Firewall

Eine Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“) ist eine Netzwerk-Sicherheitskomponente, die Datenverbindungen anhand eines definierten Regelwerks erlaubt oder verbietet.

Das Ziel einer Firewall ist, den Datenverkehr zwischen Netzwerksegmenten mit verschiedenen Vertrauens-Stufen abzusichern. Ein typischer Einsatzzweck ist es, den Übergang zwischen einem lokalen Netzwerk (LAN) (hohes Vertrauen) und dem Internet (kein Vertrauen) zu kontrollieren.

Eine Firewall besteht aus Soft- und/oder Hardwarekomponenten. Hardwarekomponenten einer Firewall sind Rechner mit Netzwerkschnittstellen wie Router oder Hosts; Softwarekomponenten sind beispielsweise Paketfilter oder Proxyserver.

Firewalls sitzen in der Regel an den Schnittstellen zwischen einzelnen Netzen oder Computersystemen und kontrollieren den Datenverkehr zwischen den Teilbereichen, um ungewünschten Verkehr zu verhindern und nur den gewünschten Verkehr passieren zu lassen. Der häufigste Einsatz einer Firewall besteht darin, den Verkehr zwischen einem lokalen Netz (LAN) und dem Internet zu kontrollieren. Ein komplexes Szenario stellt die Demilitarized Zone (DMZ) dar. Prinzipiell rechtfertigt nicht nur der Übergang LAN-Internet den Einsatz einer Firewall. Auch zwischen zwei oder mehreren organisationsinternen Netzen kann eine Firewall verwendet werden, um dem unterschiedlichen Schutzbedarf der Zonen Rechnung zu tragen.

Dementsprechend soll eine Firewall zwei Arten von ungewolltem Datenverkehr verhindern:

• von externen Computersystemen zum geschützten Bereich
• vom geschützten Bereich zu externen Systemen

Üblicherweise wird ein Gerät Netzwerk- oder Hardware-Firewall genannt, wenn es sich um ein dediziertes Gerät handelt, das mindestens zwei Netze voneinander trennt. Diese Geräte sind auch üblicherweise mit dem Begriff „Firewall“ gemeint.

Die Hardwarekomponente besitzt mehrere Netzwerkschnittstellen, an denen jeweils die zu trennenden Netze angeschlossen sind. Dabei unterscheidet man grob drei Netzwerkzonen:

1. externe Netze (WAN), meist das Internet, aber auch Kundennetze. Diese gelten als nicht vertrauenswürdig (kein Vertrauen).
2. die so genannte demilitarisierte Zone (DMZ), in der vom externen Netz aus erreichbare Server beherbergt sind (wenig Vertrauen).
3. das interne Netz (LAN), welches als vertrauenswürdig gilt (hohes Vertrauen).

Die Schnittstellen werden aus Sicherheitsgründen (oft aber wegen der Netzstruktur und damit aus der konzeptionellen Notwendigkeit) zugewiesen, damit gewährleistet ist, dass nur solche Pakete von einem Netz ins andere durchgelassen werden, die von der Software als gültig anerkannt werden.

Größere Firmen haben oft mehrere DMZs mit jeweils unterschiedlichen Rechten, z. B. um die leichter angreifbaren Web- und Mailserver von den Servern mit den Daten für die Außendienstmitarbeiter zu trennen. Ebenso werden oftmals unterschiedliche Diensttypen, sofern sie auf unterschiedlicher Hardware untergebracht sind, in unterschiedlichen DMZs platziert. Die Verwendung von mehreren DMZs begrenzt die Möglichkeiten des Angreifers bei der Kompromittierung einer einzelnen DMZ. Im Extremfall geht dies bis zu einer kompletten Abschottung einer DMZ vom LAN (= Verbindung nur zum WAN).

