imported>Aka: /* Funktionsweise */ Tippfehler entfernt, doppelten Link entfernt, Kleinkram

2026-01-12T22:50:59Z

Funktionsweise: Tippfehler entfernt, doppelten Link entfernt, Kleinkram

Neue Seite

Ein '''Application Layer Gateway''' oder '''Application-Level Gateway''' (kurz '''ALG''') ist ein [[Gateway (Informatik)|Gateway]] in einem [[Computernetz]], das den [[Datenverkehr]] auf Anwendungsebene untersucht. Ein ALG schützt das Netz vor unberechtigten Zugriffen und wird in dieser Funktion auch als '''Application Layer Firewall''' oder '''Application-Level Firewall''' bezeichnet (kurz ALF). Ein weiterer Zweck ist die Ermöglichung einer Konnektivität beim Einsatz von [[Netzwerkadressübersetzung]].

== Funktionsweise ==
Ein ALG verhält sich ähnlich wie ein [[Proxy (Rechnernetz)|Proxy]], indem es Daten auf [[Internetprotokollfamilie#TCP/IP-Referenzmodell|Anwendungsschicht]] empfängt und an ein Ziel weiterleitet.<ref name="stallings">{{Literatur |Autor=William Stallings |Titel=Cryptography and Network Security: Principles and Practice |TitelErg=Global Edition. |Auflage=8. |Verlag=Pearson Education |Ort=Harlow, Vereinigtes Königreich |Datum=2023 |ISBN=1292437480 |Seiten=677 f.}}</ref>
Eine vereinfachte Sicht ist, dass ein ALG eine Firewall für Datenverkehr auf [[OSI-Modell|OSI-Layer]] 7 darstellt, während ein Paketfilter IP-Pakete auf Layer 3 und 4 untersucht. Das ALG wertet die [[Nutzdaten]] des Anwendungsverkehrs aus und kann dadurch besser steuern, welcher Verkehr weitergeleitet wird und welcher nicht. So kann beispielsweise [[Hypertext Transfer Protocol|HTTP-Verkehr]] erlaubt und anderer Verkehr blockiert werden.<ref name="tanenbaum">{{Literatur |Autor=Andrew Tanenbaum, David Wetherall, Nick Feamster |Titel=Computer Networks |TitelErg=Global Edition. |Auflage=6. |Verlag=Pearson Education |Ort=Harlow, Vereinigtes Königreich |Datum=2021 |ISBN=1292374063 |Seiten=761 }}</ref> Dies ist auch für andere Protokolle auf der Anwendungsschicht möglich. Ein ALG kann durch die tiefergehende Analyse eine höhere [[IT-Sicherheit]] als ein [[Paketfilter]] erreichen, erfordert dafür aber mehr [[Rechenleistung]].<ref name="stallings" /> Ein wesentlicher Unterschied zwischen einem ALG und einer Paketfilter-Firewall besteht auch darin, dass das ALG die jeweilige Netzverbindung auf der einen Seite des Gateways terminiert und auf der anderen Seite mit einem getrennten [[TCP/IP-Stack|IP-Stack]] neu aufbaut. Ein ALG ist üblicherweise Bestandteil einer [[Firewall]] bzw. einem [[Sicherheitsgateway]].

Daneben kann ein ALG auch für [[NAT Traversal]] eingesetzt werden, um in einem zustandsorientierten Paketfilter dynamisch die von einer Anwendung benötigten [[Port (Netzwerkadresse)|Ports]] zu öffnen. Das ist beispielsweise erforderlich beim [[File Transfer Protocol]] oder [[Session Initiation Protocol]], da diese Protokolle eingehende Verbindungen auf dynamisch gewählten Portnummern erfordern. Durch Auswertung der [[Signalisierung]] im Anwendungsverkehr kann das ALG zielgerichtet die benötigten Ports freigeben. Die manuelle Einrichtung von [[Portweiterleitung]]en entfällt.

Bis in die späten 2000er-Jahre wurden in Unternehmen häufig mehrstufige Firewalls aus Paketfilter und einem nachgelagerten ALG konzipiert. Durch die Weiterentwicklung der Paketfilter-Firewalls mit [[Stateful Packet Inspection]] tritt dies zunehmend in den Hintergrund, da mit SPI anwendungsspezifische Trafficfilterung möglich ist, ohne eine jeweils für das Anwendungsprotokoll spezifische Gateway-Implementierung zu benötigen.

== Web Application Firewall ==
{{Hauptartikel|Web Application Firewall}}

Eine ''Web Application Firewall'' (WAF) ist ein Spezialfall eines Application Layer Gateways bzw. einer Application Layer Firewall, die als [[Reverse Proxy]] vor einen [[Webserver]] geschaltet wird. Die WAF untersucht den [[Hypertext Transfer Protocol|HTTP-Verkehr]] nach schädlichen Anfragen und blockiert diese, um die [[Webanwendung]] zu schützen.

== DNS ALG ==

Eine weitere Aufgabe des ALGs besteht darin, in einem internen Netzwerk, welches mit [[Network Address Translation|NAT]] arbeitet, darauf zu achten, dass bei [[Whois|Name-Lookups]] auch eine erreichbare [[IP-Adresse]] übermittelt wird. Diese Funktion trägt den Namen '''DNS ALG'''. Ist beispielsweise ein internes Netzwerk mit einem DNS-Server über einen [[Router]] mit dem Internet verbunden und es kommt eine externe Anfrage für einen [[Host (Informationstechnik)|Host]] aus dem internen Netzwerk, so würde der DNS-Server des internen Netzwerkes auch eine interne IP-Adresse angeben. Für den die Adresse anfragenden [[Client]] ist der Host über diese Adresse jedoch nicht erreichbar, da sie unter Umständen in einem [[Private IP-Adresse|privaten IP-Adressbereich]] liegt, welche im Internet nicht geroutet werden. Sendet nun der DNS-Server ein Datenpaket mit der internen IP-Adresse an den anfragenden Client, so ändert das DNS ALG auf dem Router das Datensegment so ab, dass eine aus dem Internet erreichbare Adresse aus dem Adressbereich, welchen auch das NAT verwendet, für den angefragten Host eingetragen ist. Des Weiteren initialisiert das DNS ALG, dass der entsprechende Host für eine bestimmte Zeit auch über die ihm zugewiesene externe Adresse geroutet wird, sowie den dazugehörigen Timer.<ref name="RFC">{{RFC-Internet |RFC=2663 |Titel=IP Network Address Translator (NAT) Terminology and Considerations |Datum=1999-08 |Kommentar=offizielle Definition}}</ref>

== Literatur ==
* Ulrich Trick, Frank Weber: ''SIP und Telekommunikationsnetze.'' 5. Auflage. Walter De Gruyter, Berlin 2015, ISBN 978-3-486-77853-3.

== Einzelnachweise ==
<references />

[[Kategorie:IT-Sicherheit]]
[[Kategorie:Gateway (Netzwerktechnik)]]

Application Layer Gateway - Versionsgeschichte

imported>Aka: /* Funktionsweise */ Tippfehler entfernt, doppelten Link entfernt, Kleinkram