Firewall: Funktionsweise, Typen und Best Practices für Unternehmen

Kurzerklärung: Netzwerksicherheitssystem, das eingehenden und ausgehenden Traffic anhand definierter Regeln auf Layer 3-4 filtert (IP, Port, Protokoll). Schützt Netzwerksegmente - im Unterschied zur WAF, die auf Layer 7 speziell Web-Anwendungen absichert.

Eine Firewall (wörtlich: Brandmauer) ist ein Netzwerksicherheitssystem, das den eingehenden und ausgehenden Datenverkehr zwischen Netzwerksegmenten anhand konfigurierter Regeln kontrolliert und filtert. Sie trennt vertrauenswürdige von nicht vertrauenswürdigen Netzbereichen und bildet die Basis nahezu jeder Netzwerksicherheitsarchitektur - von einzelnen Workstations über Unternehmensnetze bis hin zu Cloud-Infrastrukturen. Eine Firewall allein schützt nicht vollständig, ist aber ohne Ausnahme Bestandteil jedes durchdachten Sicherheitskonzepts.

Die Geschichte der Firewall beginnt 1987/88 mit den ersten Paketfilter-Implementierungen von Forschern bei Digital Equipment Corporation (DEC) und AT&T Bell Labs. William Cheswick und Steven Bellovin kodifizierten das gesammelte Wissen dieser Pionierzeit in ihrem 1994 bei Addison-Wesley erschienenen Standardwerk "Firewalls and Internet Security: Repelling the Wily Hacker". Marcus Ranum entwickelte 1991 mit dem DEC SEAL (Screening External Access Link) - weniger als 10.000 Zeilen Code - die erste kommerziell verkaufte Firewall. RFC 2979 (Oktober 2000, "Behavior of and Requirements for Internet Firewalls") legte schließlich fest, was eine standardkonforme Firewall im Internet leisten muss - insbesondere die sogenannte Transparenzregel: Eine Firewall darf legitimen, standardkonformen Datenverkehr nicht unbeabsichtigt blockieren.

Grundprinzip und Funktionsweise

Jede Netzwerkkommunikation besteht aus Datenpaketen mit Header-Informationen: Quell-IP-Adresse, Ziel-IP-Adresse, Protokoll (TCP/UDP), Quell- und Zielport sowie Verbindungsstatus. Eine Firewall wertet diese Informationen aus und entscheidet anhand ihres Regelwerks, ob ein Paket durchgelassen (ALLOW) oder verworfen (DROP/REJECT) wird.

Das grundlegende Prinzip lautet Default Deny: Alles, was nicht explizit erlaubt ist, wird blockiert. Dieses Prinzip kehrt die Logik um - statt zu fragen "was soll blockiert werden?", wird gefragt "was soll erlaubt werden?". Nur so lässt sich ein definierter, kontrollierbarer Sicherheitszustand herstellen.

Eine Firewall operiert im OSI-Referenzmodell auf verschiedenen Schichten, abhängig vom Typ:

• Layer 3 (Netzwerk): IP-Adressen, Routing
• Layer 4 (Transport): TCP/UDP-Ports, Verbindungszustand
• Layer 7 (Anwendung): Protokollinhalte, Anwendungsidentität, Nutzlast

Je höher die Schicht, desto mehr Kontext steht zur Verfügung - und desto mehr Rechenaufwand entsteht.

Firewall-Typen im Überblick

Paketfilter (Generation 1)

Paketfilter sind die älteste und einfachste Form. Sie untersuchen jeden Pakete-Header isoliert - ohne Kontext zur vorangehenden Kommunikation. Geprüft wird: Quell-IP, Ziel-IP, Protokoll, Quell- und Zielport.

Stärken:

• Sehr geringer Ressourcenverbrauch
• Hoher Datendurchsatz
• Einfache Konfiguration

Schwächen:

• Kein Verbindungskontext (zustandslos)
• Kein Verständnis für Anwendungsprotokolle
• Umgehbar durch IP-Spoofing oder fragmentierte Pakete
• SYN-Flood-Angriffe nicht erkennbar

Paketfilter sind heute selten als eigenständige Lösung im Einsatz. Sie finden sich noch in einfachen Router-ACLs (Access Control Lists) und als erste Filterebene in mehrstufigen Architekturen.

