Definition

Was ist eine Proxy Firewall?

| Autor / Redakteur: tutanch / Andreas Donner

(© aga7ta - Fotolia)

Eine Proxy Firewall ist im Gegensatz zu einer paketorientiert arbeitenden Firewall in der Lage, die Kommunikation auf Anwendungsebene zu überwachen und zu filtern. Sie schützt Netzwerke und deren Ressourcen vor ungewolltem oder gefährlichem Datenverkehr.

Die Proxy Firewall wird auch Applikation Layer Firewall oder kurz Applikation Firewall genannt. Es handelt sich um ein Security System, das die Kommunikation auf Anwendungsebene überwachen und filtern kann. Im Gegensatz zu den rein paketorientiert arbeitenden Firewalls wertet sie nicht nur Adress- und Protokolldaten von IP-Paketen aus, sondern analysiert den Traffic direkt in der Anwendungsschicht.

Sie nutzt das Proxy-Grundprinzip, indem sie als Stellvertreter zwischen den zu schützenden Ressourcen und anderen Netzwerken wie dem Internet auftritt. Die Proxy Firewall fängt sämtliche Anfragen in und aus dem Internet ab, filtert sie und leitet sie stellvertretend weiter oder blockiert sie. Gleichzeitig kann die Proxy Firewall Cache-Funktionen eines Proxy Servers leisten. Alle Verbindungen von dem zu schützenden Netz oder in das geschützte Netz terminiert die Proxy Firewall selbst. Dadurch tritt sie für die Ziel- und Quellsysteme als eigenständiger Kommunikationspartner auf.

Durch diese Stellvertreterfunktion kann die Proxy Firewall die Daten zusammenhängend bis auf Schicht sieben des OSI-Schichtenmodells analysieren. Gegenüber dem Zielsystem verhält sich die Proxy Firewall wie ein Client, gegenüber dem anfragenden Client wie ein Server.

Um den Verkehr analysieren und filtern zu können, muss die Proxy Firewall die zu überwachenden Protokolle kennen. Sie besitzt für jedes Protokoll wie HTTP, SMTP, FTP oder DNS einen eigenen Filter. In diesem lassen sich ungewollte Protokolloptionen oder Datenkommunikationen verbieten. Die proxybasierte Firewall gilt als eine sehr sichere Form der Firewall, da sie den direkten Netzwerkverkehr zwischen den internen und externen Systemen unterbindet. Ein internes Gerät kann niemals direkt ein Datenpaket von einem externen System erhalten. Die Firewall ist immer dazwischengeschaltet und zugleich Quelle und Ziel jeglicher Kommunikation.

Das Proxy-Grundprinzip

Das Proxy-Grundprinzip basiert auf der Stellvertreterfunktion für Netzwerkservices. Ein Proxy arbeitet als Stellvertreter für einen Client, der Zugriff auf einen bestimmten Service erlangen möchte. Dadurch schirmt er sowohl Services als auch Clients voneinander ab und verhindert direkte Verbindungen zwischen den beiden Kommunikationspartnern. Möchte ein Client eine Verbindung zu einem Service aufbauen, kommuniziert er zunächst mit dem Proxy. Dieser etabliert stellvertretend für den Client die Verbindung zum Server. Der Proxy leitet die Daten vom Client zum Server weiter und übermittelt die vom Server empfangenen Daten an den Client.

Unterscheidung zwischen transparentem und nicht transparentem Proxy

Es gibt zwei prinzipielle Arbeitsweisen eines Proxys. Er kann aus Sicht des Clients transparent oder nicht transparent arbeiten. Handelt es sich um einen nicht transparenten Proxy, muss der Client über dessen Existenz informiert sein. Hierfür erhält der Client und seine Software eine spezielle Proxy-Konfiguration, die dafür sorgt, dass der Verkehr nach außen zunächst an den Proxy adressiert wird. Ist diese Konfiguration nicht vorhanden, kann der Client nicht über den Proxy kommunizieren. Da der Proxy aber in der Regel den einzigen Kommunikationsweg in andere Netze bereitstellt, ist die Kommunikation nach außen ohne entsprechende Proxy-Konfiguration generell abgeschnitten.

Beim transparenten Proxy hingegen, weiß der Client nichts von dessen Existenz. Der transparente Proxy fängt die Kommunikationsanfragen des Clients nach außen ab und schaltet sich als stellvertretende Instanz dazwischen. Nach außen hin tritt der transparente Proxy wie der nicht transparente Proxy als Kommunikationspartner auf. Der Client geht allerdings davon aus, dass er direkt mit dem Zielsystem kommuniziert. Dies wird durch die Manipulation der IP-Adressen ermöglicht. Die Clients benötigen bei einem transparenten Proxy keine spezielle Konfiguration.

Die Arbeitsweise einer Proxy Firewall

Da die Proxy Firewall sämtliche Kommunikation stellvertretend für die zu schützenden Clients führt, kann sie die übertragenen Daten sehr ausführlich analysieren. Sie prüft, ob die Kommunikation den zuvor festgelegten Protokollregeln und Policies entspricht und lässt den Verkehr zu oder unterbindet ihn.

