Diskussion:Firewall

Dieser Artikel war am 16. Januar 2015 der Artikel des Tages.

Zum Archiv

Auf dieser Seite werden Abschnitte automatisch archiviert, wenn sie mit {{Erledigt|1=--~~~~}} markiert sind und ihr jüngster signierter Beitrag mehr als 1 Tag zurückliegt. Um die Diskussionsseite nicht komplett zu leeren, verbleiben mindestens 3 Abschnitte.

Es geht um die folgende ursprüngliche Einleitung:

Diese wurde wie folgt geändert mit der Begründung "Bezeichnung als Software trotz Quellenangabe entfernt, da Einzelmeinung und Software-Firewall nur Spezialfall einer Firewall":

Die Anpassung wurde zunächst von mir rückgängig gemacht, da hierzu Klärungsbedarf besteht:

1. Angelehnt an die Aussage zur Hardware-Firewall spricht die ursprüngliche Einleitung über Firewallsoftware, die auf einem Gerät installiert wird (z.B. Router oder PC). Um die Aussage zu verwerfen, dass es sich dabei um eine Software handelt, braucht es einen Nachweis, dass es wenigstens eine Firewall gibt, bei der die sonst übliche Firewallsoftware komplett in Hardware realisiert wird. Andernfalls bleibt die Aussage korrekt.
2. Daneben und vollkommen losgelöst davon gibt es den Terminus „Hardware-Firewall“ für Netzwerkgeräte, auf denen eine Firewallsoftware installiert wurde, und den Terminus „Personal-Firewall“ oder auch „Software-Firewall“ als Bezeichnung für eine direkt auf dem PC arbeitende Firewallsoftware. Bezogen _auf den Terminus_ ist der Änderungskommentar korrekt, dass „eine Software-Firewall ein Speziealfall einer Firewall ist“. Das hat jedoch nichts mit der strittigen Aussage im einleitenden Satz zu tun (siehe Punkt 1) und widerspricht ihr auch nicht.
3. Die überarbeitete Einleitung schreibt, dass „eine Firewall ein inneres von einem äußeren Netzwerk trennt“, was jedoch nicht zur Personal Firewall passt.
4. Die überarbeitete Einleitung schreibt weiterhin, dass – bezogen auf Netzwerkgeräte wie Router – eine Firewall ein spezieller Computer mit Netzwerkschnittstellen ist, auf dem eine (Firewall-)Software zum Einsatz kommt. Eine Personal Firewall läuft dagegen, so die Behauptung, allein als Software. Dieser Absatz ist zumindest missverständlich formuliert, denn auch hier braucht es den Computer, auf dem die Firewallsoftware läuft. Ich denke gemeint ist mit dieser neuen Formulierung das, was in der ursprünglichen Einleitung im dritten Absatz aus meiner Sicht besser beschrieben steht.

-- ^{ηいーたeon}ZERO  15:05, 21. Sep. 2012 (CEST)Beantworten

Hallo NeonZero, ich will meine Änderungen gerne ausführlicher begründen:

1. Der Oberbegriff Firewall schließt Spezialfälle ihrer Implementierung als reine Software-Firewall oder reine Hardware-Firewall mit ein. Für den allgemeinen Fall gilt, dass sie eine Komponente ist. Diese kann natürlich Hardware only, Software only oder Software/Hardware implementiert werden. Die alte Einleitung hätte gut zu einem Artikel über eine reine Software-Firewall gepasst, passt aber keinesfalls zum allgemeinen Begriff einer Firewall.
2. siehe Punkt 1.
3. Genaugenommen führt die Firewall diese Trennung auch im Spezialfall einer Personal Firewall durch. Das Besondere hierbei ist lediglich, dass sich das innere Netzwerk dann nur in den anwendungsorientierten Schichten (Sicht 5 des OSI-Modells aufwärts) des einzelnen Rechner befindet. Aus Anwendungssicht ist dieser Unterschied nicht erkennbar.
4. Der dritte Abschnitt der alten Einleitung ist in der neuen Einleitung redundant geworden, daher habe ich ihn weggelassen.

Die einleitende Aussage: "Eine Firewall ist eine Software ..." ist auf jeden Fall grob falsch, so dass ich mich veranlasst sah, diese Änderung ohne vorherige Diskussion umzusetzen. Aus demselben Grund möchte ich nun auch darum bitten, bis zur Klärung dieser Diskussion die neue Einleitung stehen zu lassen. Für weitere Details bin ich natürlich offen.--Lex parsimoniae (Diskussion) 17:02, 21. Sep. 2012 (CEST)Beantworten

Die ursprüngliche Einleitung mit dem vermeintlichen Fehler existiert bereits über Jahre hinweg. Es gibt also keine Veranlassung, "bis zur Klärung dieser Diskussion die neue Einleitung zu übernehmen", zumal Deine überarbeitete Einleitung (wie oben gezeigt) fehlerhaft ist.

Zu 1.) und 2.) "Diese kann natürlich Hardware only implementiert werden": Hierfür bitte ich um einen Beleg.

Zu 3.) Das ist schlicht Unsinn.

Zu 4.) Wenn der genannte Abschnitt von Dir nicht das Aussagen wollte, was die alte Einleitung im dritten Abschnitt erklärt hat, was wolltest Du dann damit zum Ausdruck bringen?

Du vermischst in Deiner Argumentation noch immer Dinge, die nicht zusammengehören. Die Termini Hardware-Firewall genauso wie Software-Firewall haben eine vollkommen andere Bedeutung und sagen eben nicht aus, dass das eine Hardware und das andere Software sei. Das ist für einen Terminus nicht ungewöhnlich. So enthalten auch Gummibärchen und speziell Goldbärchen weder Gummi, noch Gold. Eine Hardware-Firewall ist eine Firewall, die auf einer separaten Hardware (einer Netzwerkkomponente) installiert wird, während eine Software-Firewall als Komplement dazu direkt auf dem Endgerät installiert wird. Das was dort installiert wird, ist in beiden Fällen Software. Die ursprüngliche Einleitung konkretisiert: In diesem Fall [gemeint ist die Hardware-Firewall] kann ‚Firewall’ auch als Bezeichnung für das komplette System stehen (ein Gerät mit der beschriebenen Funktion). Damit sollte für den Leser der Sachverhalt erklärt sein. -- ^{ηいーたeon}ZERO  23:06, 21. Sep. 2012 (CEST)Beantworten

Zu 1.) und 2.) Wie Du sicher weißt, kann man jede Software in einen Schaltplan umwandeln und daraus dann einen Halbleiter herstellen. Ob das bei einer Firewall-Software Sinn macht, ist natürlich eine andere Frage. Ich wollte damit nur zeigen, dass all das nur verschiedene Möglichkeiten sind, wie man das Grundkonzept einer Firewall realisieren kann. Der Oberbegriff Firewall ist jedoch aus meiner Sicht losgelöst von Begriffen wie Hardware oder Software, daher habe ich geschrieben: Eine Firewall ist eine Komponente in einem Computernetzwerk, deren Aufgabe darin besteht, Regeln für Netzwerkzugriffe umzusetzen. Das ist bewusst so allgemein wie möglich gehalten.

Zu 3.) Lass uns nähere Ausführungen über die Arbeitsweise von Desktop-Firewalls sparen. Hierfür gibt es ein separates Lemma: Personal Firewall

Zu 4.) Nachdem ich die ersten beiden Abschnitte der neuen Einleitung geschrieben hatte, war damit alles gesagt, was in den ersten drei Abschnitten der bisherigen Einleitung stand.

Ich verstehe jetzt, was Du meinst. Du siehst die Firewall als Software, die auf einem separaten Rechner (z.B. auf einem Router) installiert werden kann, was dann insgesamt eine Hardware-Firewall ergibt, oder die auf einem Desktop-PC installiert werden kann, was dann eine Personal Firewall ergibt. Ich hingegen sehe die Firewall als Oberbegriff, also als Komponente in einem Netzwerk, die eine bestimmte Aufgabe erfüllt. Die von Dir genannte Software ist aus meiner Sicht eine Firewall-Software und somit nur ein bestimmter Bestandteil einer Firewall bzw. auch einer Hardware- bzw. Desktop-Firewall.--Lex parsimoniae (Diskussion) 11:18, 22. Sep. 2012 (CEST)Beantworten

Abschließend möchte ich den Unterschied an einem praktischen Beispiel verdeutlichen: Du kaufst Dir einen Router. Darauf läuft z.B. Linux. Du willst dessen Funktionalität erweitern und installierst eine dazu passende Firewall-Software wie Netfilter mit iptables. Jetzt läuft auf Deinem Router auch eine vollwertige Firewall (inkl. Stateful Packet Inspection, etc). Was ist das für eine Firewall? Klar, die Firewall-Software läuft nicht auf dem Endgerät, sondern auf einer separaten Hardware, einem Gerät, das Netzsegmente miteinander verbindet. Es ist daher eine externe Firewall (wie Du es lieber nennst eine Hardware-Firewall).

Auf Deinem PC läuft ebenfalls Linux. Du kannst darauf dieselbe Firewall-Software installieren. Oder noch besser: Entsprechende Schnittstellen an der Hardware des Routers vorausgesetzt (Monitor-Ausgang, etc) und Du kannst sogar das gleiche Gerät, den Router, als Endgerät einsetzten. Identische Hardware und identische Firewall-Software und dennoch ist es plötzlich eine Personal Firewall (Du nennst es lieber Software-Firewall), sobald Du das Gerät ausschließlich als Endgerät nutzt.

Beiden Firewalls ist also gemein, dass es eine Softwarekomponente ist, die Netzwerkpakete filtert (und ja, solange es keine Firewall gibt, die komplett in Hardware realisiert ist, gibt es sie nur als Software). Der Unterschied zwischen der externen Firewall und der Personal Firewall liegt einzig darin, wo die Firewall-Software installiert wurde (Netzwerkgerät oder Endgerät). Um eben diesen Unterschied zu erklären, wird in der Einleitung erwähnt, dass es sich um eine Software handelt. Hinzu kommt, dass man auch das Netzwerkgerät, auf dem die Firewall-Software läuft, als Firewall bezeichnet. Genauso wie es die ursprüngliche Einleitung auch beschreibt. -- ^{ηいーたeon}ZERO  17:19, 22. Sep. 2012 (CEST)Beantworten

Zu Deinen Beispielen:

a) Im ersten Fall besteht die Firewall aus einer Kombination aus Hardware und Software.

b) In zweiten Fall besteht die Firewall nur aus Software.

c) Im letzten Fall bestünde die Firewall nur aus Hardware, falls es eine solche Hardware gäbe.

Ich würde aber in allen drei Fällen nicht sagen, eine Firewall ist Hardware, ist Software oder ist eine Kombination daraus. Ich sage stets nur, dass eine Firewall eine Komponente ist, die den Datenverkehr zwischen Netzwerksegmenten regelt, ganz gleich woraus die Firewall im Einzelfall besteht. Dies gälte selbst dann, wenn Fall c) mangels praktischer Beispiele ausscheiden würde.

Der Hauptpunkt, an dem wir uns widersprechen, ist die Frage, ob bereits die Firewall-Software allein als Firewall bezeichnet werden kann, oder ob das gesamte System nach der Installation der Firewall-Software zur Firewall wird.

Hierzu noch ein Vergleich: Du kaufst einen Rechner mit zwei Netzwerkkarten und installierst eine Routing-Software. Das gesamte Gerät ist jetzt ein Router. Du würdest aber sicher nicht sagen: „Ein Router ist eine Software.“

Ich könnte mich auch damit anfreunden, wenn wir nur den ersten Satz „Eine Firewall ist eine Software.“ ändern. Lass uns stattdessen schreiben: „Eine Firewall ist eine Komponente in einem Computernetzwerk, deren Aufgabe darin besteht, Regeln für Netzwerkzugriffe umzusetzen.“ Dies schließt ja die Software mit ein. Der Rest der Einleitung könnte dann mit einigen kleineren Anpassungen so bleiben.--Lex parsimoniae (Diskussion) 22:45, 23. Sep. 2012 (CEST)Beantworten

Fall c) gibt es nicht (und wird es aus guten Gründen auch nicht geben). Punkt. Darüber brauchen wir auch nicht weiter zu diskutieren, denn damit begeben wir uns in den Bereich der Theoriefindung.

Zur Frage "ob bereits die Firewall-Software allein als Firewall bezeichnet werden kann, oder ob das gesamte System nach der Installation eine Firewall ist": Beides ist korrekt. Ja, die Firewall-Software selbst wird als Firewall bezeichnet. Auf das Beispiel von oben bezogen (einer Firewall-Lösung, die in zahlreichen Geräten zu finden ist) folgt hier auf die Schnelle ein Zitat aus der Einleitung von iptables: "iptables ist ein Userspace-Programm zur Konfiguration der Tabellen (tables), die durch die Firewall im Linux-Kernel (bestehend aus einer Reihe von Netfilter-Modulen) bereitgestellt werden." Und nochmals ja (auch wenn ich das gefühlt schon tausendfach geschrieben habe), ebenso wird auch die Kombination mit der Hardware, also das komplette System, als Firewall bezeichnet (siehe Absatz 3, letzter Satz der ursprünglichen Einleitung; was ist daran nicht zu verstehen?).

Zu Deinem Anpassungsvorschlag: Du willst jetzt lediglich den ersten Satz anpassen. Der zweite Satz der Einleitung beginnt jedoch mit "Die Firewall-Software ..."; im nächsten Abscnitt - und das ist zentral für die Einleitung (habe ich das eigentlich schon gesagt?) - steht "Abhängig davon, wo die Firewall-Software installiert ist, wird unterschieden zwischen ..." (deshalb wird das mit der Software bereits in der Einleitung erwähnt). Welche Firewall-Software? Das wird ja nach Deiner Version erst mal nicht erklärt, dass das eine Software ist. Im Abschnitt zur Hardware-Firewall steht ebenso beschrieben, dass eine Firewall nur als Software existiert. Müssen wir den Absatz dann nicht auch löschen? Oder warum dürfen wir das dort erwähnen, aber in der Einleitung nicht? Zudem ist die Firewall weiter gefasst auch ein System mit der beschriebenen Funktion (Dein Fall "a)") und ein Teilaspekt eines Sicherheitskonzepts. Das soll jetzt in Deiner Version des einleitenden Satzes alles wegfallen. Warum? -- ^{ηいーたeon}ZERO  07:08, 24. Sep. 2012 (CEST)Beantworten

Ich bin auch nicht ganz glücklich damit. Ich wollte Dir nur entgegenkommen. Wenn wir alle notwendigen Anpassungen, die sich aus der Erkenntnis ergeben, dass eine Firewall (ebenso wie ein Router) auf verschiedene Weise realisiert werden kann, konsequent in die Einleitung einbauen, dann kommt im Prinzip wieder das heraus, was ich schon umgesetzt hatte. Dass wir einige Kleinigkeiten daran und in den Kapiteln noch überarbeiten müssen, stimmt natürlich. Aber das kriegen wir schon hin.

Ich schlage also vor, dass ich dies nun unter Berücksichtigung unserer Diskussion umsetze, und Du das Ganze dann bitte kontrollierst und ggf. verbesserst. OK?--Lex parsimoniae (Diskussion) 12:14, 24. Sep. 2012 (CEST)Beantworten

Ich wollte Dir oben verdeutlichen, dass Dein bisheriger Vorschlag keine Lösung ist. Wenn Deine Erkenntnis die ist, dass Deine Einleitung dem gerecht wird, was wir hier besprochen haben, dann musst Du eine andere Diskussion lesen, als ich gerade. Die hier niedergeschriebene Diskussion zeigt nicht, das die ursprüngliche Einleitung falsch ist. Vor allem kann ich nicht erkennen, dass Deine oben aufgeführte Überarbeitung besser wäre. Im Gegenteil.

