ComputerBase Menü
Aktuelles

Hardwarefirewall bester als die Softwarefirewall?

ich denke ein vorteil einer hardwarefirewall ist sicherlich die spezialisierung auf eine funktion und daraus folgt auch eine geringere angriffsfläche, z.b. dadurch, dass man dort nicht so ohne weiteres software nachinstallieren kann. zudem schützt ein hardwarefirewall jederzeit, während live-CDs, der systeminstallation...
 
Andreas75 schrieb:
ganz allgemein: die hardwarefirewall kümmert sich um protokolle am gateway, die softwarefirewall ist für die anwendungen am client zuständig
Zum Vergrößern anklicken....

Allgemein: Kein Privatanwender nutzt echte Hardware-Firewalls; sondern lediglich Software-Firewalls, die aber nicht auf dem Rechner, sondern dem Router installiert sind. Echte Hardware-Firewalls kosten ein Vermögen.

Von daher ist die gesamte Diskussion in den seit Jahren viel zitierten (und dadurch nicht richtiger werdenden) Beiträgen völlig absurd, weil sowohl Client- wie auch Router-Firewalls Software-Firewalls sind. Sie unterscheiden sich lediglich darin, wo sie installiert sind; und je nach Malware oder Angriff lässt sich die Firewall auf einem Router genauso abschalten wie auf dem Client-Rechner (schließlich lässt sich jeder Router über eine Weboberfläche konfigurieren; und dort lässt sich auch die Firewall abschalten) ...

Außerdem erfüllen die beiden Arten von Firewalls komplett unterschiedliche (komplementäre) Funktionen, die sich gar nicht (zuverlässig) von nur einer der beiden umsetzen lassen:

  • Router-Firewalls schützen sicherer vor An- und Zugriffen von außen, weil es deutlich schwerer ist, sie abzuschalten (keine üblichen Schwachstellen im Betriebssystem oder Anwendungen; sobald aber ein Router Server-Funktionen hat, kann das wieder ganz anders aussehen). Außerdem erreichen gefilterte Verbindungen nie den Rechner.
  • Client-Firewalls sind gut für die Regelung, was von innen nach außen geht (Router-Firewalls wissen nicht, welche Prozesse den Traffic erzeugen).

Ohne Client-Firewall (bzw. Programme mit derartigen Funktionen, wie das bei FritzBoxen üblich ist) kann man also nicht einrichten, dass z.B. der Firefox ins Netz darf, der Internet Explorer aber nicht (eine programmspezifische Whitelist ist nicht möglich).

Was den Schutz vor Angriffen angeht, ist eine Router-Firewall vorzuziehen; programmspezifische Regeln (und damit der Schutz vor unerwünschtem Netzwerkkontakt durch Trojaner und Malware allgemein) sind aber nur mit Client-Firewalls möglich.

Insgesamt sollte aber sowieso jeder einen Router mit Firewall nutzen; ggf. zusätzlich (wenn die Kontrolle des Traffics gewünscht wird) noch eine Client-Firewall zur Feinjustierung. Ich sehe keinen guten Grund dafür (aber viele dagegen), ein Modem zu benutzen.
 
Zuletzt bearbeitet:
Scheinwelt, so ins detail sollte die diskussion garnicht gehen, ob auf "dem internet-router" nun ein embedded linux oder in hardware gegossene paketfilter arbeiten, der effekt ist ja derselbe ;-)
 
Ich mag es zu lesen, wie detailliert Scheinweltname sich immer ausdrückt... Sowas kann ich nicht. Ich verstehe nur, daß es besser ist, die Gefahren abzuwehren, bevor diese überhaupt den Rechner erreichen. Das geht aber nur, wenn man bei der Internet-Nutzung "Brain" einschaltet.

@Scheinweltname: Hast du einen guten Link, wo ich nachlesen kann, was genau eine richtige Hardware-Firewall anders macht als eine Software-Firewall? Mir ist klar, wenn ich meinen Router flashe, daß ich eine Software aufspiele. Aber kann eine ins ROM geflashte Software von aussen manipuliert werden?
Fälschlicherweise werden Router-Firewalls ja oft mit Hardware-Firewalls gleichgesetzt... auch ich erliege diesem Irrtum von Zeit zu Zeit :)
 
Zuletzt bearbeitet:
Oli_P schrieb:
@Scheinweltname: Hast du einen guten Link, wo ich nachlesen kann, was genau eine richtige Hardware-Firewall anders macht als eine Software-Firewall?
Zum Vergrößern anklicken....
wenn ich das Wort "Hardware-Firewall" höre, denke ich an sowas: http://geizhals.at/a438815.html
Aber was derartige Firewalls genau von einer Router-Firewall unterscheidet ... öhm ... :lol:

Oli_P schrieb:
Mir ist klar, wenn ich meinen Router flashe, daß ich eine Software aufspiele. Aber kann eine ins ROM geflashte Software von aussen manipuliert werden?
Zum Vergrößern anklicken....
Man kann das BIOS eigentlich jeder Hardware per Software flashen, oder irre ich mich? Es dürfte aber wohl nur wenig Malware geben, die das für Privat-Nutzer-Router versucht; aber das hat es auch schon gegeben: U.a hatte Malware ausgenutzt, dass Router früher mit einfachen Standard-Passwörtern (Login: Admin PW:Admin) verkauft wurden.