Hauptartikel: Personal Firewall

Personal Firewalls oder auch Desktop/Software Firewalls sind Programme, die lokal auf dem zu schützenden Rechner installiert sind. Somit ist diese Art von Firewall nicht dafür gedacht, den Verkehr zwischen mehreren Netzen zu kontrollieren, sondern bestimmten Verkehr nicht in den lokalen Rechner hinein- oder hinauszulassen. Die Installation auf dem zu schützenden Rechner erlaubt es auch, anwendungsspezifisch oder nach Benutzerkennungen zu filtern. Viele Produkte legen ihren Schwerpunkt auf einfache Konfiguration. Die Schutzwirkung von Personal Firewalls ist allerdings umstritten, da sie zwar einserseits unerwünschten Datenverkehr erschweren, andererseits aber auch durch Fehler im eigenen Code den Rechner unsicher machen könnten.

Die Softwarekomponente der Firewall arbeitet auf den Schichten 2 bis 7 des OSI-Referenzmodells, und demzufolge kann das Implementationsniveau sehr unterschiedlich ausfallen. Deswegen besteht eine Firewall oft aus verschiedenen Softwarekomponenten. Die verschiedenen Technologien (Teile) sollen hier kurz beschrieben werden:

Hauptartikel: Paketfilter

Die einfache Filterung von Datenpaketen anhand von Ziel-Port (Protokoll), Quell- und Ziel-Adresse ist die Grundfunktion aller Netzwerk-Firewalls. Die Prüfung erfolgt anhand eines vom Firewall-Administrator definierten Regelwerks. Übliche Regeln sind z. B.:

• Aus dem Internet sind zum Mailserver in der DMZ Mail-Dienste (SMTP, POP3 und IMAP) erlaubt
• Der Mailserver darf aus der DMZ in das Internet Mails per SMTP verschicken und DNS-Anfragen stellen
• Aus dem Lokalen Netz sind Administrations-Dienste (SSH, Remote Desktop, Backup) zum Mailserver erlaubt
• Alle anderen Pakete in oder aus der DMZ werden in eine Logdatei geschrieben und danach verworfen

Diese rudimentäre Filterung beherrschen heutzutage auch die meisten Router und gute Switche.

Hauptartikel: Stateful Packet Inspection

Stateful Inspection (Zustandsgesteuerte Filterung) ist eine erweiterte Form der Paketfilterung. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem einen Datenpaket entschieden wird, ob es gültig ist oder nicht. Die zustandsgesteuerte Filterung (auch als SPI oder "Stateful Packet Inspection" bezeichnet) merkt sich dagegen den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise IP-Adressen und Ports) und kann ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem Proxy wird aber die Verbindung selbst nicht beeinflusst.

Eine Application-Layer-Firewall beachtet zusätzlich zu den reinen Verkehrsdaten wie Quelle, Ziel und Dienst auch noch den Inhalt der Netzwerk-Packete (Schicht 7 / Applikationsschicht des ISO-OSI-Modell). Deshalb kann die Firewall mit Hilfe eines Content-Filters die Nutzdaten auswerten oder nicht erwünschte Anwendungsprotokolle (zum Beispiel Filesharing) blockieren.

Siehe auch Web Application Firewall

Einsatzgebiete eines Content-Filter können zum Beispiel sein:

• Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten
• Filtern von vertraulichen Firmeninformationen (z. B. Bilanz)
• Sperren von unerwünschten Webseiten anhand von Schlüsselwörtern
• Blockieren von Viren oder Trojanern in Webseiten

Die meisten Systeme lassen nur die Definition von sehr einfachen Regeln zu; das Problem ist aber prinzipiell sehr komplex und das Konzept ist eventuell technisch nicht vollständig umsetzbar (sollen z. B. wirklich sicher und vollständig vertrauliche Informationen aus dem Datenverkehr zu nicht autorisierten Systemen herausgefiltert werden, so müsste u. a. das technische Problem gelöst werden, wie vertrauliche steganografische oder verschlüsselte Informationen erkannt und gefiltert werden sollen).

Trotz der in aktuellen Firewall-Systemen recht einfach gestalteten Regeln kann deren Ausführung sehr komplex werden: Häufig müssen einzelne Pakete zusammengesetzt werden, damit der betrachtete Datenverkehr (z. B. HTML-Seite) als Ganzes erkannt, durchsucht und eventuell verändert werden kann. Anschließend muss der Datenverkehr wieder in einzelne Pakete zerteilt werden und kann dann weitergeschickt werden.

Hauptartikel: Proxy

Die meisten Application-Level-Firewalls setzen integrierte Proxys ein. Ein Proxy baut stellvertretend (daher auch der Name: Proxy = Stellvertreter) für die LAN-Clients die Verbindung zu Servern im Internet auf. Von außen ist nur die IP-Adresse und der/die Port(s) des Proxys sichtbar. Die Struktur des LANs ist damit aus dem Internet nicht erkennbar. Die Clients fordern Inhalte beim Proxy an. Dieser holt sie bei Bedarf aus dem Internet oder direkt aus seinem Cache (Zwischenspeicher). Da die Inhalte dabei vollständig auf dem Proxy zwischengespeichert werden, können sie entsprechend analysiert werden, zum Beispiel durch Virenscanner und Content-Filter. Firewallsysteme unterscheiden sich stark in der Anzahl und Art der von Proxys unterstützten Protokolle (z. B. FTP, DNS, HTTP, SMTP, POP3, MS-RPC usw.) sowie ggf. vorhandenen Konfigurationsmöglichkeiten für diese Proxys. Ohne Proxy-Konzept sind die Möglichkeiten der Protokollauswertung sehr begrenzt, da ein aktives Eingreifen in den Datenstrom sich auf Verbindungsabbruch/Blacklisting beschränkt. Viele Firewalls mit Proxy können darüber hinaus unerwünschte Protokolloptionen verbieten, etwa in einer SMTP-Transaktion kein BDAT, VRFY o. Ä. zulassen.

Hauptartikel: Intrusion Detection System und Intrusion Prevention System

„Intrusion Detection Systeme“ und „Intrusion Prevention Systeme“ werden immer öfter in eine Firewall integriert. Da IDS einen Einbruchversuch in ein System nur an Hand von Kommunikationsmustern (zum Beispiel Portscans) aufdeckt ist es aber wohl nicht wirklich als Firewalltechnologie anzusehen. IPS hingegen ist als tatsächliche Firewalltechnologie anzusehen, da hierbei nach dem Erkennen eines Einbruchsversuches Gegenmaßnahmen getroffen werden (zum Beispiel das zeitlich begrenzte Sperren einer IP-Adresse).

Im Regelwerk einer Netzwerk-Firewall wird definiert, welcher Verkehr erlaubt und welcher verboten ist. Die Regeln werden für jedes Paket (bei Stateful Firewalls für jede neue Verbindung) der Reihe nach geprüft und die erste zutreffende Regel wird angewendet.

Eine Firewall-Regel setzt sich in der Regel aus sechs Komponenten zusammen:

1. Absender-IP-Adresse (auch Netzwerk-Adressen wie z. B. 192.168.0.0/24)
2. Ziel-IP-Adresse
3. Netzwerkprotokoll (TCP, UDP, ICMP, …)
4. Port-Nummer (bei TCP und UDP)
5. Aktion (erlauben, verwerfen oder ablehnen)
6. Loggen ja/nein

Machen Firewall-Systeme bieten darüber hinaus noch die Möglichkeit einzelne Regeln zu kommentieren oder ihnen einzigartige Nummern zuzuweisen, damit man die Einträge in den Log-Dateien den entsprechenden Regel zuordnen kann. Bei grösseren Regelwerken sind auch Systeme praktisch, in denen sich Adresse oder Dienste in Gruppen zusammenfassen lassen.

Das Regelwerk einer Firewall sollte dabei immer so aufgebaut sein, dass grundsätzlich jeder Netzwerk-Verkehr verboten ist und die erwünschten Verbindungen erlaubt werden. Die andere Variante, nur unerwünschten Verkehr zu verbieten und alles andere zu erlauben, kann im schnellen Wandel der IT-Welt niemals als sicher betrachtet werden.

Außerdem sollte jedes Regelwerk eine Regel enthalten, die alle Verbindungen zu der Firewall selber verbietet, ausgenommen der Administrations-Dienste. Den Grund liefert folgendes Beispiel:

• Die Firewall hat auf einem Interface IP-Adresse 10.0.0.1
• Es gibt eine Regel, die allen Firmen-PCs SSH-Verbindungen zu den Servern im Netz 10.0.0.0/24 erlaubt.