Die empfangenen Pakete können nicht nur nach Quell- und Zieladressen oder -ports untersucht werden, sondern es sind direkt die Informationen auf Anwendungsebene analysierbar. Aufgrund der durch die Proxy Firewall stattfindenden Adressumsetzung bleiben die Clients im zu schützenden Netz komplett verborgen. Je nach Typ unterstützt eine proxybasierte Firewall ein oder mehrere Anwendungsprotokolle. Abhängig davon, wie tief sie die Protokolle verstehen kann, ergibt sich die Effizienz und Flexibilität des Schutzmechanismus. Oft kommen mehrere Proxy Firewalls für die verschiedenen Protokolle zum Einsatz. Typisch für diese Firewalls sind sehr flexible Policy-Konfigurationen und umfangreiche Logging-Möglichkeiten.

Die Proxy Firewall selbst befindet sich in einem besonders geschützten Netzwerkbereich, der zusätzlich durch paketbasiert arbeitende Firewalls abgesichert sein kann. Für die Clients im geschützten Netzwerk führt der einzige Weg nach außen in der Regel über die Proxy Firewall.

Vorteile einer Proxy Firewall

Eine Proxy Firewall bietet durch ihre Arbeitsweise auf der Anwendungsebene eine sehr hohe Sicherheit. Im Vergleich zu paketorientiert arbeitenden Firewalls kann sie für die unterstützten Protokolle den Datenverkehr wesentlich detaillierter und tiefer analysieren. Darüber hinaus verbirgt sie die Topologie des geschützten Netzwerks vollständig vor der Außenwelt. Aus Sicht der Server und Dienste aus dem Internet agiert nur die IP-Adresse des Proxys. Da potenziell gefährliche Systeme keinerlei Pakete direkt von den Geräten hinter dem Proxy erhalten, wird das Ausspionieren und gezielte Angreifen einzelner Rechner enorm erschwert. Aufgrund der zur Verfügung gestellten umfangreichen Logging-Optionen lassen sich Angriffe besser auswerten und schneller identifizieren.

Nachteile einer Proxy Firewall

Gegenüber diesen Vorteilen existieren auch einige Nachteile. Die proxybasierten Firewalls sind nicht mit allen Protokollen kompatibel. Für jedes zu schützende Protokoll ist eine geeignete Proxy-Instanz zu etablieren, um den Firewall-Schutz zu ermöglichen. Besonders aufwendig kann dies bei proprietären Protokollen werden. Der Aufbau von VPN-Verbindungen über die proxybasierte Firewall ist in der Regel nicht möglich.

Durch die umfangreichen Analysen und die Stellvertreterrolle der Firewall kommt es zu Einbußen in der Performance der Datenkommunikation. Für große Netzwerke kommen daher Highend-Server für die Proxys zum Einsatz. Trotzdem kann die Proxy Firewall zum Flaschenhals und Single Point of Failure für die Kommunikation werden. Ein weiterer Nachteil ist die oft komplexe und schwierige Konfiguration der Firewall. Zum Teil sind tiefergehende Kenntnisse der einzelnen Protokolle und Anwendungen nötig.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Physische IT-Sicherheit für IT-Schnittstellen und -Geräte

Schnittstellen-Schutz mit Smart Keeper

Physische IT-Sicherheit für IT-Schnittstellen und -Geräte

Hacker und Cyberkriminelle suchen sich bekanntlich immer die schwächste Stelle für einen Angriff aus. Eine geradlinige Security-Strategie, die auf bekannte Elemente wie Proxy, Firewall, Anti-Malware oder Sandboxing setzt und dabei „triviale“ Bedrohungen weitestgehend ignoriert kann aber zu einem Eigentor werden. Bestes Beispiel ist dabei der Hardware-Zugriff. lesen

Windows Remoteverwaltung für Windows Server konfigurieren

Windows Tools, die man kennen sollte – Windows Remoteverwaltung, Teil 2

Windows Remoteverwaltung für Windows Server konfigurieren

Microsoft hat mit Windows Server 2008 R2 sein Server-Betriebssystem hinsichtlich der Remoteverwaltung wieder ein Stück verbessert. Wie es einzurichten ist, und was dann mit der Administration von älteren Windows Server wird, zeigt dieser Artikel. lesen

Einrichtung und Konfiguration der Netgear Prosecure UTM150

UTM-Appliance im Test

Einrichtung und Konfiguration der Netgear Prosecure UTM150

Mit der Prosecure UTM150 hat Netgear eine kombinierte Sicherheitslösung für mittelständische Unternehmen. Wie das Kürzel UTM (Unified Threat Management) unterstreicht, vereint die Hardware-Appliance Proxy Firewall, Intrusion Prevention System, URL-Filter, Malware- und Spam-Schutz sowie VPN-Gateway. Wir haben uns die Box in einem Test angesehen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44770319 / Definitionen)