Lesezeit: 2 Minuten 14 Sekunden | Veröffentlicht: 1. Oktober 2025
Was ist das Firewall-Design?
Das Firewall-Design umfasst die Entscheidungen zu übergeordneten Sicherheitsrichtlinien eines Unternehmens, z. B. welche Firewall-Funktionen verwendet werden sollen, wo die Firewall durchgesetzt werden soll und letztendlich wie die Firewall konfiguriert wird.
Wie ist eine Firewall konzipiert?
Die fünf sequenziellen Schritte, die beim Aufbau eines Firewall-Designs zu befolgen sind, umfassen:
1. Identifizieren Sie die Sicherheitsanforderungen des Unternehmens. Bewerten Sie diese Anforderungen, analysieren Sie die aktuelle Sicherheitslage und nutzen Sie diese Informationen, um die Sicherheitsbedürfnisse zu verfeinern und die Anforderungen anzupassen.
2. Definieren Sie eine übergeordnete Sicherheitsrichtlinie. Eine klar definierte Sicherheitsrichtlinie umfasst Netzwerkressourcen, Zugriffsrichtlinien und Autorisierungskontrollen und stellt sicher, dass die Firewall alle Sicherheitsanforderungen erfüllt.
3. Definieren Sie eine Firewall-Philosophie. Die klare Identifizierung von Ressourcen, Anwendungen und Diensten, die Schutz vor Insider-Angriffen und externen Bedrohungen erfordern, vereinfacht die Definition und Konfiguration der Firewall.
4. Identifizieren Sie zulässige Kommunikationen. Definieren Sie eine akzeptable Nutzungsrichtlinie, um die Arten von Netzwerkaktivitäten (z. B. Anwendungen und Datenverkehr) festzulegen, die im LAN und den unterstützten Webservices zulässig oder unzulässig sind.
5. Identifizieren Sie die Durchsetzungspunkte der Firewall. Die Bestimmung von Durchsetzungspunkten ist für das Firewall-Design von grundlegender Bedeutung. Firewalls werden am Edge bereitgestellt, am häufigsten zwischen dem privaten LAN und einem öffentlichen Netzwerk, wie z. B. der Internetverbindung.
Als zusätzliches Maß für den Schutz entwickeln Sie ein Baseline-Profil für den Netzwerkverkehr, das die normalen Datenverkehrsmuster des Netzwerks identifiziert. Eine Baseline ermöglicht die Überwachung auf anomales Verhalten und setzt dann Schwellenwerte, um Angriffe zu erkennen und vor ihnen zu schützen.
Probleme, die das Firewall-Design adressiert
Die Firewall-Technologie hat sich von Paketfilter-Firewalls zu Firewalls der nächsten Generation entwickelt. Neue Services und Lösungen sind entstanden, um die Komplexität der Cyberlandschaft zu bewältigen, Ressourcen zu schützen und Versuche von Cyberangreifern zu blockieren, die Firewall zu durchbrechen, um schädliche Zwecke zu verfolgen. Die Bereitstellung einer effektiven Firewall für das Netzwerk erfordert weit mehr als nur die Konfiguration. Die Etablierung bewährter Verfahren trägt zur Erstellung einer Sicherheitsrichtlinie und eines effektiven Betriebsmodells bei, verbessert den Firewall-Design- und Konfigurationsprozess, der mit dem Netzwerk verbunden ist, und ermöglicht die Bereitstellung einer Firewall, die die Sicherheitsanforderungen des Unternehmens insgesamt erfüllt.
Was können Sie mit dem Firewall-Aufbau erreichen?
Empfohlene Best Practices zur Unterstützung bei der Charakterisierung des Netzwerks, der Dokumentation der Sicherheitslage und der Bestimmung der Position des Unternehmens in Bezug auf die Sicherheit lauten wie folgt:
- Identifizieren und katalogisieren Sie Netzwerkressourcen und Sicherheitsanforderungen.
- Identifizieren Sie effektive Erkennungen für bekannte Bedrohungen und wie Sie mit Angriffen umgehen können.
- Dokumentieren Sie Betriebssysteme, Versionen und Anwendungen.
- Definieren Sie den Workflow des Unternehmens für zulässige Kommunikation und Zugriffsrechte basierend auf den Rollen der Mitarbeiter und den Benutzeranforderungen.
- Bestimmen Sie die Durchsetzungspunkte der Firewall: Setzen Sie eine Firewall ein, um den Edge (Internet-orientiert), den Kern (Unternehmens-orientiert) oder die DMZ (Bastion als erste Verteidigungslinie) zu schützen.
- Gestalten Sie die Firewall einfach. Es ist unerlässlich, die betrieblichen Anforderungen zu berücksichtigen.
Entwickeln Sie als Schutzmaßnahme ein Baseline-Profil für den Netzwerkverkehr, das die normalen Datenverkehrsmuster des Netzwerks identifiziert. Die Festlegung einer Baseline ermöglicht die Messung unregelmäßigen Verhaltens und die anschließende Festlegung von Schwellenwerten zum Schutz vor Angriffen.
HPE Juniper Networking Implementierung
Die Geräte der SRX-Serie von Juniper Networks bieten Firewall-Sicherheitsservices mit einem vereinfachten Design- und Bereitstellungsprozess. Dazu gehören: Zonen erstellen, die auf funktionale Anforderungen zugeschnitten sind, Benutzergruppen von Servern trennen, Benutzergruppen Zonen basierend auf dem Subnetz zuweisen und unternehmensspezifische Richtlinien entwerfen.