Was ist eine Firewall?

Eine Firewall ist ein Netzwerk-Sicherheitsgerät, das den eingehenden und ausgehenden Netzwerkverkehr auf der Grundlage der zuvor festgelegten Sicherheitsrichtlinien einer Organisation überwacht und filtert. Im Grunde ist eine Firewall im Wesentlichen die Barriere, die zwischen einem privaten internen Netzwerk und dem öffentlichen Internet liegt. Der Hauptzweck einer Firewall besteht darin, ungefährlichen Datenverkehr zuzulassen und gefährlichen Datenverkehr fernzuhalten.

Sprechen Sie mit einem Experten Gartner-Bericht 2025

Was ist eine Firewall? Die verschiedenen Arten von Firewalls

Geschichte der Firewalls

Firewall gibt es seit den späten 1980er Jahren und ursprünglich handelte es sich um Paketfilter, bei denen es sich um Netzwerke handelte, die zur Untersuchung von Paketen oder Bytes eingerichtet wurden, die zwischen Computern übertragen wurden. Obwohl Paketfilter- Firewall auch heute noch im Einsatz sind, haben Firewall im Laufe der Jahrzehnte einen langen Weg zurückgelegt.

  • Gen-1-Virus
    • In der ersten Generation, Ende der 1980er Jahre, waren alle Unternehmen von Virenangriffen auf eigenständige PCs betroffen und führten zu Antivirenprodukten.
  • Gen 2 Netzwerk
    • Generation 2, Mitte der 1990er Jahre, Angriffe aus dem Internet wirkten sich auf alle Unternehmen aus und führten zur Einführung der Firewall.
  • Gen 3 Anwendung
    • Generation 3, Anfang der 2000er Jahre, Ausnutzung von Schwachstellen in der Anwendung, die die meisten Unternehmen betrafen und Intrusion Prevention Systems Products (IPS) voranbrachten.
  • Nutzlast der 4. Generation
    • Generation 4, ca. 2010: Zunahme gezielter, unbekannter, ausweichender, polymorpher Angriffe, die die meisten Unternehmen betrafen und zu Anti-Bot- und Sandboxing-Produkten führten.
  • Gen 5 Mega
    • Generation 5, ca. 2017, groß angelegte Multi-Vektor-Megaangriffe mit fortschrittlichen Angriffstools und treibt fortschrittliche Lösungen zur Bedrohungsprävention voran.

Im Jahr 1993 stellte Gil Shwed, CEO von Check Point, die erste Stateful-Inspection-Firewall vor: FireWall-1. 27 Jahre später ist eine Firewall immer noch die erste Verteidigungslinie eines Unternehmens gegen Cyberangriffe. Die heutige Firewall, einschließlich der Firewall der nächsten Generation und der Netzwerk- Firewall unterstützt eine Vielzahl von Funktionen und Fähigkeiten mit integrierten Features, darunter:

Die Entwicklung der Firewalls

Genau wie die Netzwerke, die sie schützen, haben sich auch Firewalls im Laufe des letzten Jahrzehnts stark verändert. Schon die frühesten Firewall-Tools waren für die Netzwerksicherheit unerlässlich, da ihre Pendants aus den 1980er Jahren zunächst als Paketfilter-Tools entwickelt wurden.

Frühe Entwicklung: Paketfilternde Firewalls

Die erste Generation von Firewalls, die Ende der 1980er-Jahre eingeführt wurde, verwendete einfache Paketfilterung. Diese Tools untersuchten Datenpakete auf der Netzwerkschicht (OSI Layer 3) und filterten die Pakete, auf die ein Netzwerk reagiert, anhand von Parametern wie IP-Adressen, Ports und Protokollen. Allerdings machten ihr mangelndes Kontextbewusstsein und ihre übermäßige Fokussierung auf einzelne Pakete sie anfällig für komplexe Angriffe wie die IP-Fragmentierung.

Die Entstehung der zustandsbezogenen Untersuchung

Die 1990er-Jahre erlebten die Einführung von Stateful-Inspection-Firewalls, die von Check Point entwickelt wurden. Diese Firewalls der zweiten Generation überwachten kontinuierlich den Zustand der Verbindungen und stellten sicher, dass Pakete zu einer etablierten Sitzung gehörten. Diese Verbesserung stärkte die Sicherheit erheblich.

