oder halt nen cisco router aus der 800er serie, am besten mit nem günstigen service vertrag dann habt ihr auch keinen ärger sondern es kümmert sich wer drum wenn mal was ist.
EIN unterschied zwischen cisco und anderen routern ist das nicht nur paketfilter firewall ist, sondern stateful inpektion firewall:
ein kleines beispiel:
Kommuniziert ein Rechner A mit einem Rechner B über einen einfachen Paketfilter, so muss dieser in seinem Regelwerk zwei Verbindungen erlauben:
* Quelle A nach Ziel B mit Dienst HTTP (für die Anfrage, z. B. „Schicke mir Webseite
www.beispiel.de“)
* Quelle B nach Ziel A mit Dienst HTTP (für die Antwortpakete, in diesem Beispiel der Inhalt von
www.beispiel.de)
Dadurch ist das Regelwerk unsicherer als eigentlich nötig, da B jederzeit an A senden darf, auch wenn A gar keine Webseite angefordert hat (Bei Netfilter kann mit Hilfe des 'Sync-Flags' verhindert werden, dass B zu A eine Verbindung aufbaut).
Bei der Zustandsgesteuerten Filterung (Stateful Inspection) wird nur eine Regel benötigt (bzw. die zweite wird implizit hinzugefügt):
* Quelle A nach Ziel B
Der Paketfilter merkt sich, wenn Rechner A mit Rechner B kommuniziert und erlaubt nur dann Antworten darauf von Rechner B an Rechner A. Rechner B kann dadurch nicht ohne Anforderung von A beginnen.
Die Regeln für Antwortpakete werden dynamisch erzeugt und werden nach Eintreffen der Antwort oder nach einem Timeout automatisch gelöscht.
Noch weitergehende Systeme prüfen zusätzlich, ob ein Paket zu einem bestimmten Zeitpunkt in der Kommunikation überhaupt erlaubt ist (zum Beispiel weitere Pakete schicken, obwohl der andere Teilnehmer die Kommunikation bereits abgeschlossen hat).