Da 10.0.0.1 auch ein Teil von 10.0.0.0/24 ist, dürften alle Firmen-PCs auf den SSH-Port der Firewall zugreifen.

Die Absender- und Ziel-Adressen sollten immer numerisch und nicht als DNS-Name angegeben werden um verhindern, dass ein Angreifer durch Änderungen im DNS auf das Regelwerk Einfluss nehmen kann.

Beim blockieren gibt es zwei Möglichkeiten mit spezifischen Vor- und Nachteilen:

1. Verwerfen des Pakets, der sendende Rechner bekommt keine Nachricht darüber, dass sein Verbindungsversuch blockiert wurde. (DROP)
2. Ablehnen, der Sender bekommt mitgeteilt, dass die Verbindung abgelehnt wurde. (DENY)

Das Ablehnen hat den Nachteil, dass das Netz zusätzlich noch mit den Ablehungs-Paketen belastet wird, insbesondere bei Denial of Service-Angriffe kann dies eine erhebliche Rolle spielen. Außerdem muss darauf geachtet werden, dass dies bei Paketen mit gefälschtem Absender nicht zu unerwünschten Nebenwirkungen führt. Der Nachteil des Verwerfens ist, dass der Sender erst nach einem Timeout von dem missglückten Verbindungsversuch erfährt.

Die oft noch propagierte Meinung, das Verwerfen statt Ablehnen würde bei der Verbreitung von Spam helfen^[1], wird von vielen Firewall-Administratoren als veraltet angesehen. Das Ident-Protokoll ist kaum noch im Einsatz und die Nachteile bei einem Denial of Service Angriff überwiegen die Vorteile bei weitem. Die meisten Firewalls im Internet sind auch auf Verwerfen eingestellt.

Datei:Konzeptioneller Aufbau einer Firewall.png

Ein einfaches Konzept soll diese trockene Materie verdeutlichen: Eine Firma möchte ihre Arbeitsplatzrechner ins Internet bringen. Man entscheidet sich für eine Firewall, und aufgrund der Viren-/Würmergefahr dürfen die Arbeitsplatz-PCs nicht auf Webseiten zugreifen sondern nur Verbindungen zu einem Mail-Server aufbauen. Damit auch eine Recherche im Internet möglich ist, gibt es einen dedizierten Surf-Rechner, der über einen Proxy Zugriff zu Webseiten erhält. Der Surf-Rechner wird zusätzlich dadurch geschützt, dass ActiveX aus den angeforderten HTML-Seiten aus Sicherheitsgründen herausgefiltert wird.

Sonstige Zugriffe von außen auf das Firmennetz sollen einfach geblockt werden. Wichtig ist, dass in dieser Konstellation die Arbeitsplatzrechner selbst keinerlei direkte Verbindung zum Internet aufbauen können. Damit können einmal eingeschleuste Schadprogramme sich nur weiter verbreiten oder weitere Schädlinge aus dem Internet nachladen, wenn sie erstmal den Proxy oder den Mailserver finden – zum Glück können das (derzeit) die Schädlinge meist nicht.

Das Regelwerk einer Firewall mit Stateful Inspection würde in diesem Beispiel folgendermaßen aussehen:

1. Die Quellen 10.0.0.2 und 10.0.0.3 (Arbeitsplatzrechner) dürfen zum Ziel "Mailprovider" per IMAP (Mails abholen) und SMTP (Mails senden) zugreifen
2. Quelle 10.0.0.1 (Surfrechner) darf über den Proxy auf beliebige Ziele mit den Diensten HTTP (Webseiten herunterladen) und HTTPS zugreifen (ActiveX wird dabei gefiltert)
3. Alle anderen Kommunikationsversuche werden verworfen

Weitere Beispiele finden sich im Artikel: Demilitarized Zone

Die meisten Firewalls ermöglichen es mit Hilfe von Network Address Translation (NAT) oder Masquerading mehrere Rechner über einen Router ins Internet zu bringen. Dadurch ist es möglich mit Privaten IP-Adressen (z. B. aus den Netzen 192.168.0.0/16 oder 10.0.0.0/8) Verbindungen ins Internet aufzubauen.

