Proxy-Firewall – die sicherste Firewall-Variante

Bei einer Proxy-Firewall handelt es sich um ein Netzwerk-Sicherheitssystem, welches die Ressourcen des Netzwerks durch das Filtern von Nachrichten auf der Anwendungsschicht schont. Eine Proxy-Firewall kann ebenso als Application-Firewall oder Gateway-Firewall bezeichnet werden.

proxy_firewall

Bei einer Proxy-Firewall handelt es sich um ein Netzwerk-Sicherheitssystem, welches die Ressourcen des Netzwerks durch das Filtern von Nachrichten auf der Anwendungsschicht schont. Eine Proxy-Firewall kann ebenso als Application-Firewall oder Gateway-Firewall bezeichnet werden.

Genau wie bei einem Proxy-Server oder einem Cache-Server fungiert die Proxy-Firewall als Vermittler zwischen In-House-Clients und Servern im Internet. Der Unterschied ist jedoch, dass die Proxy-Firewall zusätzlich zum Abfangen von Internetanfragen und -antworten auch eingehenden Datenverkehr des Layer-7-Protokolls (bspw. HTTP und FTP) überwacht. Zusätzlich zur Entscheidung, welcher Traffic erlaubt ist und welcher nicht, benutzt die Proxy-Firewall die Stateful-Inspection-Technologie und die Deep-Packet-Inspection, um eingehenden Datenverkehr auf Zeichen eines Angriffs hin zu überprüfen.

Proxy-Firewalls werden als die sicherste Firewall-Variante betrachtet, da sie den direkten Netzwerkkontakt mit anderen Systemen verhindern. (Da Proxy-Firewalls eine eigene IP-Adresse nutzen, wird eine Netzwerkverbindung nach außen Pakete nie direkt von dem sendenden Netzwerk erhalten.) Durch die Fähigkeit das ganze Netzwerkpaket und nicht nur die Netzwerkadresse und die Portnummer zu untersuchen, stehen der Proxy-Firewall auch umfangreiche Logging-Möglichkeiten zur Verfügung – eine wertvolle Ressource für Netzwerkadministratoren, die mit sicherheitsrelevanten Vorfällen zu tun haben. Wenn es nach Marcus Ranum geht, dem die Idee der Proxy-Firewall zugeschrieben wird, ist es das Ziel des Proxyserver-Ansatzes, einen einzigen Punkt zu erzeugen, der es sicherheitsbewussten Programmierern erlaubt, Gefahrenlevels von Applikationsprotokollen zu beurteilen und Fehlererkennung, Angriffserkennung sowie Gültigkeitsprüfung einzusetzen.

Die zusätzliche Sicherheit, die mit einer Proxy-Firewall erreicht werden kann, hat jedoch auch ihre Nachteile. Da Proxy-Firewalls eine zusätzliche Verbindung für jedes hinausgeschickte und eingehende Paket benötigen, kann die Firewall ein Flaschenhals werden, der die Performance senkt oder zur zentralen Fehlerquelle wird. Außerdem unterstützen manche Proxy-Firewalls nur bestimmte populäre Netzwerkprotokolle, was die Anwendungsmöglichkeiten des Netzwerks einschränkt.