Um sich gegen Datenverlust und Diebstahl zu schützen, benötigen Unternehmen so viel Schutz wie möglich vor externen Bedrohungen. Hardware- und Software-Firewalls verhindern, dass böswilliger Datenverkehr Computer erreicht, die mit dem Netzwerk verbunden sind, bieten jedoch nicht das gleiche Schutzniveau. Jeder hat Vor- und Nachteile.
Hardware-Firewall
Der Router ist die erste Verteidigungslinie gegen potenzielle Bedrohungen. Das Gerät weist jedem Computer, der eine Verbindung zum lokalen Netzwerk herstellt, eine private IP-Adresse zu und verwendet dann einen Prozess namens Netzwerkadressübersetzung, um die privaten Adressen einer einzelnen öffentlichen Adresse zuzuordnen. NAT fungiert als Firewall, die die wahren Adressen der angeschlossenen Geräte verbirgt und steuert, welcher Datenverkehr jeden PC erreicht. Die Firewall beschränkt die Datenübertragung über die meisten Transmission Control Protocol- und User Datagram Protocol-Ports – Pfade, die IP-Pakete durchlaufen müssen, um einen Host zu erreichen – obwohl Unternehmen Ports für kritische Anwendungen öffnen können.
Software-Firewall
Im Gegensatz zu einer Firewall auf einem physischen Routing-Gerät, die alle Computer im LAN schützt, verteidigt eine Software-Firewall nur den Host, auf dem sie installiert ist. Software-Firewalls begrenzen jedoch nicht nur, welcher Datenverkehr einen Computer erreicht, sondern auch, welche Daten das Netzwerk verlassen. Beispielsweise blockieren die meisten dieser Firewalls den TCP-Port 25, den Standardport für das Simple Mail Transfer Protocol, der zum Übermitteln von Nachrichten an einen E-Mail-Server verwendet wird. Mass-Mailing-Würmer missbrauchen Port 25, um Spam an neue Ziele zu senden. Daher besteht eine typische Vorsichtsmaßnahme für Software-Firewall darin, diesen Port zu blockieren, sofern dies nicht ausdrücklich erforderlich ist. Unternehmen, die virtuelle private Netzwerke verwenden, um Remote-LANs über das Internet zu verbinden, benötigen eine Software-Firewall, um zu verhindern, dass Würmer und anderer bösartiger Datenverkehr ein betroffenes Netzwerk verlässt.
Nachteile
Einige NAT-Firewalls sind besser als andere. D-Link beispielsweise ermöglicht Benutzern mehr Kontrolle über die TCP- und UDP-Datenübertragung als einige andere Anbieter; Administratoren können die Firewall so konfigurieren, dass alle eingehenden Anforderungen einer Anwendung zugelassen werden, die bereits eine Verbindung zu einem Host hergestellt hat. Hardware-Firewalls erfordern wenig bis gar keine Einrichtung; Fast alle kommerziellen Router haben NAT aktiviert, sodass Computer geschützt sind, sobald sie mit dem LAN verbunden sind. Software-Firewalls hingegen können eine umfangreiche Konfiguration erfordern. Administratoren müssen jedes auf dem Computer installierte Programm zulassen oder blockieren sowie einschränken, welche Dienste Zugriff auf das Netzwerk haben. Software-Firewalls verbrauchen auch Systemressourcen, was möglicherweise zu Leistungsproblemen auf Low-End-Geräten führt.
Überlegungen
Unternehmen sollten sowohl eine Software- als auch eine Hardware-Firewall verwenden, um die bestmögliche Verteidigung zu gewährleisten. Unternehmen mit einem begrenzten Budget müssen nicht viel für den Endpoint-Schutz ausgeben. Beispielsweise enthält Windows 8 eine integrierte Firewall, die den Zugriff bestimmter Anwendungen, Ports und Dienste auf öffentliche und private LANs einschränken kann. Um Regeln für eingehende und ausgehende Verbindungen zu erstellen, drücken Sie "Windows-W", geben Sie "Firewall" ein und klicken Sie dann auf "Windows-Firewall". Wählen Sie im linken Bereich "Erweiterte Einstellungen". Zur Vereinfachung der Verwaltung können Firmen Firewall-Regeln auch über die Befehlszeile bereitstellen.
