Der Einsatzzweck und Kontext sollte betrachtet werden. Dabei sind Möglichkeiten zur Anpassung und Individualisierung zu berücksichtigen, aber auch der Support durch den Hersteller.

Was ist eine Next-Generation-Firewall (NGFW)?

Es gibt keine einheitliche Definition. Gängige Merkmale sind Deep-Packet-Inspection, TCP-Handshake-Checks, Surface-Level-Packet-Inspection und integrierte Intrusion-Prevention-Systeme (IPS). Vor der Investition ist es wichtig, sich zu vergewissern, welche spezifischen Funktionen eine konkrete NGFW tatsächlich mitbringt.

Wie lange kann eine Firewall eingesetzt werden?

Die Dauer hängt von der Verfügbarkeit von Updates durch den Hersteller ab. Sobald eine Firewall keine Updates mehr erhält, sollte zügig nach einer Alternative gesucht werden. Bei kritischen Sicherheitslücken ist ein sofortiger Austausch notwendig.

Was ist eine Cloud-Firewall?

Cloud-Firewalls (auch als Proxy-Firewalls oder Application-Level-Gateways bezeichnet) werden über eine Cloud-basierte Lösung bereitgestellt. Anstatt den Datenverkehr direkt durchzulassen, stellt die Proxy-Firewall zunächst eine Verbindung zur Quelle des Datenverkehrs her und prüft die eingehenden Datenpakete. Cloud-WAF-Anbieter wie Cloudflare, AWS WAF und Azure WAF profitieren von einer großen gemeinsamen Datenbasis: Ein erkannter Angriff auf eine Plattform schützt automatisch auch andere Instanzen.

Weiterführende Artikel

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung