Wie gut etwas ist odernicht lässt sich eigentlich nie unabhängig davon beantworten, für welchen Zweck es gedacht ist.
Ein Heimrouter mit NAT (selbst ohne Firewall) ist sehr gut um deinen Rechner vor ungewollten Zugriffen aus dem Netz zu schützen (ungewollt im Sinne von: Nicht von Dir angeforderte, aber auch angeforderte können schädlich sein). Wenn man diese Route rnicht manuell auf durchlässig schaltet, so bieten Sie meist schon direkt aus der Schachtel dagegen einen sehr guten Schutz.
Was so ein Gerät jedoch im Normalfall nicht kann ist, die Inahlte der Datenströme die Du aus dem Netz lädst, zu kontrollieren. Baust Du eine Verbindung durch einen Router hindurch mit einem Webserver auf, so kann durch diese Verbindung letztendlich ales fließen. Von den angeofrten HTML-Dateien bis hin zu einem Trojanerdownload, darauf hat der Router (o mit oder ohne Firewall) keinen Einfluß mehr.
Zudem ist das, was von vielen Herstellern als Firewall verkauft wird, nur ein einfacher Portfilter, nur wenige kleine Router bieten wirklich Statefull Packet Inspection, der Hauptanteil am Schutz bietet eigentlich das nicht als Schutz gedachte NAT.
Was ein normaler Heimrouter noch nicht bieten kann ist eine Kontrolle, welche Anwendung da nun wirklich von Innen (also aus deinem LAN) nach Außen (ins Internet) kommuniziert, hier kann man dann wirklich nur noch mit den eingebauten Filtern Regeln erstellen, welche Ports man von Innen nach Außen zulässt, was aber nur bedingt schützt, da jedes beliebige Programm jeden beliebigen Port nutzen kann, wenn es entsprechend konfiguriert wurde von Programmierer, man kann einen Trobajer auch daraufhin einstellen, daß er Verbindungen nach außen mit dem Zielport 80 aufbaut, wie jeder Browser auch, eine Firewall (Portfilter oder SPI) würde keinen Unterschied erkennen, ebenso wenn statt dein Mailprogramm ein Wurm SMTP-Verbindungen aufbaut (ausgehend).
Manche Heimrouter bieten sogar noch mehr Funktionalität in Form von Contentfiltern (aber i.d.R. nur für HTTP), sodaß sie ActiveX, Java, Cookies oder anderes ausfiltern können, aber auch dies wirkt nur von Außen nach Innen.
Letztendlich ist eine Firewall als Gerät immer nur ein einzelner Aspekt in bezug auf Sicherheit und Firewalls werden oftmals nur für Inress-Filterung eingesetzt (also von außen nach Innen) Egress (von Innen nach Außen) wird oft vernachlässigt, da oftmals die Mglichkeiten hier beschränkter sind. Rühmliche Ausnahme ist hier (man mag es kaum glauben )der ISA-Server von MS, dieser spielt aber auch in einer anderen Kategorie. Ein Router mit Firewall ist also nur dann eine sichere Lösung, wenn man das LAN dahinter im Griff hat und sich sicher ist, daß von Innen nach Außen keine Gefahr droht und die von Außen nach Innen fließenden Inhalte frei von schädlichem Code ist. Dies wird man aber nie erreichen können. Man sollte also immer neben einem Router (egal ob mit oder ohne Firewall) sich gedanken über den Schutz von Innen nach Außen und dem Schutz vor schädlichen Inhalten machen. Für unverzichtbar halte ich hier zuminstest einen vernünftigen Virenscanner.
GarfTermy
xafford
