February 14, 2026

In welcher Schicht arbeitet eine Firewall? Erklärung mit Beispielen

Die Frage „In welcher Schicht arbeitet eine Firewall?“ klingt zunächst so, als gäbe es eine einzige richtige OSI-Schicht. In der Praxis ist die Antwort differenzierter: Eine Firewall kann – je nach Typ, Funktionsumfang und Einsatzort – auf mehreren Schichten des OSI-Modells arbeiten. Genau deshalb ist das Thema für Einsteiger und Fortgeschrittene gleichermaßen wichtig. Wer Firewalls nur als „Blocker“ versteht, übersieht, dass moderne Sicherheitsarchitekturen von einfachen Paketfiltern bis zu Next-Generation-Firewalls reichen, die Anwendungen erkennen, verschlüsselten Verkehr kontrollieren und sogar Benutzeridentitäten berücksichtigen. Das OSI-Modell hilft dabei, diese Vielfalt einzuordnen: Von Schicht 3 (IP) über Schicht 4 (Ports und TCP/UDP) bis zu Schicht 7 (HTTP, DNS, Anwendungen) sind verschiedene Prüfungen möglich – und jede Ebene beantwortet andere Sicherheitsfragen. In diesem Artikel erhalten Sie eine klare, leicht verständliche Erklärung, welche Firewall-Typen auf welchen Schichten arbeiten, wie typische Regeln aussehen, welche Missverständnisse häufig sind und wie Sie die passende Firewall-Funktion für konkrete Szenarien auswählen.

Warum es keine „eine“ OSI-Schicht für Firewalls gibt

Der Begriff Firewall beschreibt nicht ein einzelnes Gerät oder eine einzelne Technik, sondern ein Sicherheitskonzept: Netzwerkverkehr wird nach definierten Regeln erlaubt oder blockiert. Diese Regeln können sich auf unterschiedliche Merkmale beziehen – und diese Merkmale liegen auf unterschiedlichen OSI-Schichten. Deshalb ist die korrekte Antwort meist: Firewalls arbeiten je nach Bauart auf mehreren Schichten.

  • Schicht 3 (Network Layer): IP-Adressen, Routing-Bezug, ICMP-Typen
  • Schicht 4 (Transport Layer): TCP/UDP, Ports, Verbindungszustände
  • Schicht 7 (Application Layer): Anwendungserkennung, HTTP-Methoden, URLs, DNS-Namen
  • Schicht 2 (Data Link): in Spezialfällen MAC-Adressen, VLANs, Bridging-Szenarien

Ein kurzer Überblick zum OSI-Modell erleichtert die Einordnung: OSI-Modell. Eine allgemeine Definition von Firewalls finden Sie hier: Firewall.

OSI-Schicht 3: Paketfilter auf IP-Ebene

Eine klassische Firewall-Funktion auf Schicht 3 ist das Filtern nach IP-Adressen und Protokolltypen. Hier geht es um „Wer spricht mit wem?“ im Sinne von Netzwerkadressen. Ein typisches Beispiel ist das Blockieren oder Erlauben von Verkehr basierend auf Quell- und Ziel-IP oder IP-Protokollen (z. B. ICMP).

Was Schicht-3-Firewalls prüfen

  • Quell-IP und Ziel-IP (z. B. nur interne Netze dürfen auf Management-Subnetze)
  • IP-Protokoll (z. B. ICMP, GRE, ESP – je nach Umgebung relevant)
  • Grundlegende Paketattribute (z. B. fragmentierte Pakete, je nach Implementierung)

Beispielregeln auf Schicht 3

  • Erlaube Zugriff von 192.0.2.0/24 auf 203.0.113.10 (z. B. Monitoring-Server)
  • Blockiere eingehenden Traffic aus nicht vertrauenswürdigen Netzen auf sensible Serversegmente
  • Erlaube ICMP Echo Reply nur intern (kontextabhängig)

Wichtig: Schicht 3 allein unterscheidet nicht, ob die Kommunikation „zu einer Anwendung“ passt. Wenn Sie nur IPs filtern, bleibt vieles grob. Dafür ist es performant und in vielen Netzen die Basis. Hintergrund zur IP-Ebene: Internet Protocol.