Stateful Inspection (Generation 2)

Die zweite Generation der Firewalls entstand 1989-1990 durch Dave Presotto, Janardan Sharma und Kshitij Nigam an den AT&T Bell Labs, die erstmals den Verbindungszustand in der Firewall-Logik berücksichtigten. Check Point kommerzialisierte dieses Konzept 1994 mit FireWall-1, das als erste kommerzielle Stateful-Inspection-Firewall gilt.

Stateful-Firewalls verfolgen den Zustand aktiver Verbindungen in einer Connection State Table. Eine neue TCP-Verbindung muss den vollständigen Drei-Wege-Handshake (SYN, SYN-ACK, ACK) durchlaufen, bevor sie als legitim gilt. Folgepakete werden automatisch der bestehenden Verbindung zugeordnet.

Stärken:

• Erkennung von Verbindungen ohne korrekten Handshake (SYN-Flood, FIN-Scan)
• Return-Traffic wird automatisch erlaubt (keine explizite Rückwärts-Regel nötig)
• Effizienter als vollständige Proxy-Ansätze

Schwächen:

• Kein Verständnis für Anwendungsprotokolle (HTTP-Tunneling durch Port 80/443 möglich)
• Kein Inhalts-Scan
• Connection-Table kann bei DoS-Angriffen überflutet werden

Stateful Inspection ist die Basis der meisten modernen Firewalls und gilt als Mindeststandard für Unternehmensumgebungen.

Application Layer Gateway / Proxy-Firewall (Generation 3)

Application Layer Gateways terminieren die Verbindung vollständig und stellen stellvertretend eine neue Verbindung zum Ziel her. Die Firewall agiert als Proxy - der Client kommuniziert nur mit dem Proxy, nie direkt mit dem Ziel.

Dies ermöglicht eine tiefe Inspektion des Protokollinhalts. HTTP-Methoden können selektiv erlaubt werden (GET ja, PUT nein), SMTP-Befehle analysiert, FTP-Datenkanäle kontrolliert werden.

Stärken:

• Verständnis für Anwendungsprotokolle
• Protokollanomalieerkennung (z.B. HTTP über Port 443 mit nicht-HTTP-Inhalt)
• Zusätzliche Anonymisierung durch Proxy-Schicht

Schwächen:

• Deutlich höhere Latenz
• Pro Protokoll separate Proxy-Implementierung nötig
• HTTPS ohne SSL-Inspektion nicht tiefgehend prüfbar

Next-Generation Firewall - NGFW (Generation 4)

Next-Generation Firewalls kombinieren alle Vorgänger-Technologien und erweitern sie um moderne Analysefähigkeiten. Der Begriff wurde von Gartner geprägt und beschreibt eine Klasse von Produkten mit einem spezifischen Funktionsset.

Kernfunktionen einer NGFW:

• Deep Packet Inspection (DPI): Vollständige Analyse des Paketinhalts bis in den Payload hinein
• Application Control (Layer 7): Anwendungserkennung unabhängig von Port und Protokoll - Teams von Zoom unterscheiden, auch wenn beide HTTPS nutzen
• SSL/TLS-Inspektion: Entschlüsselung, Prüfung und Wiederverschlüsselung des HTTPS-Traffics
• Integriertes IPS: Signatur- und verhaltensbasierte Angriffserkennung und -blockierung direkt in der Firewall
• User Identity Awareness: Regelwerk auf Benutzerebene statt nur IP-Adressen - "Marketing darf YouTube, IT-Admins dürfen alles"
• Threat Intelligence: URL-Filterung, IP-Reputationsdatenbanken, Sandboxing für unbekannte Dateien

Datenschutz-Hinweis zu SSL-Inspektion: Die SSL-Inspektion wirkt als Man-in-the-Middle im eigenen Netz. Mitarbeitende müssen darüber informiert sein (BetrVG §87 Mitbestimmungsrecht). Kategorien wie Banking, Healthcare und Passwortmanager sollten vom Inspect-Profil ausgenommen werden.

Web Application Firewall - WAF

Die WAF ist eine spezialisierte Firewall, die ausschließlich HTTP/HTTPS-Datenverkehr analysiert und Web-Anwendungen vor Layer-7-Angriffen schützt. Sie gehört technisch zur Generation der Application-Layer-Gateways, ist aber so spezialisiert, dass sie als eigene Kategorie behandelt wird.