Anwendungsschicht- und Proxy-Firewalls

Anwendungsschicht-Firewalls und Proxy-Firewalls entstanden etwa zur gleichen Zeit. Erstere arbeiteten auf Layer 7 und konnten anwendungsspezifische Daten und Regelsätze analysieren und anwenden. Sie waren zudem hochsicher – sie konnten Verkehrsanfragen vollständig von der zugrunde liegenden Netzwerkarchitektur trennen –, aber frühe Modelle litten unter begrenzter Rechenleistung und schlechter Latenz.

Unified Threat Management (UTM) und Next-Generation Firewalls (NGFW)

In den 2010er-Jahren kamen UTM-Systeme auf den Markt, die die Reaktionsfähigkeit einer Firewall mit den zusätzlichen Datenpunkten von Antiviren-, Intrusion-Detection- und anderen Unternehmenssicherheitssystemen kombinieren sollten. NGFWs konnten diese Integrationsfähigkeiten durch tiefgehende Paketinspektion, fortschrittlichen Bedrohungsschutz und Filterung auf Anwendungsebene erweitern.

Moderne Anpassungen: Cloud und KI

Heute haben sich Firewalls an Cloud-Umgebungen und containerisierte Anwendungen angepasst, wodurch Firewall-as-a-Service (FWaaS) entstanden ist. Auf der Grundlage von umgebungsübergreifenden Daten werden KI und maschinelles Lernen zunehmend für die Erkennung von Anomalien, die vorausschauende Analyse von Bedrohungen und die adaptive Durchsetzung von Richtlinien eingesetzt.

Von statischen Filtern bis hin zu intelligenten, kontextbewussten Systemen haben sich Firewalls kontinuierlich weiterentwickelt, um den Anforderungen einer sich ständig verändernden Bedrohungslandschaft gerecht zu werden. Lassen Sie uns einen Blick auf alle Funktionen werfen, die die heutigen Firewalls so entscheidend machen.

Verschiedene Arten von Firewalls

Paketfilterung

Paketfilterung ist eine Netzwerksicherheitstechnik, die in Firewalls verwendet wird, um den Datenfluss zwischen Netzwerken zu steuern. Es bewertet die Header des eingehenden und ausgehenden Datenverkehrs anhand einer Reihe vordefinierter Regeln und entscheidet dann, ob sie zugelassen oder blockiert werden.

Firewall-Regeln sind präzise Anweisungen, die einen kritischen Bestandteil der Firewall-Konfigurationen bilden. Sie definieren die Bedingungen, unter denen Datenverkehr erlaubt oder blockiert wird, basierend auf Parametern wie Quell- und Ziel-IP-Adressen, Ports und Kommunikationsprotokollen. In Unternehmensumgebungen werden diese einzelnen Regeln miteinander verschachtelt, um Access Control Lists (ACLs) zu bilden. Bei der Verarbeitung des Datenverkehrs prüft die Firewall jedes Paket anhand der ACL-Regeln in sequentieller Reihenfolge. Sobald ein Paket mit einer Regel übereinstimmt, setzt die Firewall die entsprechende Aktion durch – wie das Zulassen, Verweigern oder Zurückweisen des Datenverkehrs – ohne weitere Auswertung nachfolgender Regeln. Dieser strukturierte und methodische Ansatz stellt sicher, dass der Netzwerkzugriff streng kontrolliert und konsistent ist.

Proxy-Dienst

Da Firewalls sich gerne am Rand eines Netzwerks befinden, eignet sich eine Proxy-Firewall naturgemäß gut als zentraler Zugangspunkt: Dadurch können sie die Gültigkeit jeder Verbindung überprüfen. Proxy-Service-Firewalls trennen intern und extern vollständig, indem sie die Client-Verbindung an der Firewall beenden, die Anfrage analysieren und dann eine neue Verbindung mit dem internen Server herstellen.

Zustandsbezogene Untersuchung

Die zustandsbezogene Paketinspektion analysiert den Inhalt eines Datenpakets und vergleicht ihn mit Informationen über Pakete, die bereits die Firewall durchlaufen haben.