Das bedeutet natürlich nicht, dass die Einleitung nicht angepasst werden darf. Wenn Du sie verbessern kannst, nur zu. Mit Blick auf Deine vorherige Anpassung möchte ich Dich jedoch bitten, Deine Ideen zunächst als Entwurf der Einleitung hier vorher zur Diskussion zu stellen. An diesem Entwurf können wir dann gerne arbeiten, ehe er in den Artikel zieht. -- ^{ηいーたeon}ZERO  14:40, 24. Sep. 2012 (CEST)Beantworten

ihr scheint ja hier nicht richtig weiterzukommen, deshalb ein paar anmerkungen: beim begriff Server gibt es ebenfalls zwei akzeptierte bedeutungen (software/die ganze kiste), vielleicht lasst ihr euch davon inspirieren. wenn es mehrere allgemein akzeptierte bedeutungen eines begriffs gibt, dann sollten die auch alle erwaehnt werden. --Mario d 16:06, 24. Sep. 2012 (CEST)Beantworten

Danke für Dein Mitwirken. Stellt Deiner Meinung nach die ursprüngliche Einleitung (erster umrahmter Text oben) die unterschiedlichen Bedeutungen (Personal Firewall, externe Firewall und bei letzterem auch als Bezeichnung für das gesamte System - siehe Absatz 3) klar heraus oder nicht? Was läßt sich Deiner Meinung nach verbessern? -- ^{ηいーたeon}ZERO  16:47, 24. Sep. 2012 (CEST)Beantworten

Aus diesem Grund ist es mein Anliegen, dass der erste Absatz den allgemeinen Begriff beschreiben sollte. Im zweiten sollen dann die verschiedenen Realisierungen behandelt werden.--Lex parsimoniae (Diskussion) 17:01, 24. Sep. 2012 (CEST)Beantworten

Dann wäre dies mein überarbeiteter Vorschlag, der nun hoffentlich alle Einwände berücksichtigt:

--Lex parsimoniae (Diskussion) 17:01, 24. Sep. 2012 (CEST)Beantworten

wie waere es, wenn wir den ersten satz wie folgt abaendern wurden: "Eine Firewall ist eine Software, weiter gefasst auch eine Netzwerkkomponente mit einer bestimmten Funktion[1] und ein Teilaspekt[2] eines Sicherheitskonzepts."? dann haben wir die software und die komponente drin. --Mario d 20:38, 24. Sep. 2012 (CEST)Beantworten

Genau das ist der Knackpunkt. Eine Firewall ist zuerst mal nur eine Komponente in einem Netzwerk. Das ist sozusagen der Wurzelknoten der Klasse Firewall. Erst nach der ersten Verzweigung kann sie dann als Netzwerk-Firewall oder als Software realisiert werden. Genau dies bringen die ersten beiden Abschnitte des Entwurfs jetzt zum Ausdruck.--Lex parsimoniae (Diskussion) 21:05, 24. Sep. 2012 (CEST)Beantworten

Ich starte noch einen Versuch: Gehen wir auf Deinen Wurzelknoten „Komponente“ ein, ein schwammiger Begriff, „Komponente“, der auf so ziemlich alles passt, was irgendwie im All existiert. Als nächstes existiert da laut Deiner These die Netzwerk-Firewall. Was macht das Ding zur Firewall?: Da wäre die Hardware, ohne die die Firewall nicht lauffähig ist. Da wäre das Betriebssystem samt Treiber, ohne die die Firewall nicht lauffähig ist. Und, ist das jetzt eine Firewall? Nein, ist es nicht, wir brauchen erst die Firewall-Software, eine Software, die auf diesem Rechner arbeitet, um Netzwerkpakete zu filtern. Jetzt haben wir eine Netzwerk-Firewall.

Betrachten wir das Endgerät, den PC. Da wäre zunächst die Hardware, ohne die die Firewall nicht lauffähig ist. Da wäre das Betriebssystem samt Treiber, ohne die die Firewall nicht lauffähig ist. Und, ist das jetzt eine Firewall? Nein, ist es nicht, wir brauchen erst die Firewall-Softeware, eine Software, die auf diesem Rechner arbeitet, um Netzwerkpakete zu filtern. Jetzt haben wir eine Personal Firewall.

Tolle Wurst. Sieht ja beides irgendwie gleich aus. Tolle Wurst. Sieht ja beides irgendwie gleich aus (OK, den konnte ich mir jetzt nicht verkneifen, sorry).

Also, um es mit Deinen Worten zu sagen, schauen wir uns den tatsächliche Wurzelknoten an: Beides ist eine Komponente. Ja. Beides besteht aus Hardware. Ja. Beides hat Betriebssystem. Ja. Beides hat Rücken. Nein. Beides hat Treiber. Ja. Beides ist Teil eines Netzwerks. Ja. Beides hat Firewall-Software zur Filterung. Ja. Beides sind Endgeräte. Nein.

Hier erst beginnt die Trennung in Netzwerk-Firewall und Personal Firewall. Der kleinste gemeinsame Nenner einer Firewall ist nicht die Komponente, sondern die Firewall-Software, die auf beiden Geräten existiert. Bei der Netzwerk-Firewall gibt es eine weitere Bedeutung, bei der das komplette Gerät als Firewall betitelt wird, vergleichbar mit dem Begriff Server, bei dem es ebenfalls zwei akzeptierte Bedeutungen gibt (Software/die ganze Kiste). Daher hat Mario recht, wenn er schreibt, „Eine Firewall ist eine Software [der kleinste gemeinsame Nenner], weiter gefasst auch eine Netzwerkkomponente mit einer bestimmten Funktion [die ganze Kiste] und ein Teilaspekt[2] eines Sicherheitskonzepts.“ -- ^{ηいーたeon}ZERO  21:58, 24. Sep. 2012 (CEST)Beantworten

wenn ihr so nicht einig werdet, koennen wir auch die definition aus dem duden nehmen: "Eine Firewall ist ein Sicherungssystem, das ein Netzwerk oder einen einzelnen Computer vor unerwünschtem Zugriff über Datenleitungen von außen, besonders über das Internet, schützt" [1]. gefaellt mir jetzt weniger gut, aber kommt aus einer anerkannten quelle. gibt es nicht einen speziellen informatik-duden? alternativ kanns auch ein gutes lehrbuch sein. --Mario d 22:26, 24. Sep. 2012 (CEST)Beantworten

Finde ich auch weniger gut. Wie sollen wir denn von dieser Basis ausgehend den Unterschied zwischen der externen Firewall und der Personal Firewall erklären? Das, was wir aktuell haben, ist wesentlich präziser. Wenn dort keine Fehler enthalten sind, gibt es keinen Grund für eine solche Aktion. -- ^{ηいーたeon}ZERO  22:51, 24. Sep. 2012 (CEST)Beantworten

Eine "Komponente in einem Netzwerk" ist wesentlich präziser als "irgendein Ding im Weltall". Bleibe bitte sachlich. Sicherungssystem würde ich auch akzeptieren. Software ist zu speziell, darin liegt der Fehler. Nach der Logik Deiner vorletzten Aussage, könntest Du auch sagen: "Ein Router ist eine Software." Das hatten wir oben schon, könntest Du dazu bitte noch etwas sagen?--Lex parsimoniae (Diskussion) 23:10, 24. Sep. 2012 (CEST)Beantworten

Nachtrag: Selbst ein Intrusion Detection System wird nicht als Software bezeichnet, ein Router sowieso nicht.--Lex parsimoniae (Diskussion) 23:58, 24. Sep. 2012 (CEST)Beantworten

Zur „Komponente in einem Netzwerk“: Ja, Du hast recht, eine solche Komponente beschreibt nicht alles im All. So viel Sachlichkeit muss sein. Sorry.

Ich könnte Dir etwas zum Router sagen, aber auch hier würde ich mich im Grunde nur wiederholen. Gleiches gilt für das angesprochene Intrusion Detection System. Das bringt uns nicht voran. Bleiben wir beim Artikelthema:

Die Frage, die sich hinter dem geschriebenen verbirgt, lautet genau genommen nicht, ob die Firewall im Grunde eine Softwarekomponente ist, sondern ob man diese Firewall-Software für sich schon Firewall nennt. Beides ließ sich oben bejaen. „Der Hauptpunkt“, so hast Du es weiter oben formuliert, „an dem wir uns widersprechen“, sollte damit aus der Welt geschafft sein.

Ist der Hauptpunkt nicht aus der Welt geschafft, dann solltest Du konkret auf die dortigen Argumente eingehen. Also solltest Du beispielsweise zum Ausdruck bringen, dass diese Art der Software entgegen der Quelle Deiner Meinung nach doch nicht Firewall genannt wird und wie Du zu dieser Erkenntnis gekommen bist. Oder dass Du einen Beleg dafür gefunden hast, dass wenigstens eine Firewall komplett in Hardware realisiert wird und daher die Aussage, dass es sich im Grunde um eine Softwarekomponente handelt, nicht immer zutreffend ist. Drauf ließe sich eingehen und das würde uns voranbringen.

Einfach nur die schwammige (im Sinne von "nicht greifbare") Behauptung in den Raum zu stellen, der kleinste gemeinsame Nenner, die Software, sei zu speziell, bringt uns nicht voran. Wie kann der kleinste gemeinsame Nenner zu speziell sein? Es sei denn, es handelt sich nicht um den kleinsten gemeinsamen Nenner. Wenn Du dieser Meinung bist, dann gehe bitte _konkret_ darauf ein, damit wir vorankommen. -- ^{ηいーたeon}ZERO  10:57, 25. Sep. 2012 (CEST)Beantworten

wir sind uns sicherlich einig, dass es verschiedene sichtweisen auf den begriff gibt. eine firewall ist:

1. eine software
2. ein rechner auf dem (nur) ein firewallprogramm laeuft (externe firewall)
3. eine komponente eines netzwerks (aus der sicht eines netzwerkers)
4. ein teilaspekt eines sicherheitskonzepts (aus der sicht eine IT-sicherheitsmenschen)
5. ein sicherungssystem (gefaellt mir besser als "system mit einer bestimmten funktion") (aus der sicht eines entwicklers)

die frage ist nur, wie diese verschiedenen sichtweisen ausgewogen praesentiert werden koennen. ich denke, die drei letzten punkte, die speziellere sichtweisen darstellen und daher keine allgemeingueltigkeit beanspruchen koennen, sollten nach dem erstem aufgefuehrt werden. etwa: "Eine Firewall (von englisch firewall [ˈfaɪəwɔːl] „die Brandmauer“) ist eine Software zur Beschränkung des Netzwerkzugriffs, die nach verschiedenen Sichtweisen als eine Netzwerkkomponente, ein Sicherungssystem oder ein Teilaspekt eines Sicherheitskonzepts aufgefasst werden kann. Teilweise wird auch ein dedizierter Rechner, auf dem nur ein Firewallprogramm läuft, als Firewall bezeichnet." --Mario d 11:59, 25. Sep. 2012 (CEST)Beantworten

Mario, alle Deine aufgelisteten Punkte sind unstrittig. Es sind genau die Punkte, die in der ursprünglichen Einleitung auch behandelt werden. Ich sehe das auch so, dass „Sicherungssystem“ statt "System mit einer bestimmten Funktion" verwendet werden kann. Das können wir gerne übernehmen.

