Eine einfache Paketfilter-Firewall kann nur auf der Basis statischer Informationen wie IP-Adresse oder Port blockieren. Stateful-Firewalls sind besser darin, illegitimen Traffic zu erkennen und zu blockieren, weil sie Muster und andere fortgeschrittene Konzepte erkennen.
Firewalls sind ein unverzichtbarer Bestandteil der IT-Sicherheitsinfrastruktur eines jeden Unternehmens und jeder Organisation. Sie sind dafür verantwortlich, den Datenverkehr zwischen den verschiedenen Netzwerken zu überwachen und zu kontrollieren, um unerwünschte Zugriffe und Angriffe auf das Netzwerk zu verhindern. Eine der wichtigsten Arten von Firewalls ist die Stateful Firewall.
Eine der Hauptunterschiede zwischen Stateful und Stateless Firewalls ist die Art und Weise, wie sie Pakete verarbeiten. Stateless Firewalls untersuchen jedes Paket unabhängig von seinem Zusammenhang und basierend auf festgelegten Regeln. Stateful Firewalls hingegen speichern den Zustand der Verbindungen, die durch das Netzwerk laufen, und überwachen den Datenverkehr basierend auf diesem Zustand.
Für den Heimgebrauch ist eine einfache Firewall ausreichend, die in den meisten DSL-Routern bereits integriert ist. Diese schützen das private Netzwerk vor Angriffen aus dem Internet. Wenn jedoch ein höheres Schutzniveau erforderlich ist, sollte eine spezielle Firewall eingesetzt werden.
Firewalls werden in Unternehmen und Organisationen eingesetzt, um das Netzwerk vor Angriffen und Bedrohungen zu schützen. Sie können auch in öffentlichen Netzwerken, wie z.B. in Bibliotheken oder Internetcafés, eingesetzt werden, um die Benutzer vor unerwünschtem Zugriff auf ihre Daten und Geräte zu schützen.
Der besondere Vorteil einer Stateful Inspection Firewall liegt darin, dass sie den Zustand der Verbindungen überwacht und somit eine tiefere Kontrolle des Datenverkehrs ermöglicht. Dadurch können Bedrohungen, die durch komplexe Angriffe oder durch die Kombination von verschiedenen Angriffen entstehen, erkannt und abgewehrt werden.
Firewalls können auf verschiedenen OSI-Schichten arbeiten, je nachdem, welchen Teil des Datenverkehrs sie überwachen sollen. Es gibt Firewalls, die auf der Anwendungsschicht arbeiten und den gesamten Datenverkehr überwachen, der durch bestimmte Anwendungen geht. Andere Firewalls arbeiten auf der Transport- oder Netzwerkschicht und überwachen den Datenverkehr, der durch das Netzwerk geht.
Eine Firewall kann nicht alle Arten von Bedrohungen oder Angriffen auf ein Netzwerk oder einen Computer prüfen. Insbesondere kann eine Firewall keine internen Bedrohungen wie Malware oder Datenlecks durch Mitarbeiter oder autorisierte Benutzer erkennen und verhindern. Außerdem kann eine Firewall keine Schwachstellen in Anwendungen oder Betriebssystemen erkennen oder beheben.
Deep Packet Inspection (DPI) ist eine Funktion einer Stateful Firewall, die den Inhalt von Datenpaketen auf Protokollebene untersucht. Dabei werden nicht nur die Header-Informationen, sondern auch der Inhalt der Pakete analysiert und auf mögliche Bedrohungen überprüft. DPI kann auch zur Filterung von unerwünschtem Datenverkehr wie z.B. Peer-to-Peer-Verbindungen oder Streaming-Diensten eingesetzt werden. Die Funktion wird durch die Analyse von Signaturen, Mustern und Verhaltensweisen der Pakete ermöglicht.
Ein Paketfilter funktioniert, indem er den Datenverkehr überprüft und basierend auf vorgegebenen Regeln entscheidet, ob ein Datenpaket durchgelassen oder blockiert werden soll. Die Regeln können beispielsweise auf der Grundlage von Quell- und Ziel-IP-Adressen, Protokolltypen und Portnummern festgelegt werden. Ein Stateful-Paketfilter geht einen Schritt weiter und berücksichtigt auch den aktuellen Zustand der Netzwerkverbindung, um zu entscheiden, ob ein Datenpaket durchgelassen werden soll.