Zustandslose Inspektion analysiert jedes Paket isoliert: Zustandsbezogene Inspektion hingegen zieht vorherige Geräte- und Verbindungsdaten heran, um Netzwerkverkehrsanfragen besser zu verstehen. Dies ähnelt eher der Betrachtung von Netzwerkdaten als kontinuierlichem Datenstrom. Durch die Pflege einer Liste aktiver Verbindungen und die Bewertung jeder einzelnen aus einer makroskopischeren Perspektive können zustandsfähige Firewalls das Netzwerkverhalten langfristigen Benutzer- und Geräteprofilen zuweisen.

Web Application Firewall

Eine Web Application Firewall (WAF) umschließt eine bestimmte Anwendung und untersucht die HTTP-Anfragen, die an sie gesendet werden. Ähnlich wie andere Arten von Firewalls wendet sie dann vordefinierte Regeln an, um bösartigen Datenverkehr zu erkennen und zu blockieren. Zu den untersuchten Komponenten gehören Header, Query-Strings und der Body von HTTP-Anfragen – allesamt Faktoren, die zu Anzeichen böswilliger Aktivitäten beitragen. Wenn eine Bedrohung erkannt wird, blockiert die WAF die verdächtige Anfrage und benachrichtigt das Sicherheitsteam.

KI-gestützte Firewall

Firewalls sind im Wesentlichen leistungsstarke Analyse-Engines: Sie eignen sich perfekt für die Implementierung von Algorithmen des maschinellen Lernens. Da ML-Algorithmen in der Lage sind, deutlich größere Datenmengen viel schneller zu erfassen und zu analysieren als ihre manuellen Gegenstücke, konnten KI-gestützte Firewalls ihre älteren Gegenstücke bei neuartigen (Zero-Day Bedrohungen) durchgehend übertreffen.

Eine der gebräuchlicheren Implementierungen von KI innerhalb von Firewalls ist zum Beispiel die Benutzer- und Endgerätverhaltensanalyse (UEBA). Dabei werden die historischen Daten aus gesamten Netzwerken erfasst und analysiert, wie jeder Benutzer und Endgerät typischerweise mit dem Netzwerk interagiert – welche Ressourcen genutzt werden, wann darauf zugegriffen wird usw.

Hochverfügbarkeits-Firewalls und hyperskalierte, widerstandsfähige Lastverteilungs-Cluster

Eine Hochverfügbarkeits-Firewall (HA-Firewall) ist so konzipiert, dass der Netzwerkschutz auch im Falle eines Firewall-Ausfalls aufrechterhalten wird. Dies wird durch Redundanz in Form von HA-Cluster erreicht: Mehrere Firewall-Peers arbeiten zusammen, um einen unterbrechungsfreien Schutz zu gewährleisten. Im Falle eines Geräteausfalls wechselt das System automatisch zu einem Peer-Gerät und gewährleistet so eine nahtlose Netzwerksicherheit. Über die traditionellen Hochverfügbarkeitskonzepte hinaus benötigen viele Organisationen heute hyperskalierbare und ausfallsichere Firewall-Systeme der Telekommunikationsklasse, um eine Verfügbarkeit von über 99,99999 % und einen Netzwerkdurchsatz von bis zu 1.000 GB/s bei gleichzeitig umfassender Bedrohungsprävention zu gewährleisten.  Ein intelligentes Load-Sharing-Firewall-Design verteilt den Netzwerkverkehr über einen Firewall-Cluster. Es kann auch automatisch zusätzliche Firewall-Ressourcen kritischen Anwendungen bei unerwartetem Spitzenverkehr oder anderen vordefinierten Auslösern zuweisen und diese Firewall-Ressourcen dann wieder ihrer ursprünglichen Gruppe zuweisen, wenn die Bedingungen wieder normal sind. Dadurch wird die Leistung optimiert und eine Überlastung einzelner Geräte verhindert sowie eine maximale Netzwerkleistung unter allen Bedingungen gewährleistet.

Virtuelle Firewall

Firewalls waren traditionell hardware-exklusiv, da sie die hohe CPU-Leistung benötigten, um jede Regel in der ACL manuell durchzugehen. Dank der Firewall-Virtualisierung kann diese Rechenleistung nun im Wesentlichen ausgelagert werden. Virtuelle Systeme unterstützen die interne Segmentierung: Mit einem Tool lassen sich mehrere segmentierte Firewalls einrichten und überwachen, so dass die Sub-Firewalls über eigene Sicherheitsrichtlinien und Konfigurationen verfügen.