Es gibt aus meiner Sicht zwei Gründe, die für eine Anpassung der ursprünglichen Einleitung sprechen würden: 1.) Es gibt darin einen Fehler. 2.) Die Anpassung stellt eine Verbesserung des Artikels dar.

Zu Punkt 1.) gibt es bislang keinen Hinweis auf einen Fehler. Nicht nur in dieser Diskussion nicht. Wir haben die strittige Aussage seit Jahren im Artikel. Allein seit Januar diesen Jahres hatten wir bis einschließlich gestern 157.933 Zugriffe auf die Firewall-Seite. Das bis jetzt niemand außer Lex den angeblich „groben Fehler“ angemahnt hat, ist kein Beweis, aber doch ein Indiz dafür, dass es ihn nicht gibt (den Fehler, nicht Lex). Ein noch stärkeres Indiz zeigt mein Beitrag eins drüber. Dort habe ich Lex gebeten mit seinen Bedenken endlich konkret zu werden, damit wir vorankommen. Statt seine Meinung zu überprüfen oder auch nur konkret darzulegen, macht er lieber unten frech mit einem erneuten Entwurf weiter. Argumente auf fachlicher Ebene bleiben aus.

Zu Punkt 2.): Weder die bisherigen Entwürfe, noch Dein ausformulierter Satz von oben (nimm es mir bitte nicht krumm) stellen eine Verbesserung im Vergleich zum Ist-Zustand dar. Darüber hinaus gibt es auch keine Not eine unpräzise und schlechtere Definition aus irgendeinem Fachbuch in den Artikel zu schreiben, solange unsere Einleitung keine Fehler enthält und besser ist.

Ich bin zu keinem faulen Kompromiss bereit, nur damit Lex Ruhe gibt. Wenn nicht 1.) oder 2.) von oben erfüllt ist, werde ich mich mit Händen und Füßen gegen die geplante Anpassung zur Wehr setzen. -- ^{ηいーたeon}ZERO  00:00, 26. Sep. 2012 (CEST)Beantworten

Ich bin eigentich davon ausgegangen, Deinen Standpunkt in meinem neuen Entwurf berücksichtigt zu haben, weshalb ich die offenen Fragen für erledigt hielt. Ich will den Fehler noch einmal ganz kurz zusammenfassen: Es gibt Geräte unter der Bezeichnung Firewall, die keine Software sind. Daher ist die Aussage: "Eine Firewall ist eine Software" zu speziell. Der neue Entwurf rückt das gerade und sagt trotzdem, dass es auch Software gibt, die als Firewall bezeichnet wird.--Lex parsimoniae (Diskussion) 09:22, 26. Sep. 2012 (CEST)Beantworten

"Eine Firewall ist eine Software" ist nur der halbe Satz. Korrekt wird die Aussage erst, wenn man auch den Rest des Satzes liest ("... weiter gefasst auch ein System ...").

"Ich bin eigentich davon ausgegangen, Deinen Standpunkt in meinem neuen Entwurf berücksichtigt zu haben": Weit davon entfernt. Ich habe nun unten ebenfalls einen Entwurf eingestellt. Sehen wir mal, ob wir über diesen Weg weiterkommen. -- ^{ηいーたeon}ZERO  10:33, 26. Sep. 2012 (CEST)Beantworten

Danke für die zusätzlichen Anregungen und Einwände, die ich gleich mal umzusetzen versuche:

--Lex parsimoniae (Diskussion) 13:04, 25. Sep. 2012 (CEST)Beantworten

a) warum du jetzt eine firewall als "einrichtung" bezeichnest, kann ich nicht nachvollziehen. was hast du gegen den begriff "software"? b) was ist mit den beiden einzelnachweisen passiert? c) ob man eine firewall als komponente bezeichnet, haengt doch gerade nicht von der realisation ab, sondern von der sicht, die man auf das system hat. --Mario d 14:09, 25. Sep. 2012 (CEST)Beantworten

Die Argumente gegen den Begriff Software habe ich hoffentlich oben ausführlich genug dargestellt. Kurz: dann müsste man auch sagen, ein Server ist eine Software oder ein Router ist eine Software. "Einrichtung zur Beschränkung von Netzwerkzugriffen" umfasst alle real existierenden und theoretisch möglichen Realisierungen einer Firewall. Die Einzelnachweise kommen natürlich wieder rein. Den Begriff Komponente habe ich im zweiten Abschnitt immer noch verwendet.--Lex parsimoniae (Diskussion) 17:02, 25. Sep. 2012 (CEST)Beantworten

ein server ist eine software: Server (Software). beim routing hingegen unterscheidet man zwischen der software (dem daemon) und der kiste (router). beim zweiten abschnitt ist einfach der anfang "Je nachdem, wie eine Firewall realisiert wird" falsch. das meinte ich mit c) oben. den begriff "einrichtung" habe ich in dem zusammenhang noch nie gehoert, das klingt auch sehr komisch. dann doch lieber eine definition aus einem lehrbuch. --Mario d 18:18, 25. Sep. 2012 (CEST)Beantworten

Wahrscheinlich findet man in 10 Lehrbüchern 15 Definitionen, aber trotzdem einverstanden. Vielleicht finden wir eine besonders häufig verwendete. Ich mach mich mal auf die Suche und bitte um Mithilfe...--Lex parsimoniae (Diskussion) 18:54, 25. Sep. 2012 (CEST)Beantworten

Hier ist mein Vorschlag zur Umsetzung des bislang diskutierten: -- ^{ηいーたeon}ZERO  10:33, 26. Sep. 2012 (CEST)Beantworten

-- ^{ηいーたeon}ZERO  10:33, 26. Sep. 2012 (CEST)Beantworten

So kommen wir auf jeden Fall weiter. Das können wir gerne genau so machen.--Lex parsimoniae (Diskussion) 11:03, 26. Sep. 2012 (CEST)Beantworten

Lex, das ist echt ein Witz. Sinngemäß steht genau das auch in der ursprünglichen Einleitung: „Eine Firewall ist eine Software, weiter gefasst auch ein System aus Netzwerkkomponente und Software und ein Teilaspekt eines Sicherungskonzepts“. Die Software als Basis jeder Firewall zu nennen, hast Du als "groben Fehler" bezeichnet und in Deinen Entfürfen hast Du es stehts vermieden, auch nur darauf hinzuweisen. Nichts anderes steht aber nun in meinem Entwurf. Und das ist jetzt ok? WTF; das hätten wir schon viel früher haben können. -- ^{ηいーたeon}ZERO  11:29, 26. Sep. 2012 (CEST)Beantworten

Ich habe selbstverständlich kein Problem damit, eine Software als "Basis jeder Firewall" zu bezeichnen. Das ist eine andere Aussage als "eine Firewall ist eine Software". Ich wusste doch, dass wir irgendwo aneinander vorbeigeredet haben. In solchen Fällen sind eben konkrete Vorschläge die sinnvollste Möglichkeit, Missverständnisse zu bereinigen, was aus meiner Sicht hiermit geschehen ist.--Lex parsimoniae (Diskussion) 11:42, 26. Sep. 2012 (CEST)Beantworten

Warten wir mal ab, was Mario zum neuen Entwurf meint. Wenn es auch für ihn ok ist, können wir den Entwurf übernehmen. -- ^{ηいーたeon}ZERO  12:44, 26. Sep. 2012 (CEST)Beantworten

freut michm, dass ihr euch einig geworden seid, ich finde den text auch gut. --Mario d 13:43, 26. Sep. 2012 (CEST)Beantworten

Erledigt. -- ^{ηいーたeon}ZERO  16:06, 26. Sep. 2012 (CEST)Beantworten

Schön, danke NeonZero für das konstruktive Ausdiskutieren, und danke Mario für die Vermittlung und das entscheidende Zitat.--Lex parsimoniae (Diskussion) 21:18, 26. Sep. 2012 (CEST)Beantworten

Unverständliche Einleitung[Quelltext bearbeiten]

Sorry! Wie wäre es, wenn diese Seite keine Diskussionsseite für IT-Profis wäre, sondern EINFACH mal sagt: das is ne Firewand und das is ne Virusschutz. Weil, ich verstehe das alles nicht und ich brauche nur eine Information bestehend aus 2 (!) max. 3 Sätzen, was ist es: die Firewall..... und was ist Virusschutz. Meine Meinung: enzyklopädisch ist der Beitrag absolut ungeeignet. (nicht signierter Beitrag von 89.15.237.135 (Diskussion) 23:48, 10. Nov. 2016 (CET))Beantworten

Der erste Satz der aktuellen Einleitung lautet: „Eine Firewall ist ein Sicherungssystem, das ein Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt“. Sind das nicht die Informationen, die Du gesucht hast? Danach wird in der Einleitung erklärt, dass es eine Desktop Firewall und eine Hardware Firewall gibt, abhängig davon, wo die Firewallsoftware installiert ist. In vier Sätzen wird zuvor erklärt, was es mit der Firewallsoftware auf sich hat bzw. was sie macht.

Eine Einleitung ist eine Zusammenfassung des Artikels. Wenn ich Dich richtig verstanden habe, dann willst Du entweder Informationen aus der Einleitung herausnehmen (welche?), oder Du hast eine Idee oder wenigstens eine Vorstellung, wie wir das kürzer und/oder einfacher formulieren können. Dann schreibe doch bitte einmal hier in der Diskussion einen Entwurf, der uns zeigt, wie Du Dir die Einleitung vorstellst. Das wäre sehr hilfreich. -- ^{ηいーたeon}ZERO  11:32, 11. Nov. 2016 (CET)Beantworten

Die aktuellen Änderungen von NeonZero verdeutlichen zwar bereits, dass "Firewall" ein Bündel von Maßnahmen ist, aber setzt das noch nicht weit genug um. Der Rest des Artikels beschäftigt sich immer noch vor allem mit Paketfiltern, mit der Bearbeitung durch 1 Softwarepaket.

