Firewall-Regelwerk lesen und erstellen
Firewall-Regeln zu lesen ist eine Kernkompetenz für FISI-Azubis – und ein häufiges Thema in der IHK-Prüfung. Ein Regelwerk legt fest, welcher Netzwerkverkehr erlaubt, geblockt oder protokolliert wird. Dabei kommt es auf die Details an: Reihenfolge, Richtung, genaue IP-Bereiche und die Default-Regel am Ende. Ein falsch formuliertes Regelwerk kann zu Sicherheitslücken führen oder legitimen Betrieb blockieren.
Regelwerke folgen durchgängig dem First-Match-Prinzip: Die Regeln werden von oben nach unten geprüft; die erste Regel, auf die ein Paket passt, wird angewendet. Was keine Regel trifft, fällt durch die implizite Deny-All-Regel am Ende. Das bedeutet auch: Die Reihenfolge der Regeln ist sicherheitskritisch – eine zu frühe ALLOW-Regel kann eine spätere DENY-Regel wirkungslos machen.
1) Interaktiver Regelwerk-Tester
Das folgende Regelwerk schützt ein typisches Firmennetz mit DMZ. Wähle eine Paket-Kombination aus und prüfe, welche Regel greift und ob das Paket durchgelassen oder geblockt wird. Die treffende Regel wird in der Tabelle hervorgehoben.
| # | Quelle | Ziel | Proto | Port | Aktion | Log |
|---|---|---|---|---|---|---|
| 1 | any | 172.16.1.10 | TCP | 443 | ALLOW | ja |
| 2 | any | 172.16.1.10 | TCP | 80 | ALLOW+LOG | ja |
| 3 | 192.168.0.0/24 | 172.16.1.10 | TCP | 22 | ALLOW | ja |
| 4 | any | 172.16.1.10 | TCP | 3306 | DENY | ja |
| 5 | 192.168.0.0/24 | any | TCP | 443 | ALLOW | nein |
| 6 | 192.168.0.0/24 | any | TCP | 80 | ALLOW | nein |
| 7 | 172.16.1.10 | 192.168.0.0/24 | any | any | DENY | ja |
| 8 | any | any | any | any | DENY | ja |
2) Regeln selbst erstellen
Das Lesen von Regelwerken ist das eine – das Erstellen eigener Regeln das andere. In der IHK-Prüfung wirst du typischerweise aus einem Anforderungstext die passenden Regel-Parameter ableiten müssen. Die Aufgaben unten trainieren genau das.
3) Typische Designprinzipien
| Prinzip | Bedeutung |
|---|---|
| Deny-All-Default | Letzte Regel blockt alles – erlaubt wird nur, was explizit freigegeben ist (Whitelist) |
| Least Privilege | Nur die Ports und IPs erlauben, die tatsächlich benötigt werden |
| Explizit vor implizit | Spezifische Regeln vor allgemeinen – sonst fängt die allgemeine Regel zuerst |
| Bidirektionalität beachten | Für jede erlaubte ausgehende Verbindung braucht es Regeln für Antwortpakete (bei Stateless) |
| Logging für sicherheitskritisch | DENY-Regeln für kritische Ports immer mit Logging – für Forensik und Compliance |
| Regeln regelmäßig reviewen | Veraltete Regeln (für abgeschaltete Systeme) sind Sicherheitsrisiken |
Zusammenfassung
Firewall-Regelwerke arbeiten nach dem First-Match-Prinzip: die erste passende Regel gewinnt. Deny-All als letzte Regel ist Pflicht (Whitelist-Ansatz). Spezifische Regeln stehen vor allgemeinen. Logging für DENY-Regeln auf kritischen Ports ermöglicht Forensik. Die Verbindung zu Zonenkonzepten: Sicherheitszonen und DMZ. Für die Kombination mit Application-Control-Regeln: Next Generation Firewall.