OSI-Schicht 4: Stateful Firewall, Ports und TCP/UDP

Sehr viele Firewalls arbeiten schwerpunktmäßig auf Schicht 4, weil dort Ports und Transportprotokolle liegen. Das ist die Ebene, auf der Regeln wie „HTTP/HTTPS erlauben, alles andere blockieren“ klassisch umgesetzt werden. Bei modernen Firewalls kommt häufig Stateful Inspection hinzu: Die Firewall merkt sich Verbindungszustände (z. B. bei TCP) und kann so entscheiden, ob ein Paket zu einer legitimen, etablierten Verbindung gehört.

Was Schicht-4-Firewalls prüfen

  • TCP oder UDP (verbindungsorientiert vs. verbindungslos)
  • Quellport und Zielport (z. B. 443 für HTTPS)
  • Verbindungszustand (z. B. „established“, „related“, je nach System)
  • TCP-Flags (in manchen Implementierungen relevant für Anomalien)

Beispielregeln auf Schicht 4

  • Erlaube TCP 443 von Internet zum Reverse Proxy
  • Blockiere TCP 22 (SSH) aus dem Internet, erlaube SSH nur aus dem Admin-VPN
  • Erlaube DNS (UDP/TCP 53) nur zu definierten Resolvern

Ein zentraler Vorteil von Stateful Firewalls: Sie reduzieren unerwünschten Rückverkehr, weil nur Antworten auf erlaubte Verbindungen durchgelassen werden. Das ist besonders wichtig gegen viele einfache Scan- und Störmuster. Grundlagen zu TCP und UDP: TCP und UDP.

OSI-Schicht 7: Application Firewall und Next-Generation-Firewall

Wenn Firewalls anfangen, Inhalte und Anwendungen zu verstehen, bewegen sie sich auf Schicht 7. Eine typische Ausprägung ist die Web Application Firewall (WAF), die speziell HTTP/HTTPS-Verkehr bewertet. Darüber hinaus können Next-Generation-Firewalls (NGFW) auch andere Anwendungen erkennen (z. B. über Signaturen oder Protokollanalyse) und Richtlinien wie „Erlaube nur Slack, blockiere unbekannte Proxy-Apps“ umsetzen.

Was Schicht-7-Firewalls prüfen

  • HTTP-Methoden (GET, POST, PUT usw.)
  • URLs und Pfade (z. B. /login, /admin)
  • Header und Parameter (z. B. User-Agent, Content-Type)
  • Anwendungssignaturen (App-ID, Protokoll-Parsing)
  • Inhalte (z. B. bekannte Angriffsmuster wie SQL-Injection oder XSS, je nach WAF-Regeln)

Beispiele aus der Praxis

  • Erlaube HTTPS nur zu /api/*, blockiere direkten Zugriff auf /admin/* aus dem Internet
  • Blockiere verdächtige Requests mit typischen Injection-Mustern
  • Begrenze Login-Versuche pro IP/Session (Rate Limiting auf App-Ebene)

Eine Schicht-7-Firewall ist besonders wirksam, wenn Angriffe „wie legitimer Verkehr“ aussehen, aber semantisch schädlich sind. Für Grundlagen zur WAF: Web Application Firewall. Für HTTP als Anwendungsprotokoll: HTTP und HTTPS.

Schicht 2: Arbeiten Firewalls auch auf Data-Link-Ebene?

In klassischen Erklärungen werden Firewalls meist auf Schicht 3 bis 7 eingeordnet. Dennoch gibt es Fälle, in denen eine Firewall-Funktionalität Merkmale von Schicht 2 nutzt – zum Beispiel in Umgebungen mit Bridging/Transparent Mode, in Segmentierungen nach VLANs oder bei speziellen Enterprise-Funktionen.