Typische Angriffsmuster, die eine WAF erkennt: SQL-Injection, Cross-Site-Scripting (XSS), CSRF, Command Injection, Path Traversal sowie alle OWASP Top 10 Kategorien. Eine WAF sitzt üblicherweise vor dem Webserver und kann als Reverse Proxy, Inline-Modul oder cloudbasierter Service betrieben werden.

Vergleich der Firewall-Typen

Typ	OSI-Layer	Verbindungszustand	App-Protokolle	DPI	IPS	Typischer Einsatz
Paketfilter	3-4	nein	nein	nein	nein	Router-ACL, einfache Segmentierung
Stateful Inspection	3-4	ja	nein	nein	nein	Basis-Perimeter, interne Segmentierung
Application Proxy	7	ja	ja	partiell	nein	Protokoll-spezifische Gateways
NGFW	3-7	ja	ja	ja	ja	Unternehmens-Perimeter, Segmentierung
WAF	7 (HTTP)	ja	HTTP/S	ja	teilweise	Schutz von Webanwendungen

Deployment: Host-based vs. Network-Firewall

Host-based Firewall

Eine hostbasierte Firewall läuft direkt auf dem Endgerät als Software-Komponente des Betriebssystems. Unter Windows ist das die Windows Defender Firewall, unter Linux typischerweise iptables oder nftables.

Wann sinnvoll:

• Schutz einzelner Systeme, unabhängig vom Netzwerk
• Defense-in-Depth: zweite Schutzschicht hinter der Netzwerk-Firewall
• Schutz vor Lateral-Movement-Angriffen innerhalb des Netzes (Ost-West-Traffic)
• Mobiles Arbeiten: Schutz auch in nicht vertrauenswürdigen Netzwerken

Einschränkungen:

• Kein zentrales Management ohne zusätzliche Tools (GPO, Endpoint-Management)
• Jedes System muss separat konfiguriert und gepflegt werden
• Kein Schutz des Netzwerks selbst - nur des einzelnen Hosts

Network-Firewall

Eine Netzwerk-Firewall ist eine dedizierte Appliance (Hardware oder virtuelle Maschine), die an einem zentralen Netzwerkübergangspunkt positioniert ist. Sie kontrolliert den Verkehr zwischen Netzwerksegmenten - Internet und Intranet, verschiedene interne Zonen, Cloud und on-premises.

Wann sinnvoll:

• Absicherung des Perimeters (Internet-Übergang)
• Segmentierung interner Netzbereiche (Server-Zone, Workstations, OT/IoT)
• Zentrales Logging und Monitoring für alle Verbindungen
• Einheitliche Policy für alle Geräte im Segment

Deployment-Formen:

• On-Premises Appliance: Hardware-Gerät im eigenen Rechenzentrum (Fortinet, Palo Alto, Cisco)
• Virtuelle Appliance: Software auf Hypervisor, flexibel skalierbar
• Cloud-native Firewall: Managed Service des Cloud-Anbieters (AWS Network Firewall, Azure Firewall, GCP Cloud Firewall)
• Firewall as a Service (FWaaS): Teil einer SASE-Architektur, Traffic wird zum Cloud-POP geleitet

Zonenmodell und Segmentierung

Eine durchdachte Firewall-Architektur ist ohne Netzwerksegmentierung unvollständig. Das klassische Zonenmodell definiert Vertrauensstufen:

Typische Zonen in Unternehmensnetzen:

• Internet (Untrusted): Keine Vertrauensstufe, maximale Filterung
• DMZ (Demilitarisierte Zone): Öffentlich erreichbare Server (Webserver, Mail, DNS) - von Internet und Intranet durch Firewalls getrennt
• Intranet/LAN: Interne Systeme, Workstations, Drucker
• Server-Zone: Datenbankserver, Anwendungsserver - getrennt von Workstations
• Management-Zone: Firewall-Management, SIEM, Monitoring - nur für IT-Administratoren erreichbar
• Gast-WLAN: Besucher-Netz mit ausschließlichem Internet-Zugang, kein Intranet-Zugriff
• OT/IoT-Zone: Industrielle Steuerungssysteme, IoT-Geräte - strikt isoliert

Zwischen jeder Zone definiert die Firewall explizite Regeln. Der Verkehr von einer weniger vertrauenswürdigen in eine vertrauenswürdigere Zone erfordert strengere Regeln als umgekehrt.