Insgesamt ist das Risiko dramatisch erhöht, wenn man während des Surfens mit dem Browser die Router-Konfiguration geöffnet hat. Deswegen verbiete ich allen Programmen diese Verbindung zum Router - logischerweise per Client-Firewall ;).

http://www.heise.de/security/artikel/Angriffe-auf-Router-271002.html
http://www.heise.de/security/meldung/Router-Zugang-durch-die-Hintertuer-1049178.html

Ich gehe mal davon aus, dass die teuren Business-Firewalls auch gegen solche Dinge besser geschützt sind.
Andererseits: Je weiter verbreitet das Betriebssystem solcher Firewalls ist und je mehr große Unternehmen sie einsetzen, desto verlockender werden Angriffe natürlich auch für Hacker.

Ist aber eh schnuppe: Für normale Nutzer reicht die Router-Firewall zum Schutz vor Angriffen bzw. - viel wichtiger - dem Überwachen offener Ports völlig aus.

Firewalls müssen folgende Kriterien erfüllen:
  • den Rechner im Internet unsichtbar machen
  • unerwünschte Zugriffe von außen blockieren
  • Ports zuverlässig verwalten (z.B. öffnen/ schließen, wenn man z.B. Online-Spiele hostet o.ä.)
  • Allgemeine Zugriffsrechte auf Netzwerkressourcen (im Heimnetzwerk oder Internet) regulieren
    Und im besten Falle erreichen die blockierten Verbindungen niemals den eigenen Rechner (daher sind hierfür nicht-Client-Firewalls vorzuziehen).

Für mich sind aber auch diese Funktionen unerlässlich:
  • die Möglichkeit, Programm-spezifische Regeln zu erstellen/ einen Whitelist-Modus aktivieren zu können
  • unerwünschte Zugriffe von innen nach außen blockieren

Für Ersteres läuft bei mir die Router-Firewall, für Letzteres die sehr zuverlässige Windows 7-Firewall und (ja nach Rechner) zusätzlich die Firewall von Kaspersky Internet Security 2012 (fällt bei mir des Öfteren aus, deswegen vertraue ich ihr nicht komplett. Dann bin ich froh, dass die Win7-Firewall 1.) noch nie ausgefallen ist und 2.) der KIS-Firewall übergeordnet ist, sodass sie den Traffic vorfiltert, bevor die KIS-Firewall drankommt).
 
Zuletzt bearbeitet:
Heldensteiner schrieb:
Aber man muss auch wieder sagen dass sich 2 Firewalls auf einem System wieder stören:freak:
Zum Vergrößern anklicken....
Je nachdem, wie die Filterung des Netzwerktraffic durch die Firewall gelöst ist (z.B. ein eigener Filter für die Netzwerkkarte (KasperskyIS-Firewall)), können auch mehrere Client-Firewalls ganz problemlos parallel laufen - wenn sie sich technisch nicht stören. Die KIS- und Win7-Firewall funktionieren z.B. ganz harmonisch miteinander (weil sie auf unterschiedlichen Ebenen arbeiten).

Man muss bei der Verwendung von kompatiblen Firewalls nur drauf achten, dass die Regeln passen (wenn ich KIS in der Win7-Firewall blockiere, kriege ich gar keine Netzwerkverbindung).

Es gibt übrigens auch Programme, die gar keine Firewall im herkömmlichen Sinne darstellen, aber Firewall-Funktionen übernehmen können. Das tun sie, indem sie nicht etwa die Netzwerkpakete untersuchen, sondern die Programme daraufhin überwachen, ob sie Netzwerkverbindungen herstellen wollen. Threatfire kann man entsprechende Regeln beibringen; auch diese Ergänzungssoftware zu Fritz!Boxen (... wie heißt die noch?) arbeitet nach meinem Wissen auf diese Weise. Diese können in jedem Fall parall zur Windows-Firewall laufen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Softwarefirewall für Windows 10
2 3
Antworten
41
Aufrufe
7.876
MB2853
M
cantknoweveryth
Hardware- und Softwarefirewall
Antworten
8
Aufrufe
1.177
=DarkEagle=
D
punkrockfan
Softwarefirewall hinter (NAT)Router noch zeitgemäß/nötig?
2
Antworten
37
Aufrufe
6.527
Pentoxus
P
I
Sinn oder Unsinn einer Hardwarefirewall für Heimnetzwerk
2
Antworten
22
Aufrufe
53.944
Faultier
F
M
Suche Softwarefirewall
Antworten
10
Aufrufe
1.819
Oli_P
Oli_P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz