Wichtiges Grundwissen zu Firewalls
Thomas Bär, Frank-Michael Schlede
Welchen Vorteil hat eine Firewall? Muss eine Firewall sein? PC-Welt beantwortet in diesem Ratgeber zum Thema Firewalls diese und andere Fragen zur Netzwerksicherheit.
Sicherheitslücken in Anwendungen und Betriebssystemen stellen die größten Gefahrenquellen in der IT-Branche dar. Es ist somit unumgänglich diese Durchlässe schnell zu finden und innerhalb kurzer Zeit zu schließen. Bis die Lücke geschlossen ist, bietet die Firewall den einzigen Schutz. Nach der Definition erlaubt eine Firewall nur bestimmte Verbindungen und wirkt sich so auf den Netzwerkverkehr aus. Es wird zwischen ausgehenden und eingehenden Verbindungen unterschieden. Grund: Ein PC reagiert anders auf explizit angeforderte Verbindungen als auf unerwünschte.
Arten von Firewalls
Vergrößern Die integrierte Firewall von Windows lässt sich mithilfe von Assistenten konfigurieren
Es gibt zwei Arten von Firewalls. Bei der ersten ist der Schutzmechanismus entweder ins Betriebssystem integriert oder per Zusatzsoftware auf dem PC-System installiert. Hier wird dann wird von einer Personal Firewall gesprochen. Bei der anderen Lösung handelt es sich um Appliances, einer Kombination von Hard- und Software. Der Unterschied liegt darin, dass diese Art von Firewalls ganze Netzwerke oder einzelne Segmente schützen. Lösungen der „Next Generation Firewall (NGFW)“ können im Gegensatz zu ihren Vorgängern die Datenpakete einzelner Anwendungen gezielt reglementieren, da sie den Inhalt der Datenpakete analysieren können. Daneben können IT-Verantwortliche die NGFWs für unterschiedliche Benutzer mit entsprechendem Regelwerk konfigurieren. Ferner decken diese Lösungen das Thema „Anti-Malware“ sicher ab und es handelt sich um „Application Layer Firewalls“.
Sind Personal Firewalls sinnvoll?
Professionelle Firewall-Lösungen basieren auf extra angepassten Betriebssystemen, die in ihrer Funktion zugunsten eines sichereren Systems bewusst beschränkt wurden. In solchen Fällen wird oft von einem „gehärtetem Betriebssystem“ gesprochen. Im Gegensatz hierzu setzten Personal Firewalls auf „Standard“-Betriebssystemen wie Windows, OS X und Linux. Sie sind zudem größeren Risiken ausgesetzt. Diese OS sind häufiger Ziele von Angreifer und können mehr Programmfehler als ihre Pendants aufweisen. Trotzdem sollte keineswegs auf ihren Einsatz verzichtet werden.
Soll ich die Personal Firewall aktivieren?
Ja, Sie sollten die Personal Firewall immer einschalten. Die Vorteile überwiegen.
Wann soll ich die Personal Firewall deaktivieren?
Es gibt keinen Grund die Firewall auszuschalten, außer Sie möchten eine kurze Fehlersuche durchführen.
Soll ich auf den Einsatz einer Firewall verzichten?
Nein, Sie sollten immer eine Firewall einsetzen, um Ihr Betriebssystem und Netzwerk zu schützen.
Der Einsatzzweck von Personal Firewalls
Personal Firewalls sollten zusätzlich zur primären Firewall eines Unternehmens auf Client-Systemen installiert werden, denn die primäre Sicherheitsmaßnahme schützt in der Regel die ein- und ausgehenden Verbindungen zum Internet oder anderen verbundenen Netzwerken. Im Fall, dass innerhalb eines Netzwerks ein sicherheitsrelevantes Problem auftritt, sind die Clients schutzlos den Angreifern ausgeliefert. Deswegen bietet sich dieser Einsatz an. Daneben ist eine weitere, zentrale Firewall auf Server-Systemen zum Schutz gegenüber dem Client-Netzwerk sinnvoll.
Sind Firewall-Lösungen nicht kostspielig?
Die Kosten für Firewalls differenzieren. Für PC und Mac gibt es häufig Personal Firewalls, die gratis erhältlich sind. Im Gegensatz dazu sind Hardware-basierte Systeme gewöhnlich kostenpflichtig, außer es handelt sich um Grundversionen. Sophos UTM Essential Firewall (ehemals Astaro Essential Firewall ) ist solch ein System. Es lässt sich lokal sowie als virtuelle Maschine (VM) betreiben und ist gratis.