Best Practices für Firewall-Konfiguration

Default Deny und Least Privilege

Das Default-Deny-Prinzip ist nicht verhandelbar: Die letzte Regel des Regelwerks ist immer ein "DENY ALL". Alles, was nicht explizit erlaubt ist, wird verworfen. Ausgehend von diesem Grundsatz werden nur die Kommunikationsbeziehungen freigeschaltet, die tatsächlich benötigt werden - und nur auf den Ports und Protokollen, die dafür erforderlich sind.

Regelwerk-Hygiene

Firewall-Regelwerke wachsen über Jahre und enthalten häufig veraltete, redundante oder übermäßig weitreichende Regeln. Regelmäßige Reviews sind Pflicht:

• Ungenutzte Regeln identifizieren und entfernen (Hit-Counter auswerten)
• "ANY"-Regeln auf konkrete IP-Ranges und Ports einschränken
• Regel-Dokumentation: Jede Regel braucht einen Ersteller, ein Datum und einen Geschäftszweck
• Change-Management: Keine Ad-hoc-Änderungen ohne Ticket und Review

Logging und Monitoring

Alle DENY-Aktionen müssen geloggt werden - sie sind das wichtigste Diagnoseinstrument und Frühwarnsystem. ALLOW-Logs sollten ebenfalls erfasst werden, um Exfiltrationsversuche und C2-Kommunikation zu erkennen. Die BSI IT-Grundschutz empfiehlt eine Log-Retention von mindestens 90 Tagen, in der Praxis sollte ein Jahr angestrebt werden.

Firewall-Logs in ein SIEM zu überführen ermöglicht korrelierte Analyse über mehrere Systeme hinweg und automatische Alerting-Regeln.

Management-Interface absichern

Das Firewall-Management-Interface darf niemals aus dem Internet erreichbar sein. Es gehört in eine separate Management-Zone mit restriktivem Zugang. Bekannte CVEs gegen Firewall-Management-Interfaces (z.B. CVE-2023-27997 gegen Fortinet FortiOS, CVSS 9.8) zeigen, was passiert, wenn Management-Ports öffentlich exponiert sind.

Weitere Maßnahmen: Default-Credentials ändern, MFA für Admin-Zugang, regelmäßige Firmware-Updates.

Typische Fehlkonfigurationen

• ALLOW ANY ANY: Kein Schutz vor Exfiltration, C2 oder Lateral Movement
• RDP (Port 3389) aus Internet erlaubt: Primäreinfallstor für Ransomware-Gruppen
• Kein Logging oder zu kurze Retention: Incident-Response im Blindflug
• Management aus Internet erreichbar: Ein CVE gegen die Firewall genügt für vollen Zugang
• Keine Firmware-Updates: Bekannte Schwachstellen bleiben jahrelang offen
• Übermäßig breite Regeln: "Buchhaltung darf alles ins Internet" statt spezifischer Freigaben

Abgrenzung zu IDS und IPS

Firewalls und Intrusion Detection/Prevention Systeme (IDS/IPS) werden häufig verwechselt oder gleichgesetzt - sie erfüllen jedoch unterschiedliche Aufgaben.

Firewall: Entscheidet auf Basis definierter Regeln, ob Traffic erlaubt oder blockiert wird. Die Entscheidung ist deterministisch - ein Paket, das den Regeln entspricht, passiert; eines, das nicht entspricht, wird verworfen. Die Firewall "kennt" keine Angriffsmuster.

IDS (Intrusion Detection System): Analysiert Netzwerkverkehr auf Muster, die auf Angriffe hinweisen - Signaturen bekannter Exploits, Anomalien im Verhalten, Protokollverletzungen. Ein IDS erkennt und alarmiert, greift aber nicht aktiv ein. Es arbeitet häufig passiv (Out-of-Band), d.h. es erhält eine Kopie des Traffics.

IPS (Intrusion Prevention System): Wie ein IDS, aber inline im Netzwerkpfad positioniert und in der Lage, erkannte Angriffs-Pakete aktiv zu blockieren. In modernen NGFW ist IPS-Funktionalität direkt integriert.

