ich denke die unterscheidung zwischen hardware- und softwarefirewall ist an sich falsch, auch wenn häufig genutzt. eigentlich sollte die unterscheidung in richtung externe- und hostbasierte firewall gehen. selbst die große firewall1 von checkpoint ist an sich keine reine hardwarelösung, da sie auf einem serversystem aufsetzt und z.b. auf einer SUN installiert werden kann. wirkliche hardwarelösungen, sogenannte appliances sind eher seltener und auch die kleinen standalone firewallboxen sind mehr oder weniger softwarebasiert und arbeiten über einem angepassten microkernel. wirklich hardwarebasiert wäre eine on-chip-lösung mit spezieller architektur (ASICs), die eine filterung auf hardwareebene durchführen würde, wie es sie z.b. zum verschlüsseln von VPNs gibt.
der vorteil der externen lösung liegt ganz klar darin, daß zum einen (wie in unserer letzten diskussion schon erwähnt) das system keine andere aufgabe als die filterung hat, weiterhin ist ein wesentlich höherer durchsatz möglich, eine korrumpierung der firewall ermöglicht nicht gleich zugriff auf ein system dahinter, andere prozesse und diesnte können der firewall nicht in die quere kommen, ein lokales umgehen der firewall z.b. mittels eigenem stack eines schädlings ist schwerer möglich, etc...
was rika über NAT angesprochen hat ist definitiv richtig, NAT bietet einen recht guten schutz von außen nach innen, aber eine firewall wird in den seltensten fällen nur für einen schutz von außen nach innen konfiguriert, ebenso ist der schutz von innen nach außen mindestens genauso wichtig.
weiterhin ist auch die single-point administration nicht zu vernachlässigen. in einer firma mit vielen clients wird sich kaum jemand die mühe machen wollen hostbasierte firewalls konfigurieren zu müssen, wenn er die möglichkeit hat einen single point zu konfigurieren, außerdem bietet z.b. der ISA server eine möglichkeit auch unternehmensweit über ACLs gezielt berechtigungen auf ressourcen dynamsich zu gewähren, was bei einzellösungen auf hosts so gut wie unmöglich scheint. dies ist aber im heimbereich wohl eh kein thema ;o)...
ich denke (achtung, meinung), daß ein heimanwender mit einer standalone-firewall in den meisten fällen wesentlich besser geschützt ist als mit einer host-basierten lösung, nachteil sind proprietäre lösungen wie z.b. AOL, aber hier versagen host-basierte lösungen auch zu oft, wie man an Blaster sah, und dabei merken die user das eventuell nicht einmal und fühlen sich immer noch geschützt.
[Diese Nachricht wurde nachträglich bearbeitet.]
xafford
Olaf19