Ein ordentliches Management, lesbare Anleitungen, zuverlässige Updates fürs System und Empfehlungen gibt es nur bei kostenpflichtigen Lösungen. Wer hierauf Wert legt, sollte zudem zu etablierten Lösungen greifen. Wer dagegen weiß, wie er einen Kernel so konfigurieren muss, dass dieser nur die gewünschten Features besitzt, kann mit der Unix Internet Protocol Firewall (IPFW) eine individuelle Lösung aufsetzen und einrichten.
Firewall-Regeln sind komplex
Um Firewall-Regeln selbst aufzusetzen, bedarf es Hintergrundwissen. Die Begriffe TCP, UDP, Ports, NetBIOS und Ping sollten ein Begriff sein, ansonsten kann es aufgrund von Verständnisproblemen zu einem großen Sicherheitsproblem kommen. Die großen Hersteller von Firewall-Systemen bieten für ihre Lösungen Seminare an um das notwendige Know-how zu vermitteln. Zudem erhöht sich bei den Teilnehmern von Kurs zu Kurs das technische Verständnis der Abläufe.
Mittels den Virtualisierungstechniken VMware, Parallels oder Oracles VirtualBox können IT-Verantwortliche sich die Firewall-Einstellungen aneignen. Hierzu bauen sie leicht virtuelle Computer auf und versuchen von „außen“ auf deren Netzwerkinterfaces zuzugreifen. Wer wissen möchte, wie Sicherheitslücken in Verbindung mit offenen Ports sich ausnutzen lassen, sei die Lösungen aus dem Hause RAPID7 empfohlen.
Es gilt die Regel: Alles zu! Ausnahme: Es handelt sich um einen eher unbedarften Anwender. Falls alle Verbindungen blockiert sind, werden Schritt für Schritt via Assistenten die Ports geöffnet, um eine benötigte Verbindung zuzulassen.
Firewalls und DMZ (Demilitarized Zone
Zum Anfang der
Seite scrollen
Firewalls und DMZ - Netzwerkkomponenten
1. Firewalls Historisches Bis in die späten 1980er Jahre war das Internet eine fast rein akademische Domäne und die ethischen Regeln zur Benutzung des Netzes waren hoch. Obwohl die Schwächen der Betriebssysteme und Anwendungen bekannt waren, war man ausschließlich darauf fixiert, die daraus entstehenden Probleme nur zu Gunsten des praktischen Nutzens in der Anwendung auszumerzen. Niemand in der damaligen Internetgemeinde hegte "schlechte Gedanken", da man sich gegenseitig kannte und sich vertraute. Es war schlichtweg kein Bedarf an allumfassenden Schutzmaßnahmen für Computer, Programme und Daten.
Obwohl das Hacken von Computern schon zu dieser Zeit nichts ungewöhnliches war (siehe Film "WarGames" von 1983), wurde dies meist weniger als kriminell sondern als "Jugendsünde" betrachtet. Diese heile Welt wurde plötzlich durch zwei gravierende Vorkommen bis in die Grundfesten erschüttert. 1986 konnte dem vom sowjetischen Geheimdienst KGB engagierten Deutschen Markus Hess das Eindringen in 400 zivile und militärische Computer, darunter im MIT und im Pentagon, nachgewiesen werden.
Ein weiterer Wendepunkt war der erste im Internet frei gesetzte Computer-Wurm. Ein Student der Cornell University wollte im November 1988 ursprünglich die damalige Größe des Internets erfassen. Hierzu erstellte er ein Programm, das Schwächen im Unix-Betriebssystem und einem Mail-Programm nutzte um bestimmte, gewünschte Reaktionen der angeschlossenen Systeme zu erzeugen. Durch einen Programmierfehler wurden die befallenden Systeme jedoch mehrfach vom später Morris-Worm genannten Programm infiziert. Jede neue Instanz des Programms belastete das System zusätzlich und verlangsamte es bis es nahezu unbrauchbar wurde.
Diese und ähnliche andere Vorfälle bewirkten, dass die Legislative bald drastische Gesetze gegen die aufkeimende Computerkriminalität schuf und eine neue, milliardenschwere Industrie, die sich mit IT-Sicherheit beschäftigt, entstehen konnte.