Typische Schicht-2-nahe Beispiele

  • MAC-basierte Regeln in restriktiven lokalen Segmenten (eher selten als Hauptmechanismus)
  • VLAN-Segmentierung in Kombination mit Policies, die „zwischen VLANs“ filtern
  • Port-Security und NAC-nahe Mechaniken (streng genommen oft Switch-/Access-Thema, aber mit Sicherheitswirkung)

Wichtig ist die saubere Begriffsarbeit: Nicht jede Layer-2-Sicherheitsfunktion ist eine „Firewall“ im engeren Sinne. Switch-Funktionen wie VLANs oder STP sind eigenständige Mechanismen. Hintergrund zu VLANs: VLAN.

Warum moderne Firewalls mehrere Schichten gleichzeitig nutzen

In realen Netzwerken ist es üblich, dass eine einzelne Firewall-Instanz mehrere Ebenen prüft. Beispiel: Eine Next-Generation-Firewall kann zunächst auf Schicht 3/4 entscheiden, ob eine Verbindung grundsätzlich erlaubt ist (IP/Port), und anschließend auf Schicht 7 prüfen, ob die Anfrage zur erwarteten Anwendung passt. Dadurch entstehen feinere, sicherere Policies.

Ein typischer Prüfpfad in der Praxis

  • Schicht 3: Ist die Quell-IP aus einem erlaubten Netzsegment?
  • Schicht 4: Geht es um erlaubte Ports/Protokolle und einen gültigen Verbindungszustand?
  • Schicht 7: Ist es wirklich die erlaubte Anwendung, und ist das Request-Verhalten plausibel?

Diese Mehrschichtigkeit ist auch ein Grund, warum das OSI-Modell zwar eine gute Denkstruktur liefert, aber reale Produkte „quer“ dazu funktionieren: Hersteller bündeln Features, die technisch auf verschiedenen Schichten liegen, in einem Gerät oder Dienst.

Beispiele: Welche Firewall-Art passt zu welchem Szenario?

Damit die Schichten-Zuordnung nicht abstrakt bleibt, helfen konkrete Szenarien. Die folgenden Beispiele zeigen, welche OSI-Schicht typischerweise den größten Nutzen bringt – und wo zusätzliche Schichten erforderlich sind.

Beispiel: Internetzugriff auf einen Webserver

  • Schicht 3/4: Erlaube TCP 443 nur zum Reverse Proxy oder Load Balancer, blockiere alles andere.
  • Schicht 7: WAF-Regeln gegen typische Webangriffe, Schutz vor bösartigen Bots, Rate Limits.

Beispiel: Admin-Zugriff auf Server (SSH/RDP)

  • Schicht 4: SSH (22) oder RDP (3389) ausschließlich aus dem Admin-VPN erlauben.
  • Schicht 7/Identity: Ergänzend Zero-Trust bzw. starke Authentifizierung, wo möglich.

Beispiel: DNS absichern

  • Schicht 4: DNS nur zu definierten Resolvern erlauben, direkter DNS-Traffic ins Internet blockieren.
  • Schicht 7 (DNS-spezifisch): Filterung bösartiger Domains, Policy-basierte Auflösung (häufig via Secure DNS/Resolver-Diensten).

Hintergrund zu DNS: Domain Name System.

Missverständnisse: Häufige Fehler beim Einordnen von Firewalls ins OSI-Modell

Viele Lernende stolpern über dieselben Irrtümer. Wenn Sie diese Punkte kennen, fällt die OSI-Einordnung leichter.

  • „Eine Firewall ist immer Schicht 3“: Paketfilter können Schicht 3 sein, aber Portregeln sind Schicht 4, WAF ist Schicht 7.
  • „Port 443 ist Anwendungsebene“: Ein Port liegt in Schicht 4; HTTPS selbst ist Schicht 7 (mit TLS/Presentation-Aspekten).
  • „Wenn 443 offen ist, ist alles sicher“: Schicht-4-Erlaubnis sagt nichts über bösartige HTTP-Requests aus.
  • „WAF ersetzt Netzwerkfirewall“: Eine WAF schützt Webanwendungen, aber sie ersetzt nicht grundlegende Segmentierung und L3/L4-Kontrollen.
  • „VLAN ist eine Firewall“: VLAN segmentiert, aber ohne passende Policies ist es kein vollständiger Zugriffsschutz.