Durch die Funktionsweise von NAT ist damit automatisch ein Verbindungsaufbau aus dem Internet zu den Rechnern hinter dem Router unmöglich, wodurch bereits eine gewisse Sicherheit erreicht wird. Die Sperre lässt sich durch geeignete Konfiguration (meist Port Forwarding oder DMZ genannt) aufheben was z. B. für manche VPN- oder Peer-to-Peer-Verbindungen notwendig ist.

Durch die Bedeutung des Internets sind Firewalls in vielen Firmen mittlerweile zu kritischen Netzwerk-Komponenten geworden und stellen teilweise sogar einen Single Point of Failure für wichtige Geschäftsprozesse dar. Daher wird durch Hochverfügbarkeits-Techniken wie Failover- oder Cluster-Betrieb versucht das Risiko einer Downtime zu reduzieren. Ein weiterer Vorteil dieser Techniken ist, dass einzelne Firewalls auch zu Wartungszwecken abgeschaltet werden können, ohne die Verbindung zu gefährden.

Zur Umsetzung werden oft die gleichen Lösungen wie bei hochverfügbaren Routern eingesetzt (HSRP, VRRP oder CARP).

Für den Failover-Fall gibt es zwei Möglichkeiten, wie die übernehmende Statel Inspection-Firewall mit den bestehenden Verbindungen umgeht:

1. Alle Firewalls synchronisieren permanent ihre dynamische Verbindungstabellen untereinander, damit ist jede Firewall in der Lage alle Verbindungen korrekt zuzuordnen.
2. Es findet kein Abgleich statt, aber alle bestehenden Verbindungen werden von der übernehmenden Firewall nochmals gegen das Regelwerk geprüft. Diese Lösung ist einfacher, bereitet aber Probleme bei komplexen Protokollen wie passivem FTP. Da die hierbei ausgehandelten Ports für die Daten-Verbindungen zufällig sind, kann die übernehmende Firewalls diese Pakete keiner Regel zuordnen und wird sie verwerfen.

Eine Synchronisation der Verbindungstabellen bieten u. a. die Firewalls von Check Point, OpenBSD (über pf_sync) und Linux (über ct_sync).

Moderne Firewalls unterstützen Virtual Local Area Networks (VLANs), d. h. an einem physischen Netzwerk-Port lassen sich über einen Switch mehrere logische Netze erreichen.

Vorteile:

• An die Firewall lassen sich mehr Netze anschließen, als physikalische Limit an Netzwerk-Interfaces erlaubt
• Die Benutzung von VLANs ist unter Umständen billiger als weitere Netzwerk-Interfaces zu kaufen
• Die Verbindung neuer Netze ist nur noch eine Konfiguration von Firewall und Switch, es müssen keine neuen Kabel gezogen werden

Nachteile:

• Die Trennung der verschiedenen Netze ist nicht mehr allein unter der Hoheit der Firewall sondern auch beruht auch auf dem eingesetzten Switch. Sicherheitsprobleme könnten auftauchen, durch einen falsch konfigurierten Switch, einer fehlerhaften Implementierung der VLAN-Trennung oder durch einen Einbruch in die Administration des Switches.

Obwohl es möglich ist manche Firewalls auch als Bridge zu betreiben, funktionieren die meisten als Router. Die Routing-Funktionalität hängt vom eingesetzten Betriebssystem ab, genauso die Routing-Protokolle (z. B. RIP oder OSPF) die benutzt werden können. Diese sollten aber nur zum Einsatz kommen, wenn dies unbedingt nötig ist, da sie das System im Gegensatz zu einer statischen Routing-Tabelle eher angreifbar machen.

Genauso wie das Routing hängt die IP-Multicasting-Fähigkeit einer Firewall vom Betriebssystem ab. Die Regeln werden ganz normal mit den Multicast-Adressen (224.0.0.0–239.255.255.255) eingetragen.