Erste Systeme, die sich wie eine Brandschutzwand (engl. "Firewall") zwischen dem heißen Draußen und dem sicheren Drinnen stellten, wurden 1988 von DEC (Digital Equipment Corporation) vorgestellt. Was ist eine Firewall ? Eine Firewall ist eine Hardware-Software-Kombination oder eine Software auf einem Rechner, die die Übertragung von Daten in ein Computernetzwerk hinein und heraus anhand von vorgegebenen Regeln erlaubt oder verweigert. Die Aufgabe einer Firewall ist es, einen nichtautorisierten Zugriff auf ein Netzwerk zu verhindern während legitime Datenübertragungen passieren dürfen. Firewalls sitzen an den Schnittstellen zwischen einzelnen Netzen oder Computersystemen und kontrollieren den Datenverkehr zwischen den Teilbereichen. Dieses können das Internet und ein privates Netzwerk oder aber auch an Subnetzen eines privaten Netzwerks, wie z.B. besonders schützenwerte Abteilungen oder Zonen in einem Unternehmen sein.
Firewalltypen Umgangssprachlich ist mit einer Firewall häufig die Software gemeint, welche den Datenverkehr zwischen den getrennten Bereichen kontrolliert und regelt. Man muss aber zwischen dem Konzept einer Firewall und der tatsächlichen Realisierung der Firewall unterscheiden. Das Sicherheitskonzept beschreibt Regeln, welche Informationen die Firewall passieren dürfen und welche nicht. Externe Firewalls Realisiert wird das Konzept bei der externen Firewall (oder Hardware-Firewall) durch eine Software, die auf einer (meist speziellen) Hardware läuft. Die Hardware ist dabei lediglich für das Empfangen und Senden der einzelnen Datenpakete zuständig und die Software regelt den Verkehr. (Was wird durchgelassen? Was wird nicht durchgelassen?) Externe Firewalls sind meist sicherheits- und funktionsoptimiert. So können beispielsweise Teile bestimmter Protokolle hardwareunterstützt ent- und verschlüsselt werden.
Externe Firewalls filtern grundsätzlich nur in eine Übertragungsrichtung. Normalerweise ist dies vom unsicheren Netz ins sichere Netz.
Personal-Firewalls ( Desktop-Firewalls) Bei den Personal-Firewalls, auch Desktop- oder interne Firewalls genannt, läuft die Überwachungssoftware lokal auf dem Rechner des Anwenders. Im Unterschied zu einer externen Firewall, die lediglich den Internetzugriff kontrolliert, filtert die Personal Firewall zusätzlich auch die Verbindungen des PCs von und zu dem privaten lokalen Netz. Dadurch ist sie in der Lage Anwendungen (ein heimlich aktivierter oder installierter Dienst) davon abzuhalten, ohne das Einverständnis des Anwenders mit der Außenwelt zu kommunizieren.
2. Funktionsweisen einer Firewall Eine Firewall kanalisiert die Kommunikation, indem alle Daten von und nach außen über dieses System laufen müssen. Die Firewall kann aus einer einzigen Stufe oder aus einer mehrstufigen Anordnung bestehen. Eine mehrstufige Anordnung ist vor allem dann sinnvoll, wenn man bestimmte Dienste der Öffentlichkeit zur Verfügung stellen will, etwa einen Web- oder FTP-Server. Die entsprechenden Hosts können dann in einem Zwischennetz (DMZ) isoliert werden.
Eine Firewall kann auf drei Software-Ebenen arbeiten: einem Paketfilter, der Stateful Inspection, dem Proxyfilter und dem Contentfilter. Je nach Filtertechnologie finden die Filterfunktionen auf den Schichten 3 bis 7 des OSI-Stacks statt. 2.1. Paketfilter Der Zugriff auf Netzwerkdienste bzw. die Ressourcen in einem Netzwerk wird über Programmschnittstellen, den sogenannten Ports, vorgenommen. Will ein externer Rechner sich mit einem internen Rechner verbinden, geschieht dies über einen geöffneten Port. An dieser Stelle setzt die einfachste Überwachungsfunktion einer Firewall an: Sie überwacht anhand jedes übertragenen Datenpakets welcher externer Computer sich mit einem internen verbinden möchte. Zur Überwachung werden die IP-Adressen von Quell- und Zielsystem, das Übertragungsprotokoll und die angesprochenen Ports untersucht. Das Resultat der Untersuchung ist von vorgegeben Regeln abhängig. Entsprechend den Regeln kann ein Paket weitergeleitet ("forward", "permit" oder "pass") , verworfen ("deny" oder "drop") oder mit einer entsprechenden Bemerkung versehen an den Absender zurückgeschickt ("reject") werden.