Stateful vs. Stateless: Warum das für die Schichtzuordnung wichtig ist

Ein entscheidender Unterschied in Firewall-Designs ist, ob sie zustandslos (stateless) oder zustandsbehaftet (stateful) arbeiten. Stateless Filter bewerten jedes Paket einzeln. Stateful Firewalls verfolgen, ob Pakete zu einer legitimen Verbindung gehören. Diese Eigenschaft ist besonders typisch für Schicht-4-Firewalls, kann aber in erweiterten Produkten auch auf Anwendungsebene eine Rolle spielen (Sessions, Tokens, Cookies).

  • Stateless: schnell, einfach, aber weniger Kontext
  • Stateful: mehr Kontext und Sicherheit, aber auch mehr Ressourcenbedarf und Komplexität

Firewalls und Verschlüsselung: Was passiert bei HTTPS?

Ein praxisnahes Thema ist verschlüsselter Verkehr. Bei HTTPS ist der Inhalt der HTTP-Anfrage verschlüsselt. Eine reine Schicht-3/4-Firewall sieht dann typischerweise nur „TCP 443“ und IP-Adressen. Für tiefe Schicht-7-Prüfungen gibt es zwei typische Wege:

  • Schutz am Endpunkt/Reverse Proxy: TLS wird dort beendet, und die WAF kann den entschlüsselten HTTP-Stream prüfen.
  • TLS-Inspection (je nach Architektur): Eine Sicherheitskomponente entschlüsselt und prüft, was organisatorisch und technisch sauber geplant werden muss.

Das ist ein Grund, warum die Frage nach der OSI-Schicht bei Firewalls oft mit der Frage nach „wo entschlüsseln wir?“ verknüpft ist. Hintergrund zu HTTPS: HTTPS.

Wie Sie eine Firewall-Regel OSI-konform „lesen“

Eine praktische Methode ist, jede Regel gedanklich in Schichten zu zerlegen. Beispiel: „Erlaube nur HTTPS von Internet zu Webserver“ bedeutet:

  • Schicht 3: Quelle „Internet“, Ziel-IP „Webserver“
  • Schicht 4: TCP Zielport 443
  • Schicht 7 (optional): Nur bestimmte Hostnames, Pfade, Methoden oder Nutzerkontexte

Je höher die Schicht, desto spezifischer wird die Kontrolle – und desto näher sind Sie an der eigentlichen Sicherheitsabsicht (z. B. „nur die Login-API soll erreichbar sein“ statt „irgendetwas auf 443“).

Kurze Orientierung: Welche Schicht liefert welchen Sicherheitsnutzen?

  • Schicht 3: Segmentierung, Netzzonen, grundlegende Zugriffskontrolle nach Netzen
  • Schicht 4: Service-Freigaben nach Ports/Protokollen, stateful Schutz, Reduktion einfacher Angriffe
  • Schicht 7: Schutz vor anwendungsbezogenen Angriffen, Bot-Abwehr, Policy nach Anwendung/URL/Methoden
  • Schicht 2 (Spezialfälle): lokale Segment-Mechanik, VLAN-Bezug, Bridging-Szenarien

Outbound-Links zur Vertiefung

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Change-Validation-Checkliste pro OSI-Schicht nach dem Deploy

Canary & Rollback: OSI-basierte Ops-Taktiken zur Impact-Reduktion

Incident „Teilweise Site Down“: OSI-Checkliste für Multi-Site-Netzwerke

Intermittierende Incidents: Beweise pro OSI-Schicht systematisch sammeln

Maintenance Window: Kommunikationsplan für Stakeholder pro Schicht

OSI fürs Escalation: Welche Daten beim Handover an L3/L4-Teams Pflicht sind

OSI-Modell für Config-Audits: Drift Detection von L1 bis L7

Blast Radius eines Incidents bewerten – aus OSI-Schichten-Perspektive

Strategisches Packet Capture: Wo capturen, um RCA zu beschleunigen

NOC-Dokumentationspraxis: L2/L3-Diagramme, die wirklich genutzt werden

SPAN vs. ERSPAN: Best Practices für Produktion und Oversubscription-Risiken

MTTR benchmarken: L1- vs. L7-Incidents mit historischen Daten vergleichen