Zugegeben, es ist nicht ganz einfach den „wirklichen“ Unterschied zu erklären. Es gibt so viele Firewalls die sich Application Level auf die Fahne schrieben aber es bei genauer Betrachtung gar nicht sind. Um hier Klarheit zu schaffen was ein echtes Application Level Gateway ist und was nicht, soll dieser Artikel hier im Blog beitragen
Im Grunde genommen ist der Unterschied schnell erklärt: Nur wenn Securcomputing Sidewinder drauf steht ist auch ein echtes Application Level Gateway drin. Bei allen anderen nicht. Aber so einfach möchte ich es mir dann doch nicht machen und möchte in diesem Artikel die Unterschiede aufzeigen.
Die klassische Firewall ist ein IP Paket Filter die anhand von Quelle, Ziel, Quellport und Zielport darüber entscheidet ob ein Paket das System passieren darf oder nicht. Die nächste Stufe ist die Erweiterung um den Status der Pakete und der Initiierung der Verbindung. Die Bezeichnungen sind häufig „Statefull Inspection“ und „Connection Tracking“ und stellen heute den Standard bei Paketfiltern dar. Selbst einfache Modem/Router-Kombinationen, wie zum Beispiel eine Fritz!Box, weisen diese Funktionalität auf. Dahinter verbirgt sich ein iptables von Linux oder der pf von xBSD. Darauf basieren auch fast alle Firewallsystem der Hersteller.
Manche Hersteller erweitern ihre System um ein wenig tiefer gehende Kontrolle der Pakete bei bestimmten Protokollen, wie http, ftp, usw.. Dann jedoch lassen die Durchsatzraten stark nach und eine wesentliche Verbesserung der Sicherheit erreicht man jedoch nicht. Selbstverständlich sind Paketfilter immer noch ein wesentlicher Teil in einer Sicherheitsstruktur und haben nach wie vor wichtige Aufgaben zu erfüllen. Nur sind sie keine Application Level Gateways, auch wenn einige Hersteller dies vielleicht gerne so sehen. Es steht zwar drauf, aber es handelt sich nur um einen Packetfilter mit einem einfachen Proxy-Dienst oder mit einer Erweiterung der Paketanalyse. Aber eine wichtige Funktion fehlt, die Application Defensives für die Proxies des Application Level Gateways.
Diese machen den kleinen aber sehr wichtigen Unterschied aus. Hier lassen sich die Dinge einstellen die ein wirkliches Application Level Gateway von einem Packetfilter mit Proxy-Dienst unterscheiden. Auch die Anzahl der möglichen Application-Proxies gehen auf einem echten Application Level Gateway weit über smtp, http und DNS hinaus.
Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich einfach an uns.