Das einfachste Regelwerk ist in den NAT-Routern, wie sie alle DSL-Router verwenden, umgesetzt. (Eine detaillierte Beschreibung der Funktionsweise eines NAT-Routers ist hier zu finden.) Zu den Grundregeln (Auswertung der IP-Adressen) der OSI-Schicht 3, wie ein NAT-Router sie beherrscht, filtern komplexere Paketfilter auch nach Protokollen höherer Schichten. Diese Regeln folgen dem Grundsatz "Was nicht ausdrücklich erlaubt wurde, wird verworfen". Die Filterung erfolgt nach dem Prinzip der Mustererkennung. Eine Filterregel besteht aus einer Bedingung (IF ...) und einer Aktion (... DENY/PASS/REJECT). Beispiele für Filterregeln: Ein bestimmter IP-Adressbereich soll gesperrt werden:
IF Quelladresse = 60.40.*.*, DENY
Den Aufbau einer FTP-Verbindung von Außen verhindern:
IF TCP-Zielport = 20, DENY (FTP-Datenverbindung)
IF TCP-Zielport = 21, DENY (FTP-Kontrollverbindung)
Um z.B. auf eingehende Pings antworten zu können:
IF ICMP Type = 0, PASS
Die letzte Regel in einer Filterliste lautet immer "DENY ALL" (Verwerfe alles, was übrig ist) um sicher zu sein, dass alle Lücken geschlossen wurden.
Nach diesem Muster werden Listen mit Regeln erstellt, nach denen die Firewall die Datenpakete auf besondere Eigenschaften untersucht. Die Filterregeln werden dabei bei jedem einzelnen Datenpaket sequentiell abgearbeitet. Diese einfachen Paketfilter der ersten Generation von Firewalls untersuchen jedes Datenpaket für sich allein betrachtet und ohne den Versuch einen Zusammenhang mit vorhergehenden oder nachfolgenden Paketen zu finden. Daher bezeichnet man solche einfachen Paketfilter auch als "zustandslose Paketfilterung".
2.2. SPI - Stateful Packet Inspection (Zustandsorientierte Paketüberprüfung) In zweiten Generation von Firewalls werden die Pakete zusätzlich daraufhin untersucht, ob sie zu einer im Aufbau befindlichen, einer bestehenden oder unterbrochenen Verbindung gehören. Die Analyse der Pakete erfolgt auf der OSI-Schicht 4 (Transportschicht). Die Zuordnung der Pakete erfolgt über dynamische Zustandstabellen der einzelnen Verbindungen. Je nach dem Zustand und dem Protokoll einer Verbindung kommen unterschiedliche Regelwerke zum Einsatz.
Beim Aufbau einer Verbindung über TCP detektiert und überwacht die Firewall z.B. das typische Dreiwege-Handshake-Protokoll: Der Client (also hier der interne Rechner) initiiert die Verbindung mit dem Host (dem externen Rechner) mit einem SYN-Paket (synchronize) und einer Sequenznummer X.
Der Host antwortet mit einer Bestätigung SYN-ACK (SYN-Acknowledge), der Sequenznummer X+1 und seiner Startsequenznummer Y.
Der Client antwortet wiederum mit einem ACK-Paket (Acknowledge) und der Startsequenznummer Y+1. Danach ist die Verbindung hergestellt und die Firewall trägt die Verbindung als solche in die Zustandsliste ein. Die CPU-intensive Analyse der Pakete ist danach beendet. Alle nachfolgenden Pakete können nun leicht dieser Verbindung zugeordnet und somit schnell weitergereicht werden. Ist die Verbindung beendet, wird sie aus der Zustandsliste gelöscht. Weitere eintreffende Pakete der externen Quelladresse werden verworfen.
2.3. Application Layer Firewall (Proxy Based Firewall) Die Filter einer Proxy Based Firewall (auch Application Layer Firewall) untersuchen neben den reinen Verbindungsdaten wie Quelle, Ziel und Dienst in erster Linie die Nutzdaten, also den Inhalt der Netzwerkpakete.