Eine wichtige Funktion von Firewalls ist das Verhindern von IP-Spoofing. Da die Filterung sich wesentlich an den IP-Adressen orientiert, muss so gut wie möglich sichergestellt werden, dass diese nicht gefälscht sind. Firewalls sollten daher eine Möglichkeit bieten, bestimmten Netzwerk-Schnittstellen bestimmte IP-Adressen und Netze zuordnen zu können. Der Internet-Schnittstelle werden dann alle IP-Adressen, außer den anderweitig genutzten zugeordnet.

Verfügt die Firewall über keine Anti-Spoofing Funktionalität ist eine Regel, die auf der Internet-Schnittstelle alle Pakete von und an Private IP-Adressen (RFC 1918) verwirft sinnvoll.

Obwohl die Zuordnung von IP-Netzen zu bestimmten Netzwerk-Schnittstellen eigentlich eindeutig sein sollte, treten in der Praxis manchmal Probleme auf mit Servern, die mehrere Netzwerk-Karten und IP-Adressen besitzen. Eine weitere Fehlerquelle sind Routing-Loops, also Pakete die auf Hin- und Rückweg unterschiedliche Routen nehmen.

Da der Filterung anhand von IP-Adressen wegen potenziellem IP-Spoofing niemals vollständig vertraut werden kann bieten manchen Firewalls die Möglichkeit sich zu authentifizieren und erst dann bestimmte Regeln zeitbeschränkt freigeschaltet zu bekommen. Für eine starke Authentifizierung bietet zum Beispiel die Check Point Firewall-1 die Kompatibilität zu den SecurID-Token der Firma RSA Security.

• Schutz vor SYN-Flooding z. B. durch SYN-Cookies
• Verwerfen von Fehlerhaften Paketen (z. B. widersprüchliche TCP-Flags)
• Schutz vor Ping of Death, Smurf-Attacke, Teardrop oder Land-Attacken
• Endpunkt für VPN-Verbindungen

Das Durchtunneln ist eine Methode um die Kontrolle einer Firewall zu umgehen, meist von einem sicheren Netz in ein unsicheres Netz. Methoden zum Tunneln:

• SSH- oder OpenVPN-Tunnel
• Verwendung eines Dienstes auf einer dafür nicht vorgesehenen Port-Nummer
• Spezielle Tunnel-Software für Protokolle wie DNS^[2] oder ICMP
• Tunnelung über HTTP-Proxies

Insbesondere Skype ist ein Beispiel dafür, wie gut sich die meisten Firewalls von innen nach außen umgehen lassen.^[3]

Solange die Benutzer aus dem internen Netz die Möglichkeit haben per HTTPS auf Webseiten zuzugreifen, hat der Firewall-Administrator durch die Verschlüsselung technisch eigentlich kaum noch eine Chance eine Durchtunnelung zu verhindern. Daher sollten die technischen Sicherheitsmaßnahmen durch organisatorische unterstützt werden, z. B. einem Verbot in der Security Policy.

Fast alle DSL-Router sind heute NAT-fähig. Weil der Verbindungsaufbau ohne weitere Konfiguration nur in das Internet möglich ist, wird diese Funktionalität von manchen Herstellern bereits als NAT-Firewall bezeichnet.

Zusätzlich verfügen die meisten DSL-Router auch über einen rudimentären Paketfilter, teilweise auch stateful. Das Betriebssystem auf die Routern ist meistens Linux und als Firewall kommt dabei iptables zum Einsatz. Einen Content-Filter enthalten solche Produkte zumeist nicht.

Voice over IP (VoIP) und Videokonferenzen sind für Stateful Firewalls nicht trivial da meist mehrere verschiedene Protokolle (z. B. für Anrufsignalisierung, Tonübertragung, Bildübertragung, Application-Sharing) und Teilnehmer (Anrufer, Angerufener, Telefonanlagen, Konferenzschaltung) involviert sind. Manche kommerzielle Firewalls verstehen die VoIP-Protokolle (SIP oder Skinny) und sind daher in der Lage Ports dynamisch zu öffnen.

