Firewall
Ein Ruleset besteht aus mehreren
einzelnen Regeln, die eine Firewall bei jeder Anfrage in oder aus dem
Internet/Netzwerk von oben angefangen nach unten abgearbeitet bzw.
überprüft, und beim Zutreffen einer Regel anhält und diese ausführt, die
darauffolgenden Regeln werden dann ignoriert!
Das Ruleset
verarbeitet jede Kommunikation und filtert alle Datenpäckchen, die
zwischen Computern z.B. im Internet / Netzwerk hin- und herlaufen.
Im Regelwerk (Ruleset) einer Firewall wird beschrieben, welcher Verkehr durch eine Firewall erlaubt und welcher verboten ist. Firewall Regeln setzen das Konzept der Mandatory Access Control (MAC) um. Die Entscheidung wird also nicht nach der Identität der Verursachers (DAC) oder seiner Zugehörigkeit zu einer Rolle oder Gruppe (RBAC) getroffen, sondern immer nach Absender, Zustelladresse, Protokoll und Sendevorgang. Die Regel enthält auch die gewünschte Reaktion, also ob erlaubte Datenpakete passieren (engl. pass) dürfen, verbotene werden abgelehnt (reject) oder verworfen (deny, drop).
Die Anwendung des Rulesets ist eine im Kernel von Linux verankerte Aufgabe.
Rulesets wurden in der Vergangenheit in iptables oder nftables editiert.
▪ Einer Richtung (=Direction), von wo aus eine Verbindung "aufgebaut" werden darf also von "drinnen" oder "draußen".
o - OUTGOING - Aufbau einer Verbindung durch ein TCP_ACK Signal von drinnen!
o - INCOMMING - Aufbau einer Verbindung durch ein von draußen!
o – oder beides: BOTH
▪ Einem Protokoll: Die wichtigsten von den meisten Firewalls unterstützten Protokolle sind TCP, UDP, ICMP
▪ Einer Quelle: Also woher eine Anfrage stammt:
o - Host (IP oder IP Bereich),
o - Port,
o - Service
▪ Einem Ziel (wohin das Packet soll):
o - Host,
o - Port,
o - Service
▪ Einer Anweisung zu blockieren (Block / Deny) oder zu erlauben (Permit)
▪ Viele Firewalls bieten noch eine Option, eine Log-Datei zu führen.