Ein Proxy oder Proxyserver (proxy = Stellvertreter, Bevollmächtigter) ist ein Dienstprogramm für Computernetze, das im Datenverkehr vermittelt. Im Unterschied zur Stateful Packet Inspection Technologie, die abhängig vom Produkt mitunter auch auf die Nutzdaten zugreift, reicht der typische Proxyfilter die Netzwerkanfrage des Quellsystems nicht einfach an das Zielsystem weiter. Vielmehr baut er selbst eine eigene Verbindung zum Zielsystem auf. Da er stellvertretend für den anfragenden Client mit dem Zielsystem kommuniziert, kann er die Pakete zusammenhängend analysieren und Einfluss auf die Verbindung nehmen. So ist er in der Lage, Anfragen auch in Bezug auf den Kommunikationsfluss der Nutzdaten zu filtern und kann entscheiden, welche Antworten des Zielsystems er an den anfragenden Client weiterreicht. Dabei kann er den Paketinhalt beliebig verändern. Als aktiver Vermittler verhält sich der Proxy dem anfragenden Client gegenüber wie ein Server, der anderen Seite, dem Zielsystem, gegenüber wie ein Client. Da er das Kommunikationsprotokoll kennen muss, gibt es für jedes höhere Kommunikationsprotokoll (HTTP, FTP, DNS, SMTP, POP3, usw.) einen eigenen Filter. Da ein Proxyfilter auf ein bestimmtes Protokoll spezialisiert ist, arbeitet die Proxy Based Firewall als ein vermittelndes Dienstprogramm und greift daher (wie jedes Dienst- oder Anwendungsprogramm) auf die OSI-Schicht 7 (Anwendungsschicht) zu.
Bei entsprechender Regelvorgabe "versteht" eine Application Layer Firewall Anwendungen und Protokolle. So kann sie entdecken ob ein unerwünschtes Protokoll über ein Nichtstandard-Port eingeschleust werden soll oder ein Protokoll in einer (bekannten) schädlichen Weise missbraucht wird. Besonders flexible Funktionen weisen sogenannte Content Filter auf. Als Filterregeln erhalten diese Filter Suchmuster und/oder Listen von Schlüsselwörtern und IP-Adressen. So können diese Filter ActiveX oder JavaScript aus angeforderten Webseiten herausfiltern oder verhindern dass (bekannte) Malware heruntergeladen wird. Im Rahmen des Jugendschutzes können z.B. auch ganze Webseiten gegen eine Whitelist geprüft, der Inhalt auf vorgegebene Schlüsselwörter hin durchsucht und gegebenenfalls blockiert werden. Um die Trefferquote und Trefferqualität zu erhöhen können Schlüsselwörter usw. auf Relevanz hin gewichtet werden. Eine angeforderte Web-Seite wird dann erst nach dem Überschreiten einer vorgegebenen Relevanzschwelle blockiert.
Auf ausreichend schneller Hardware können auch weitaus komplexere Content-Filter implementiert werden, die z.B. mit Viren behaftete Mails oder das Verschicken von Dokumenten mit geheimen Informationen blockieren.
3.DMZ (Demilitarized Zone) - die neutrale Zwischenzone Wenn in einem Netzwerk Server betrieben werden sollen, um über das öffentliche Netz Informationen verteilen, bzw. zugänglich zu machen, können diese ihren Dienst im Internet nur dann erfüllen, wenn an sie auch Pakete weitergeleitet werden, die Anfragen für Webseiten usw. enthalten. Diese verbindungseröffnenden Pakete sind aber unangeforderte Pakete und würden normalerweise von einer Firewall sofort verworfen werden. Wie im Artikel "Router und Gateways" beschrieben wird, ist eine Port-Weiterleitung oder eine Exposed Host-Konfiguration sicherheitstechnisch sehr bedenklich, da sich Clients, Server und Internet-Server in einem lokalen Netzwerk befinden. Ein potentieller Angreifer aus dem Internet erhält so einen Brückenkopf im LAN, von dem aus das LAN kompromittiert werden kann. Zweistufiges DMZ-Konzept Um dieses Problem zu umgehen, empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) Server mit Web-Diensten in einer Pufferzone, auch DMZ (Demilitarized Zone = Entmilitarisierte Zone) genannt, zu betreiben, die von zwei Firewalls (Abb. 3.01) umgeben ist. In dieser Anordnung ist das physische LAN in zwei logische Segmente mit eigenen IP-Adressbereichen unterteilt. Firewall A trennt das Internet von der DMZ und Firewall B die DMZ vom eigenen Netz. Wählt man Firewalls unterschiedlicher Hersteller, können auch über eine bekannte Schwachstelle nicht beide Firewalls überwunden werden.
Auch ein Server in einer DMZ muss unbedingt mit allen aktuellen Sicherheitsupdates des Betriebssystems und der laufenden Applikationen, einer Personal Firewall und den üblichen Schutzprogrammen ausgestattet werden. Alle nicht unbedingt benötigten Dienste sollten abgeschaltet werden.
Protected DMZ Eine einfachere und billigere Variante ist eine einstufige Firewall, die für die DMZ einen eigenen LAN-Anschluss mit IP-Adressen in einem separaten Netz hat. Eine solche Anordnung wird als "Protected DMZ" bezeichnet.
Was ist eine Firewall und wie funktioniert sie?
1. Packet-Filtering Firewalls
Eine Packet-Filtering Firewall ist ein Verwaltungsprogramm, das IP-Protokolle für Netzwerkverkehr, IP-Adressen und Portnummern blockieren kann. Diese Art von Firewall ist die grundlegendste Form und wurde für kleinere Netzwerke entwickelt.
Diese Firewall kann nützlich sein, weist jedoch Einschränkungen auf. Da der gesamte Webverkehr zulässig ist, werden webbasierte Angriffe nicht blockiert. Sie benötigen also zusätzlichen Schutz, um zwischen gutartigem und gefährlichem Webverkehr zu unterscheiden.
2. Circuit-Level Gateways
Eine weitere einfache Art von Firewall, die darauf abzielt, Datenverkehr schnell und einfach zu genehmigen oder abzulehnen, ohne dass erhebliche Rechenressourcen benötigt werden. Circuit-Level Gateways überprüfen den TCP-Handshake (Transmission Control Protocol). Diese TCP-Handshake-Prüfung soll sicherstellen, dass die Sitzung, von der das Paket stammt, gültig ist.
Obwohl sie sehr ressourceneffizient ist, überprüft diese Firewall das Paket selbst nicht. Wenn ein Paket Malware enthält, aber den richtigen TCP-Handshake hat, geht es dennoch durch. Aus diesem Grund reicht ein Circuit-Level Gateway nicht aus, um Ihr eigenes Unternehmen zu schützen.
3. Stateful Inspection Firewalls
Diese Firewall kombiniert Paket-Scan-Technologie und TCP-Handshake, um ein höheres Schutzniveau im Vergleich zu den beiden vorherigen Architekturen zu erzielen.
Diese Firewall übt jedoch auch einen größeren Druck auf die Computerressourcen aus. Dies kann die Übertragung von Paketen im Vergleich zu anderen Lösungen verzögern.
4. Proxy Firewalls
Eine Proxy Firewall filtert auf Anwendungsebene den eingehenden Datenverkehr zwischen Ihrem Netzwerk und den Datenverkehrquellen. Diese Firewall wird über cloudbasierte Lösungen oder andere Proxy-Geräte verwendet. Anstatt den Datenverkehr direkt zu verbinden, stellt die Proxy Firewall zunächst eine Verbindung zur Datenquelle her und überprüft eingehende Datenpakete.
Diese Überprüfung ähnelt einer Stateful Inspection Firewall zum Überprüfen des TCP-Pakets und des Handshake-Protokolls. Proxy Firewalls können jedoch auch Pakete der inneren Schicht überprüfen und den tatsächlichen Inhalt von Informationspaketen untersuchen, um festzustellen, ob sie Malware enthalten.
Nachdem die Prüfung abgeschlossen ist und die Verbindung des Pakets mit dem Ziel genehmigt wurde, versendet der Proxy es. Dies schafft eine zusätzliche Trennungsebene zwischen dem “Client” (Paketursprungssystem) und jedem Gerät in Ihrem Netzwerk – und verwischt sie, um Ihrem Netzwerk zusätzliche Anonymität und Schutz zu bieten.
Proxy Firewalls weisen jedoch auch Schwachstellen auf. Sie können aufgrund zusätzlicher Schritte im Paketübertragungsprozess zu erheblichen Verzögerungen führen.