Siehe auch Session Initiation Protocol

• Astaro Security Linux ist eine kommerzielle Linux-Distribution für Firewall-Systeme.
• BrazilFW ist eine selbst auf älteren PCs lauffähige Linux-Firewall, die sich auch mit einer Diskette begnügen kann.
• Check Point Firewall 1 ist eine kommerzielle Firewall-Applikation die auf Unix, Windows und Nokia-Appliances läuft
• Cisco PIX
• Cisco Firewall Service Module (FWSM) für Catalyst Switche
• Endian Firewall ist eine Open Source Linux-Distribution für Firewall-Systeme.
• Der Eindisketten-Router fli4l ist neben der CD-Variante Gibraltar ein Projekt, das im Sinne einer nachhaltigen Nutzung die Verwendung von alten PCs als Firewall gestattet.
• gateProtect ist eine kommerzielle Linux-Distribution für Firewall-Systeme mit ergonomischer Bedienerführung.
• Gibraltar ist eine für Privatuser kostenlose und von CD lauffähige Linux-Distribution für Firewall-Systeme.
• IPCop ist eine einfach zu bedienende Linux-Distribution, die zum Ziel hat, eine durch und durch sichere Firewall zu sein.
• ipfw ist ein Paketfilter des FreeBSD-Betriebssystems, als wipfw auch für Windows-Systeme verfügbar.
• Netfilter / IPTables – Paketfilter innerhalb des Linux-Kernels.
• Juniper Netscreen
• LiSS ist eine leistungsfähige und flexible UTM-Appliance.
• M0n0wall ist eine BSD basierende Firewall, die teilweise mit ihren Funktionen an Profi-Firewalls herankommt und trotzdem sehr einfach zu konfigurieren ist.
• Microsoft Internet Security and Acceleration Server ist eine kommerzielle Firewall von Microsoft.
• Nokia verkauft Netzwerk-Appliances (IP-Serie) mit dem eigenen Betriebssystem IPSO. Diese sind für die Check Point-Software optimiert und haben mit VRRP bereits eine Hochverfügbarkeitslösung eingebaut
• pf ist eine OpenSource-Firewall die ursprünglich für OpenBSD (Berkeley Software Distribution) entwickelt und später auf andere BSD-Betriebssysteme portiert wurde.
• Securepoint ist eine kommerzielle Linux-Distribution für Firewall-Systeme.
• Shorewall
• SME Server ist eine auf Open Source Software basierende Firewall welche auch Serverfunktionen zum Einsatz im SOHO-Bereich enthält.
• Smoothwall ist eine für Firewall-Systeme optimierte Linux-Distribution.
• Sonicwall
• WatchGuard

• Computersicherheit
• Große Firewall Chinas
• Air Gap

1. ↑ Lutz Donnerhacke: Drop oder Deny in de.comp.security.firewall FAQ
2. ↑ Eine Firewall mit Hilfe eines DNS-Tunnels umgehen
3. ↑ Jürgen Schmidt: Der Lochtrick, Wie Skype & Co. Firewalls umgehen In: c't 17/06, Seite 142

• Artymiak, Jacek: Building Firewalls with OpenBSD and PF, 2nd ed. devGuide.net, Lublin, 2003, ISBN 83-916651-1-9
• Barth, Wolfgang: Das Firewall-Buch. Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux. Millin-Verl., Poing, 2004, ISBN 3-89990-128-2
• Lessing, Andreas: Linux-Firewalls – Ein praktischer Einstieg 2. Auflage, O’Reilly, 2006, ISBN 3-89721-446-6 (Download der LaTeX-Quellen)
• Cheswick, William R. u. a.: Firewalls and internet security. Repelling the Wily Hacker. Addison-Wesley, Boston, Mass., 2003, ISBN 0-201-63466-X
• Strobel, Stefan: Firewalls und IT-Sicherheit. Grundlagen und Praxis sicherer Netze. dpunkt-Verl., Heidelberg, 2003, ISBN 3-89864-152-X
• Zwicky, Elizabeth D. u. a.: Einrichten von Internet Firewalls. Behandelt Unix, Linux, Windows NT. O’Reilly, Beijing 2001, ISBN 3-89721-169-6

• Special: Firewall-Techniken Grundlagenartikel mit Tipps
• computec.ch – Freie deutschsprachige Publikationen zum Thema Firewalling
• Firewall im Habo-WiKi Detaillierte Konzepte & Erklärungen zum Thema Firewall