Virtuelle Firewalls bieten viele Vorteile: Umgebungen mit mehreren Mandanten profitieren zum Beispiel von dieser Segmentierung. Außerdem können größere Unternehmen die Netzwerksegmentierung mithilfe eines zentralen Tools effizienter umsetzen. Abgesehen davon können virtuelle Firewalls alle gleichen Fähigkeiten wie ihre hardwarebasierten Pendants bieten.

Cloud-Firewall

Häufig werden virtualisierte Firewalls mit Cloud-Firewalls verwechselt, doch es gibt einen Unterschied: Während „virtuell“ die zugrunde liegende Architektur beschreibt, beziehen sich Cloud-Firewalls auf die Unternehmensressourcen, die sie schützen. Cloud-Firewalls sind solche, die zum Schutz der öffentlichen und privaten cloudbasierten Netzwerke von Organisationen verwendet werden.

Firewall as a Service (FWaaS)

Da die Cloud-Virtualisierung nun den Kauf und die Nutzung von Rechenleistung aus der Ferne ermöglicht, sind virtuelle Firewalls möglich. Dies eröffnet neue Möglichkeiten für die Firewall-Architektur – eine davon ist Firewall as a Service (FWaaS).

FWaaS ist, wie jede SaaS-Lösung, eine vorkonfigurierte Firewall-Lösung, die über die Cloud bereitgestellt wird. Anstatt den gesamten Unternehmensdatenverkehr über einen hauseigenen Serverraum zu leiten und zu analysieren, besteht das Alleinstellungsmerkmal von FWaaS oft in seinen globalen Points of Presence, die eine lokalere (und latenzfreie) Firewall-Bereitstellung ermöglichen.

Verwaltete Firewall

Letztendlich ist es zwar schön und gut, eine Firewall zu haben – aber wie wir gleich sehen werden, bedarf dieses Werkzeug ständiger Verfeinerung und Optimierung. Einige Unternehmen stellen fest, dass die damit verbundenen menschlichen Anforderungen ein schlankes Cybersicherheitsteam schnell überfordern können. So entscheiden sich viele dafür, ihren Datenverkehr über eine verwaltete Firewall zu leiten – die kontinuierlich auf Bedrohungen, Anomalien oder ungewöhnliche Verkehrsmuster überwacht wird. Diese ausgelagerten Firewalls können auch von den fortschrittlichen Tools und den Bedrohungsinformationen des Anbieters profitieren.

Die Bedeutung von Firewall-Protokollen

Selbst einfache Firewalls sind in der Lage, Quelle, Ziel und die Protokolle jedes einzelnen Datenpakets zu analysieren. Aber Sichtbarkeit allein verhindert keine Angriffe; Firewall-Regeln bestimmen, wie das Firewall-Tool auf jedes Paket reagiert – und es letztendlich entweder zum Unternehmensnetzwerk durchlässt oder es ablehnt.

Diese Regeln sind von grundlegender Bedeutung für die Aufrechterhaltung der Netzwerksicherheit, da sie den Zugriff auf und von Systemen kontrollieren und sicherstellen, dass nur autorisierter Datenverkehr durchgelassen wird, während schädliche oder unerwünschte Daten blockiert werden. Um Zeit zu sparen, bieten die meisten handelsüblichen Firewalls vorkonfigurierte Regelsätze an. Schließlich sind viele Bedrohungen universell, unabhängig von den Besonderheiten Ihrer Branche oder Ihrer Mitarbeiter – insbesondere wenn Angreifer in der Lage sind, beliebige öffentlich zugängliche Netzwerke nach häufigen Schwachstellen zu scannen. Da moderne Firewalls mit vorkonfigurierten Regelsätzen ausgeliefert werden, können potenzielle Bedrohungen, die Ihr Unternehmen treffen könnten, sofort reduziert werden. Dies ist ein Segen für die Bereitstellung, da die Administratoren den manuellen Einrichtungsaufwand, den ein neues Tool normalerweise erfordert, reduzieren können. Dadurch werden Fehler reduziert und die Einhaltung der branchenüblichen Best Practices sichergestellt.

Warum brauchen wir Firewall?

Firewalls, insbesondere Firewalls der nächsten Generation, konzentrieren sich darauf, Malware und Angriffe auf Anwendungsebene zu blockieren. Zusammen mit einem integrierten Intrusion Prevention System (IPS) sind diese Next Generation Firewalls in der Lage, schnell und nahtlos zu reagieren, um Angriffe im gesamten Netzwerk zu erkennen und abzuwähren.Firewalls können auf zuvor festgelegte Richtlinien reagieren, um Ihr Netzwerk besser zu schützen, und schnelle Bewertungen durchführen, um invasive oder verdächtige Aktivitäten wie Malware zu erkennen und zu unterbinden. Durch den Einsatz einer Firewall für Ihre Sicherheitsinfrastruktur richten Sie Ihr Netzwerk mit bestimmten Richtlinien ein, um eingehenden und ausgehenden Datenverkehr zuzulassen oder zu blockieren.

Firewall-Sicherheit Best Practices

Firewalls sind keine Lösung, die man einmal einrichtet und dann vergisst. Die Angriffe, denen Ihre Organisation ausgesetzt ist, befinden sich in ständigem Wandel, und Firewalls, die sich ausschließlich auf manuelle Regelaktualisierungen verlassen, erfordern genauso viel Zeit und Aufmerksamkeit.

Regeln nach dem Prinzip der minimalen Berechtigungen einrichten

Grundlegend für ein effektives Firewall-Regelmanagement ist das Prinzip der minimalen Berechtigungen. Funktional bedeutet das, dass nur Traffic erlaubt ist, der einer bestimmten, notwendigen Geschäftsfunktion dient. Durch die Einhaltung dieses Prinzips ist nahezu garantiert, dass zukünftige Regeländerungen das Risiko minimieren, eine bessere Kontrolle über den Netzwerkverkehr gewährleisten und unnötige netzwerkübergreifende Kommunikation einschränken. Wenn Sie dies auf Regeln anwenden, müssen Details wie Quell- und Ziel-IP-Adressen (oder Bereiche) und Ziel-Ports immer definiert werden. Aus diesem Grund müssen übermäßig permissive Regeln wie „Any/Any“ durch eine explizite Verweigerungs-/Zulassungsstrategie für alle eingehenden und ausgehenden Aktivitäten ersetzt werden.

Dokumentation auf dem neuesten Stand halten

Da vorkonfigurierte Regeln geändert und aktualisiert werden, ist eine klare und umfassende Dokumentation unerlässlich. Jeder im Netzwerksicherheitsteam sollte den Zweck jeder Regel anhand der Dokumentation leicht verstehen können. Sie sollten zumindest Details wie den Zweck der Regel, die von ihr betroffenen Dienste, die beteiligten Benutzer und Geräte, das Datum der Implementierung, das Ablaufdatum der Regel, falls sie zeitlich begrenzt ist, und den Namen des Analysten, der sie erstellt hat, aufzeichnen.

Schützen Sie die Firewall selbst

Die Firewall ist nicht nur ein kritischer Bestandteil der Unternehmenssicherheit: Sie ist der am stärksten öffentlich sichtbare Teil jeder Netzwerkinfrastruktur, wodurch unmanaged Firewalls selbst zu einer Bedrohung werden. Um die Firewall zu sichern, sind einige wichtige Best Practices zwingend erforderlich: Unsichere Protokolle wie Telnet und SNMP sollten vollständig deaktiviert werden; Konfigurationen und Logdatenbanken sollten gesichert werden; und eine Tarnkappenregel sollte implementiert werden, um die Firewall vor Netzwerkscans zu schützen. Behalten Sie schließlich regelmäßig die verfügbaren Updates für die Firewall-Lösung im Auge.

Regeln – und Netzwerke – in entsprechende Kategorien gruppieren

Die Segmentierung von Unternehmensnetzwerken in entsprechende Sicherheitsstufen ist eine weitere grundlegende Best Practice für Netzwerksicherheit, und Firewall-Regeln eignen sich hervorragend zur Durchsetzung dieser Segmente. Um das Management zu optimieren, organisieren Sie Regeln in Kategorien oder Abschnitten basierend auf ihrer Funktion oder verwandten Eigenschaften. Dieser Ansatz ermöglicht es Ihnen, die Regeln in der effektivsten Reihenfolge zu strukturieren und gewährleistet eine bessere Übersicht.

KI-gestützte Firewalls sind zunehmend in der Lage, die Regeln und Dokumentationen, auf denen sie basieren, zu automatisieren: Diese enormen Effizienzsteigerungen sind der Hauptgrund, warum NGFWs ihre älteren Modelle ersetzen.

Netzwerk-Layer vs. Anwendungs-Layer-Inspektion

Netzwerkschicht- oder Paketfilter prüfen Pakete auf einer relativ niedrigen Ebene des TCP/IP-Protokollstapels und lassen nicht zu, dass Pakete die Firewall passieren, es sei denn, sie entsprechen dem festgelegten Regelsatz, bei dem Quelle und Ziel des Regelsatzes auf dem Internetprotokoll basieren ( IP-Adressen und Ports. Firewall , die eine Netzwerk-Layer-Inspektion durchführen, schneiden besser ab als ähnliche Geräte, die eine Anwendungs-Layer-Inspektion durchführen. Der Nachteil besteht darin, dass unerwünschte Anwendungen oder Malware über zugelassene Ports gelangen können, z ausgehender Internetverkehr über die Webprotokolle HTTP und HTTPS, Port 80 bzw. 443.

Die Bedeutung von NAT und VPN

Firewall führen auch grundlegende Funktionen auf Netzwerkebene aus, z. B. Netzwerk Address Translation (NAT) und Virtual Private Netzwerk (VPN). Netzwerk Address Translation verbirgt oder übersetzt interne Client- oder Server-IP-Adressen, die sich möglicherweise in einem „privaten Adressbereich“ gemäß RFC 1918 befinden, in eine öffentliche IP-Adresse. Durch das Verbergen der Adressen geschützter Geräte bleibt die begrenzte Anzahl von IPv4-Adressen erhalten und stellt einen Schutz vor Netzwerkauskundung dar, da die IP-Adresse vor dem Internet verborgen bleibt.

In ähnlicher Weise erweitert ein virtuelles privates Netzwerk (VPN) ein privates Netzwerk über ein öffentliches Netzwerk innerhalb eines Tunnels, der häufig verschlüsselt ist und den Inhalt der Pakete beim Durchqueren des Internets schützt. Dies ermöglicht Benutzern das sichere Senden und Empfangen von Daten über ein gemeinsames oder öffentliches Netzwerk.

Firewall der nächsten Generation und darüber hinaus

Firewall der nächsten Generation prüft Pakete auf der Anwendungsebene des TCP/IP-Stacks und ist in der Lage, Anwendungen wie Skype oder Facebook zu identifizieren und Sicherheitsrichtlinien basierend auf der Art der Anwendung durchzusetzen.

UTM-Geräte (Unified Threat Management) und Firewalls der nächsten Generation umfassen heute auch Bedrohungspräventionstechnologien wie Intrusion Prevention Systems (IPS) oder Antivirus zur Erkennung und Abwehr von Malware und Bedrohungen. Diese Geräte können auch Sandboxing-Technologien enthalten, um Bedrohungen in Dateien zu erkennen.

Da sich die Cyber-Sicherheitslandschaft ständig weiterentwickelt und die Angriffe immer ausgeklügelter werden, sind Firewalls der nächsten Generation auch weiterhin ein wesentlicher Bestandteil der Sicherheitslösung eines jeden Unternehmens, ob im Rechenzentrum, im Netzwerk oder in der Cloud.

Schützen Sie Ihr Netzwerk mit Quantum NGFW von Check Point — den effektivsten KI-gestützten Firewalls mit erstklassiger Bedrohungsprävention, nahtloser Skalierbarkeit und einheitlicher Richtlinienverwaltung.

Check Point Quantum kombiniert modernste Bedrohungsprävention, unvergleichliche Leistung und optimierte Effizienz. Zu den fortschrittlichen Funktionen von Check Point Quantum gehören intelligente Datenverkehrsprüfung, nahtlose Integration mit Cloud-Diensten und tiefgreifende Automatisierung von Vorfällen. Sehen Sie selbst, wie Quantum mühelose Skalierbarkeit und zentrales Policy-Management mit einer Demo bietet.

Um mehr über die wichtigsten Funktionen zu erfahren, die Ihre Next Generation Firewall haben muss, laden Sie noch heute den Next Generation Firewall (NGFW) Buyer's Guide herunter.