Firewall

Allgemeine Infos

Eine Firewall analysiert ein- und ausgehenden Netzwerkverkehr anhand definierter Regeln (Port, Protokoll, Quelle, Ziel) und erlaubt oder blockiert Verbindungen. Die Entwicklungsstufen dabei sind klar: Einfache Paketfilter prüfen nur Header-Informationen, Stateful Inspection verfolgt den Verbindungsstatus, Application-Layer-Firewalls verstehen Protokollinhalte, und Next-Generation Firewalls (NGFW) kombinieren das alles mit IDS/IPS, TLS-Inspection, URL-Filterung und Applikationserkennung.

In Unternehmensumgebungen bildet die Firewall die erste Verteidigungslinie am Perimeter, aber genauso kritisch ist die interne Segmentierung: Ost-West-Traffic zwischen VLANs, DMZ-Konzepte und Zero-Trust-Übergänge. Eine Firewall, die nur den Internetzugang filtert, schützt nicht vor lateraler Bewegung nach einem erfolgreichen Angriff.

In der Praxis dominierende Hersteller und ihre typischen Einsatzfelder:

• Sophos Firewall (XGS-Serie): Weit verbreitet im KMU- und Managed-Service-Umfeld. Zentrale Verwaltung über Sophos Central, starke Integration mit Sophos Endpoint (Synchronized Security). TLS-Inspection und Web-Filterung gut integriert.
• Fortinet FortiGate: Breite Produktpalette von kleinen Branch-Appliances bis zu Rechenzentrumsgeräten. Eigene ASIC-Chips für Hardware-beschleunigte Inspektion. FortiOS bietet SD-WAN, ZTNA und SASE aus einer Plattform.
• Palo Alto Networks: Enterprise-Standard mit App-ID als Kerntechnologie (Applikationserkennung statt Port-basierter Regeln). Panorama für zentrales Management. Preislich im oberen Segment.
• Cisco Firepower / ASA: Typisch in Cisco-lastigen Netzwerken. ASA als klassische Stateful Firewall, Firepower (FTD) als NGFW-Nachfolger mit Snort-basiertem IPS.
• LANCOM: Deutscher Hersteller mit Fokus auf Datenschutz und DSGVO-Konformität. Beliebt bei Behörden, Schulen und dem deutschen Mittelstand. Verwaltung über LANCOM Management Cloud (LMC).
• OPNsense / pfSense: Open-Source-Lösungen auf FreeBSD-Basis. OPNsense aktiv weiterentwickelt, pfSense seit dem Netgate-Streit mit gespaltener Community. Für technisch versierte Umgebungen mit kleinem Budget oder Laboraufbau gut geeignet, für Produktionsumgebungen ohne Supportvertrag mit Vorsicht einzusetzen.

TLS-Inspection ist der Punkt, an dem viele Firewall-Deployments scheitern oder gar nicht erst aktiviert werden: Ohne sie sieht die Firewall verschlüsselten HTTPS-Traffic nicht, was moderne Malware und Data Exfiltration faktisch unsichtbar macht. Mit ihr entstehen Zertifikatsvertrauensprobleme, Performance-Last und Datenschutzfragen bei persönlichem Datenverkehr. Das ist keine technische, sondern eine organisatorische Entscheidung, die dokumentiert werden muss.

Kurzbeschreibung

Netzwerkfilter zum Schutz vor unerwünschtem Zugriff; von einfachem Paketfilter bis zur NGFW mit IDS/IPS und TLS-Inspection. Relevante Hersteller: Sophos, FortiGate, Palo Alto, Cisco, LANCOM, OPNsense.

Lizenz & Verfügbarkeit

Lizenzmodelle unterscheiden sich stark: OPNsense und pfSense sind kostenlos (Open Source), Hardware und optionaler Support separat. Sophos, FortiGate, Palo Alto und Cisco lizenzieren über Jahressubscriptions für UTM-, IPS-, Web-Filter- und Support-Module, typischerweise zusätzlich zur Appliance-Anschaffung. LANCOM bietet Geräte mit optionaler LANCOM Management Cloud-Lizenz. Bei allen kommerziellen Herstellern gilt: Die Basisappliance ohne aktive Subscriptions ist de facto eine einfache Stateful Firewall ohne NGFW-Funktionen.

Weiterführende Links

• Microsoft Learn – Windows Firewall
• Sophos Firewall – Dokumentation
• Fortinet – FortiGate Dokumentation
• LANCOM Systems – Firewall-Produkte
• OPNsense – Open-Source Firewall