Paketfilter-Firewall
Die Paketfilter-Firewall ist das älteste und verbreitetste Firewall-Konzept. Sie arbeitet auf den OSI-Schichten 3 und 4 – prüft also IP-Adressen, Ports und Protokolle – und entscheidet für jedes eingehende oder ausgehende Paket: durchlassen oder verwerfen. Die Entscheidung basiert auf einem Regelwerk, das von oben nach unten abgearbeitet wird. Die erste passende Regel gewinnt.
Das Prinzip klingt einfach, hat aber eine entscheidende Schwäche: Der Paketfilter kennt keinen Verbindungskontext. Er sieht jedes Paket isoliert und kann nicht unterscheiden, ob ein eingehendes Paket eine erwartete Antwort auf eine interne Anfrage ist oder ein fremder Verbindungsaufbau von außen. Dieses Problem löst erst die Stateful Inspection.
1) Das Regelwerk: wie Paketfilter entscheiden
Jede Regel definiert eine Kombination aus Quell-IP, Ziel-IP, Protokoll und Port sowie die Aktion (ALLOW oder DENY). Das Regelwerk wird sequenziell geprüft – die erste passende Regel entscheidet. Am Ende steht immer eine implizite Deny-All-Regel: Was nicht explizit erlaubt ist, wird geblockt. Die folgende Tabelle zeigt ein typisches Regelwerk für einen DMZ-Webserver.
| # | Quelle | Ziel | Proto | Port | Richtung | Aktion |
|---|---|---|---|---|---|---|
| 1 | any | 192.168.10.10 | TCP | 443 | eingehend | ALLOW |
| 2 | any | 192.168.10.10 | TCP | 80 | eingehend | ALLOW |
| 3 | 10.0.0.0/8 | 192.168.10.10 | TCP | 22 | eingehend | ALLOW |
| 4 | 192.168.10.10 | any | TCP | 443 | ausgehend | ALLOW |
| 5 | 192.168.10.10 | 10.0.0.0/8 | any | any | ausgehend | DENY |
| 6 | any | any | any | any | any | DENY (implizit) |
2) Paket-Simulator: Regelwerk testen
In der Praxis – und in der IHK-Prüfung – musst du für ein gegebenes Paket ermitteln, welche Regel greift und ob es durchgelassen oder geblockt wird. Der Simulator unten arbeitet das obige Regelwerk für beliebige Pakete durch. Probiere verschiedene Kombinationen aus und beobachte, welche Regel als erste greift.
–
–
3) Eigenschaften und Grenzen des Paketfilters
| Eigenschaft | Details |
|---|---|
| OSI-Schicht | Schicht 3 (IP) und 4 (TCP/UDP) – kein Anwendungsinhalt |
| Geschwindigkeit | Sehr schnell – kaum Latenz, Wire-Speed möglich |
| Kein Verbindungskontext | Jedes Paket wird isoliert betrachtet – keine Session-Awareness |
| IP-Spoofing | Quell-IP kann gefälscht sein – kein Authentizitätsbeweis |
| Kein Inhaltsfilter | Schadcode in HTTPS-Traffic bleibt unsichtbar |
| Einsatz heute | Basis aller Firewalls; in iptables/nftables (Linux), ACLs (Cisco) direkt sichtbar |
Zusammenfassung
Der Paketfilter entscheidet anhand von IP, Port und Protokoll über jedes Paket – ohne Verbindungskontext. Regelwerke werden von oben nach unten abgearbeitet; die erste treffende Regel entscheidet. Das Whitelist-Prinzip (Deny-All als letzte Regel) ist Standard. Die fehlende Session-Awareness ist die zentrale Schwäche: Sie wird durch Stateful Inspection behoben. Für die Erstellung vollständiger Regelwerke: Firewall-Regelwerk lesen und erstellen.