Das beginnt schon im 2. Absatz der Einleitung: "Jedes Firewall-Sicherungssystem basiert auf einer Softwarekomponente."

m.E. gehört zum Konzept auch die Sperrung von Diensten für bestimmte Anwender oder IP-Adressbereiche, im Linux-Umfeld nicht allein per "iptables", sondern auch durch "/etc/hosts.allow" und "/etc/hosts.deny", beim Apache durch ".htaccess", beim Squid durch ACLs, bei Samba durch "hosts allow" usw.

Dazu gehört m.E. auch die "Authentifizierung" ("Zugriff nur durch befugte Personen"), die insbesondere eine (gggfs. von Programm zu Programm andere) Liste der Befugten erfordert, vielleicht sogar mit abgestuften Kompetenzen.

Das alles kann eine "externe Firewall", die in einem der so beliebten DSL-Router o.ä. realisiert ist, nicht oder nur schwer umsetzen, solche Regeln müssen meistens (immer) auf dem Rechner liegen, der auch den Dienst bereitstellt.

Wenn (falls) dann bemängelt wird, dass jeder, der auf diese Regeln zugreifen kann, sie auch ändern kann, und dass deshalb ein externes Gerät mehr Sicherheit liefere: das Problem gilt auch für das externe Gerät. Es gibt genug Beispiele dafür, dass solche Router mit Firewall-Komponenten von unbefügtem Personal manipuliert werden konnten und manipuliert worden sind.

--Helmut Hullen (Diskussion) 09:56, 6. Jan. 2015 (CET)Beantworten

Danke für Deine Kritik.

Zum "Bündel von Maßnahmen": Solange kein Fachbuch das auch so formuliert, können wir nicht einfach schreiben "die Firewall selbst ist ein Konzept bzw. ein Bündel von Maßnahmen". Aber: Die Firewall kann Teil eines Sicherheitskonzepts sein, dass wiederum aus einem Bündel von Maßnahmen besteht.

Ich kenne bislang kein Fachbuch, das besagt, dass das Sicherheitskonzept selbst "Firewall" genannt wird. Wir haben lediglich Quellen, die besagen, dass die Firewall ein Teilaspekt des Sicherheitskonzepts ist. Einzig auf diesen Teilaspekt bezogen können wir also etwas von "einem Bündel von Maßnahmen" schreiben, müssen das aber sehr vorsichtig formulieren (es darf nicht der Eindruck erweckt werden, die Firewall selbst sei das Konzept; sie gehört lediglich als Teilaspekt dazu).

Gleiches gilt für Deine weiteren Auslegungen. Diese können durchaus Teil eines Sicherheitskonzepts sein, was nicht bedeutet, dass sie daher notwendigerweise auch zur Firewall gehören.

Bitte verstehe mich nicht falsch. Ich habe kein Problem damit, Deine Sichtweise den anderen Sichtweisen im Artikel gegenüberzustellen, nur brauche ich zuvor eine Quelle aus der Fachliteratur, die das genauso beschreibt (und dabei diese Maßnahmen der Firewall zuordnet). -- ^{ηいーたeon}ZERO  18:23, 6. Jan. 2015 (CET)Beantworten

Der Begriff Firewall ist inzwischen anscheinend so verwaschen, dass jeder bessere (oder auch schlechtere) Packet-Filter als Firewall bezeichnet wird. IMHO beschreibt eine Firewall ein System, das kein IP-Packet durchlaesst, also kein Filter auf OSI Layer 3 oder 4, sondern weit darueber, darum WALL wie Wand. Meist wird das heute zur Unterscheidung dann als Application Level Firewall bezeichtnet. Auf einem solchen System wird alles nur via Proxies kommuniziert in beide Richtungen. Meist wird so etwas nicht allein betrieben, sondern im Verbund mit Packet-Filtern auf beiden Seiten. Daher war ich schon etwas erschrocken, als ich diesen Artikel begann zu lesen. Aber ich hab's inzwischen aufgegeben, mich darueber aufzuregen, wenn Leute selbst beim Windoof-Packetfilter oder pf oder iptables von ner Firewall reden :-( Das ist allenfalls eine einzelne Komponente einer Firewall. --Real-snake (Diskussion) 01:16, 7. Jun. 2018 (CEST)Beantworten

Der Begriff Firewall war noch nie sehr scharf umrissen. Von einem einfachen Port-Filter über Switch-ACLs bis zur Application-Level-Firewall mit SSL-Deep-Inspection kann das alles sein. An sich sollte unterschieden werden, wie tief die Firewall in die Pakete gucken kann – das ist allerdings mangels herstellerübergreifender Standards und Begriffe nicht gerade einfach und eindeutig. Ob eine Firewall (L2-)transparent, als Router oder als Proxy ausgeführt wird, ist ein Detail der Implementierung und für die grundsätzliche Funktion mittlerweise kaum noch relevant. Wenn du von Firewall erst ab einer bestimmten Klasse redest, kann ich das nachvollziehen, allerdings gilt das z.B. nur bei bestimmten Grundanforderungen, die aber nun mal nicht überall gleich sind. Eine Zahnarztpraxis hat andere Anforderungen als das Rechenzentrum einer Bank. --Zac67 (Diskussion) 16:07, 8. Jun. 2018 (CEST)Beantworten