So prüft die Firewall im Gerät die Datenpakete

Die Firewall filtert aus dem gesamten Datenstrom, der über den IP-Router des Geräts läuft, diejenigen Datenpakete heraus, für die eine bestimmte Behandlung vorgesehen ist.





Die Firewall prüft nur die Datenpakete, die vom IP-Router im Gerät geroutet werden. In der Regel sind das die Datenpakete, die zwischen den internen Netzwerken (LAN, WLAN, DMZ) und der “Außenwelt” über eines der WAN-Interfaces ausgetauscht werden. Die Kommunikation z. B. zwischen LAN und WLAN untereinander wird normalerweise nicht über den Router abgewickelt, sofern die LAN-Bridge den direkten Austausch erlaubt. Hier wirken also auch nicht die Regeln der Firewall. Gleiches gilt für die so genannten “internen Dienste” wie Telnet, TFTP, SNMP und den Webserver für die Konfiguration über WEBconfig. Die Datenpakete dieser Dienste laufen nicht über den Router und werden daher auch nicht durch die Firewall beeinflusst.

Anmerkung: Durch die Positionierung hinter dem Masquerading-Modul (aus Sicht des WANs) arbeitet die Firewall dabei mit den “echten” internen IP-Adressen der LAN-Stationen, nicht mit der nach außen bekannten Internetadresse des Geräts.

Die Firewall im Gerät verwendet für die Prüfung der Datenpakete mehrere Listen, die aus den Firewall-Regeln, den daraus ausgelösten Firewall-Aktionen oder den aktiven Datenverbindungen automatisch erzeugt werden:

Und so setzt die Firewall die Listen ein, wenn ein Datenpaket über den IP-Router geleitet werden soll:

  1. Zuerst wird nachgeschaut, ob das Paket von einem Rechner kommt, der in der Hostsperrliste vermerkt ist. Ist der Absender gesperrt, wird das Paket verworfen.
  2. Ist der Absender dort nicht gesperrt, wird in der Portsperrliste geprüft, ob die verwendete Port/Protokoll-Kombination auf dem Zielrechner geschlossen ist. In diesem Fall wird das Paket verworfen.
  3. Sind Absender und Ziel in den beiden ersten Listen nicht gesperrt, wird geprüft, ob für dieses Paket ein Verbindungseintrag in der Verbindungsliste existiert. Existiert ein solcher Eintrag, dann wird mit dem Paket so verfahren, wie in der Liste vermerkt ist.
  4. Wird für das Paket kein Eintrag gefunden, dann wird die Filterliste durchsucht, ob ein passender Eintrag vorhanden ist und die dort angegebene Aktion ausgeführt. Wenn die Aktion besagt, dass das Paket akzeptiert werden soll, so wird ein Eintrag in der Verbindungsliste vorgenommen und etwaige weitere Aktionen dort vermerkt.




Anmerkung: Existiert für ein Datenpaket keine explizite Firewall-Regel, so wird das Paket akzeptiert (’Allow-All’). Damit ist eine Abwärtskompatibilität zu bestehenden Installationen gegeben. Für einen maximalen Schutz durch die Stateful-Inspection beachten Sie bitte den Abschnitt Aufbau einer expliziten ”Deny-All”-Strategie.

Bleibt die Frage, woher die vier Listen ihre Informationen beziehen:

Alle Listen, die von der Firewall zur Prüfung der Datenpakete herangezogen werden, basieren also letztendlich auf den Firewall-Regeln (Die Parameter der Firewall-Regeln).