Zusammenfassung der Unterschiede:

Eigenschaft	Firewall	IDS	IPS
Regelbasiert	ja	nein	nein
Signaturbasiert	nein	ja	ja
Anomalieerkennung	nein	ja	ja
Aktives Blockieren	ja (Regeln)	nein	ja (Signaturen)
Deployment	inline	passiv/inline	inline
Kontext	Verbindung	Angriffsmuster	Angriffsmuster

In der Praxis sind NGFW, IPS und in manchen Architekturen auch NDR (Network Detection and Response) komplementäre Schichten: Die Firewall kontrolliert, was kommunizieren darf. Das IPS/NDR erkennt Angriffe innerhalb des erlaubten Traffics. Beide gemeinsam decken deutlich mehr Angriffsvektoren ab als jedes System allein.

Compliance-Anforderungen

Firewalls sind in nahezu allen relevanten Sicherheitsstandards explizit gefordert:

• BSI IT-Grundschutz: Baustein NET.3.2 Firewall regelt Anforderungen an Konzeption, Betrieb und Revision von Firewalls
• ISO 27001: Maßnahme A.8.20 fordert Netzwerksicherheitsmechanismen; A.8.22 verlangt Netztrennung
• PCI DSS: Anforderung 1 schreibt Firewalls zwischen Internet und Cardholder Data Environment vor, mit detaillierten Konfigurationsvorgaben
• NIS2-Richtlinie: Netzwerksegmentierung und Zugangskontrolle als technische Sicherheitsmaßnahmen nach Art. 21

Ein regelmäßiger Penetrationstest der Firewall-Konfiguration ist im BSI IT-Grundschutz (NET.3.2.A17) und bei PCI DSS (Anforderung 11) gefordert und deckt Fehlkonfigurationen auf, die durch rein interne Reviews oft übersehen werden.

Dasselbe Szenario MIT DiD:

1. Phishing-Mail → E-Mail-Gateway blockiert 95% (Schicht 1) → Mail kommt durch → Mitarbeiter klickt
2. DNS-Filter blockiert C2-Domain (Schicht 1) → Malware kann nicht nach Hause → Malware nutzt andere Technik (HTTPS zu legitimem Dienst)
3. EDR erkennt verdächtiges Verhalten (Schicht 3) → Alert → SOC → SOC reagiert in < 1 Stunde
4. Netzwerksegmentierung verhindert laterale Bewegung (Schicht 2) → Angreifer bleibt im Marketing-VLAN, kommt nicht zum DC
5. PAM: DC ist mit Privileged Access geschützt (Schicht 6) → Incident: 1 kompromittierter Endpoint → isoliert → bereinigt → Kein Produktionsausfall, Schaden begrenzt

DiD-Assessment Fragen: □ Wenn ein Mitarbeiter auf Phishing klickt - was passiert dann? □ Wenn ein Endpoint kompromittiert wird - kann Angreifer sich lateral bewegen? □ Wenn der DC ausfällt - was ist unser Recovery-Plan? □ Wie lange dauert es bis wir einen Angriff entdecken (MTTD)? → Gute DiD: Angriff wird in Schicht 2-3 erkannt, bevor kritische Daten betroffen

IPS-Bypass-Techniken (Pentest-Perspektive):
  → Verschlüsselung: HTTPS → IPS kann nicht inspizieren (ohne SSL-Inspection)
  → Fragmentierung: große Pakete in kleine teilen → IPS-Pattern nicht erkannt
  → Encoding: URL-Encoding, Unicode → Pattern-Matching umgehen
  → Slow Attacks: sehr langsame Anfragen → keine Rate-basierten Rules
  → Protocol-Level Tricks: RFC-Compliance ausnutzen
  → Evasion: Snort-Evasion-Techniken (seit 2000s bekannt!)

Merkmal	Netzwerk-Firewall	WAF
OSI-Layer	Layer 3-4	Layer 7
Analysiert	IP, Port, Protokoll	HTTP-Inhalt, Payload
Erkennt	Port-Scans, IP-Blacklists	SQL Injection, XSS, CSRF
Performance-Impact	Minimal	Spürbar (Inspection-Overhead)
Platzierung	Netzwerk-Perimeter	Direkt vor App/API